月7日,Equifax,美国最大征信机构之一宣称,其网站的一个漏洞致使1.43亿消费者泄漏。
大行其道的勒索病毒、时有产生的电信欺骗、防不胜防的个人和企业泄漏……给予方便快捷,改变了人们的衣食住行,但同时,网络安全要挟也如影随形、层见叠出,影响着人们生活、工作的各个方面。
9月16日至24日,九部委共同举行的2017年国家网络安全宣扬周在全国范围内统一举行,范围盛大,超乎以往。“网络安全为人民,网络安全靠人民”,大安全时期,我们需要重新认识、审视一下我们面临的安全态势,重新斟酌、思索一下我们应当采取的安全策略。
36%的网络攻击基于浏览器
数字信息安全领域始终面临着各种挑战。黑白博弈,为了应对攻击者层见叠出的变化,我们首先需要知道谁是我们真实的敌人。
据2016 McAfee网络安全要挟报告数据显示,36%的网络攻击来源于浏览器,在网页内产生。
出乎意料,也在情理当中。试想一下,当我们渐渐习惯于网络购物、消费,频繁的登录行动让我们麻痹,常常意识不到,安全要挟行将产生。在某一个不知名网站输入的个人信息,极有可能也是我们个人银行登录信息。
基于浏览器登录场景的攻击是最多见的网络攻击类型,触及面广,破坏性大。攻击者下发一个歹意脚本到你的浏览器中,就能够获得你的密码信息,不需要去攻破网站的,SSL加密也没用。
但遗憾的是,登录场景下的安全问题并没有引发足够的重视。据神州云科安全公司总经理陈思介绍,国内80%的网站,乃至包括为数很多的行业权重网站,在浏览器端均没有采取加固处理,不需要大费周折,攻击者就能够拿到个人登录时的用户名和密码。
动态利用加固或为最好解决方案
如果说毫无防备,未免夸大其词。很多网站登录有验证码、短信验证、安装插件,乃至于USBkey。可是,具有这些就真的安全?
真实情况未必,验证码只能实现降频,不解决安全问题;至于短信验证码,SIM卡复制、基站信号压抑等都可以轻松弄定;插件/控件只解决一个参数的保护(密码),其他关键参数依然以明文的状态暴露在互联网上,而且大量APP没法直接安装插件/控件;至于USBkey,价格昂贵,且利用范围太过于受限。
信息安全对抗的本质是本钱的对抗。今天,网络安全攻击已具有大流量、多样化、组合式和高频变化等特点,攻击者用低廉的本钱便可发动大范围的破坏性攻击,以获利为目的的利用层攻击夹杂在网络层攻击流量中更加难以防御。
正由于此,动态利用加固系统,或成为最好解决方案。它的核心原理在于提多发动攻击的本钱,下降攻击取得的收益。
“达尔动态利用加固系统,是神州云科安全公司可编程防御架构方案中一款基于WEB真个动态利用加固保护系统,不但可使关键信息从明文变成密文,并且密文状态高频变化,使得攻击者信息获得本钱和难度直线上升,从而有效下降乃至根绝该场景下的个人信息泄漏可能。”陈思说。
据了解,银行、保险、电商、游戏、政府、视频网站等行业,由于存在大量登录场景,遭受撞库等网络攻击可能性最大,需求利用也最为迫切。
基于浏览器的登录场景安全防护,已具有巨大的市场需求和发展空间,对安全企业而言,必将将成为下一轮争取的焦点。
自主可控,安全行业提升价值的关键
自主可控与信息安全密切相关,全民网络安全时期已来临,这是本届国家网络安全宣扬周流露出的重要讯息。
自主可控,正在成为安全行业提升价值的关键。如何通过发展自主可控、安全可靠的核心基础软硬件,确保网络安全乃至国家信息安全,已上升到国家层面成为基本战略。中国工程院院士倪光南曾指出,中国推动信息产业发展一定要走自主创新的道路。要坚持发展自主可控技术,逐渐构建自主生态系统,走中国特点自主创新道路,终究实现网络和信息核心技术、关键基础设施和重要领域信息系统及数据的安全可控。
十八大后,随着政策红利释放,国内互联网企业纷纭或布局或转型,自主可控成为延续性热门。
作为神州数码团体自有品牌战略承载者,神州云科即是在此背景下成立的一家高新技术企业,目前旗下已有云科网络、云科数据、云科系统、云科安全四家专业子公司,业务范围涵盖基础网络装备、数据存储、大数据平台和数据利用、网络安全等领域。
更接近国际领先的技术,同时也更理解中国企业需求。立足本地化,神州云科致力于成为国内领先的云基础设施产品、服务和解决方案提供商。
在网络安全领域,贴近国内企业安全现状和需求,神州云科逐步完善本身防御架构和产品体系,将很多国际领先的安全技术融会在一起,使得它们成为一个防御生态,在可编程的防御平台上,应对区别的安全场景有区别的模板,切实做到了为某种特定场景量身定制,构成体系化防御。
据中投顾问发布的《2016⑵020年中国信息安全产业投资分析及前景预测报告》显示,随着互联网信息安全问题的日趋突显,全球信息安全市场需求旺盛,2015年市场范围为1,242亿美元,年增长率达12%。与此同时,中国IT市场范围在2014年已达2,048亿美元,位居全球第二,但信息安全市场范围仅为22.4亿美元,占IT市场的1.1%,而欧美等发达国家占比约为8%⑴2%,中国信息安全市场不论范围或者比例均大幅落后于发达国家。
着眼未来,即便不斟酌中国全部信息服务业产值的增长,仅斟酌渗透率的提升,中国信息安全产业最少具有近10倍的成长空间。这无疑给致力于信息安全,践行自主可控战略的本土企业,留下了充足的发展空间和想象力。
