防範于未然 百度安全專家分(fēn)析2015重點事件
浏覽: 時(shí)間:2016-01-07 12:11:10
回首2015年國内網絡安全事件,有百度雲加速的(de)1TbpsDDos防禦,讓國内網絡安全實力再上一個(gè)台階的(de)驚豔,也(yě)有蘋果Xcode病毒、新浪微博、支付寶、網易們的(de)網站宕機的(de)恐慌。那麽随著(zhe)雲端應用(yòng)、智能硬件的(de)普及,2016年我們将面臨怎樣的(de)安全環境?對(duì)此,記者采訪了(le)百度雲安全部首席架構師TonyLee,以及百度移動安全部安全技術專家包沉浮、百度移動安全技術總監王巍巍。
安全頻(pín)發巨頭大(dà)佬也(yě)不能幸免
面對(duì)安全威脅幾乎沒有企業可(kě)以做(zuò)到萬無一失。在2015年,蘋果Xcode病毒事件,讓人(rén)知道原來(lái)蘋果也(yě)有不安全的(de)時(shí)候,中招的(de)企業更是不乏滴滴打車、高(gāo)德地圖、微信這(zhè)樣的(de)國内企業大(dà)佬。
此外,5月(yuè)接連出現的(de)連環宕機事件更是讓支付寶、網易、新浪微博深處恐慌。其中支付寶就出現大(dà)規模癱瘓,故障時(shí)間超過多(duō)達2個(gè)小時(shí)。而網易骨幹網絡遭受公斤更是導緻其移動應用(yòng)、遊戲無法訪問和(hé)刷新。
“蘋果也(yě)沒有能力應對(duì)所有的(de)安全問題。”百度移動安全部安全技術專家包沉浮、百度移動安全技術總監王巍巍曾經接受媒體時(shí)表示,蘋果Xcode病毒這(zhè)一2015年的(de)典型安全事件,王巍巍認爲病毒本身攻擊方式很獨特,雖然早在幾十年前的(de)KenThompson就提過利用(yòng)編譯器留後門的(de)思路,但是攻擊方式很獨特,病毒作者通(tōng)過精心布局,最終造成了(le)如此大(dà)範圍的(de)影(yǐng)響,也(yě)算(suàn)是一個(gè)創新。
不過,王巍巍也(yě)強調,這(zhè)個(gè)事件反映了(le)國内程序員(yuán)一直以來(lái)安全意識的(de)不做(zuò)。“很多(duō)程序員(yuán)都沒有從官網下(xià)載文件,下(xià)載之後比對(duì)文件大(dà)小、MD5/SHA1等哈希值的(de)習(xí)慣,否則完全可(kě)以避免這(zhè)類問題的(de)發生。當然,國内的(de)網絡環境不佳也(yě)是一個(gè)客觀原因。當然,國内的(de)網絡環境不佳也(yě)是一個(gè)客觀原因。”
小隐患大(dà)問題黑(hēi)産借勢興風作浪
除了(le)網絡企業自身造成損失,對(duì)于普通(tōng)百姓的(de)生活也(yě)同樣受到網絡安全的(de)威脅,比如與我們密切相關的(de)社保同樣不能幸免,而且依靠系統漏洞,甚至成爲個(gè)人(rén)信息洩露的(de)重災區(qū)。
實際上相對(duì)而言,醫療社保等信息的(de)洩露事件實際有著(zhe)更爲嚴重的(de)後。百度雲安全部首席架構師TonyLee就表示,“在地下(xià)黑(hēi)色産業鏈中,一條醫療社保信息的(de)價格大(dà)約是一條普通(tōng)信用(yòng)卡信息的(de)10倍。”
而去年4月(yuè),重慶、上海、山西、貴州、河(hé)南(nán)等省市衛生和(hé)社保系統出現大(dà)量高(gāo)危漏洞,數千萬用(yòng)戶社保信息可(kě)能因此洩露。而根據相關數據顯示,圍繞社保、戶籍、疾控、醫院等出現高(gāo)危漏洞的(de)省市已經超過30個(gè),涉及人(rén)員(yuán)數量達到數千萬。
TonyLee表示,如果信息遭到洩露,參保人(rén)的(de)身份證号碼、社保信息、财務、薪酬、不動産等各種敏感信息将受到威脅。這(zhè)些信息被不法分(fēn)子獲得(de),很有可(kě)能被用(yòng)來(lái)進行釣魚詐騙、電信詐騙等,人(rén)們的(de)财産可(kě)能會受到損失。
同時(shí),TonyLee也(yě)強調,醫療社保信息還(hái)關系用(yòng)戶的(de)醫療信息、生病記錄等,是用(yòng)戶非常私密的(de)隐私信息。保護這(zhè)些隐私不收侵害,是法律賦予用(yòng)戶的(de)權利,絕對(duì)不能被侵害。
據悉,由于安全意識薄弱、缺乏專業技術人(rén)員(yuán)、防護策略過時(shí)等多(duō)方面的(de)因素,目前各省市的(de)醫療社保系統大(dà)多(duō)存在不同程度的(de)安全風險。
對(duì)此,TonyLee建議(yì)各地相關部門及時(shí)檢測安全系統的(de)漏洞風險,邀請專業的(de)第三方安全廠商對(duì)系統進行加固和(hé)升級。另外,加強安全意識培訓,對(duì)員(yuán)工進行安全教育也(yě)必不可(kě)少。
網絡威脅智能化(huà)安全要防範于未然
實際上,随著(zhe)物(wù)聯網、移動互聯網的(de)發展,網絡安全威脅也(yě)越來(lái)越大(dà),而無論是企業、網絡應用(yòng)服務的(de)提供者還(hái)是個(gè)人(rén),都應該關注如何應對(duì)網絡安全隐患,做(zuò)到防範于未然。
目前,百度手機衛士獨創了(le)ACS技術,能夠對(duì)各種病毒進行第一時(shí)間查殺,首創的(de)“僞基站實時(shí)監測地圖”和(hé)“詐騙電話(huà)地圖”,還(hái)能夠實時(shí)監測到僞基站短信和(hé)詐騙電話(huà)的(de)地理(lǐ)位置,并及時(shí)預警。
而面向企業,作爲國内雲安全市場(chǎng)第一的(de)百度雲加速聯合CloudFlare、電信雲堤建立了(le)國内最先進的(de)全球抗攻擊網絡——ADN(AntiDDoSNetwork)。建成了(le)單IP1Tbps的(de)壓制能力,是目前國内安全廠商最高(gāo)的(de)防禦能力。此外,通(tōng)過接入了(le)百度深度學習(xí)網絡(BDN),能夠幫助企業建立起智能、快(kuài)速的(de)全網防禦能力。
進入2016年,網絡安全問題必将是各行各業關注的(de)核心問題之一,而除了(le)百度雲安全這(zhè)樣的(de)安全廠商提供的(de)防範,更需要提升防範意識。良好的(de)安全意識和(hé)使用(yòng)習(xí)慣才是企業和(hé)個(gè)人(rén)真正可(kě)以實現安全防護的(de)關鍵。
安全頻(pín)發巨頭大(dà)佬也(yě)不能幸免
面對(duì)安全威脅幾乎沒有企業可(kě)以做(zuò)到萬無一失。在2015年,蘋果Xcode病毒事件,讓人(rén)知道原來(lái)蘋果也(yě)有不安全的(de)時(shí)候,中招的(de)企業更是不乏滴滴打車、高(gāo)德地圖、微信這(zhè)樣的(de)國内企業大(dà)佬。
此外,5月(yuè)接連出現的(de)連環宕機事件更是讓支付寶、網易、新浪微博深處恐慌。其中支付寶就出現大(dà)規模癱瘓,故障時(shí)間超過多(duō)達2個(gè)小時(shí)。而網易骨幹網絡遭受公斤更是導緻其移動應用(yòng)、遊戲無法訪問和(hé)刷新。
“蘋果也(yě)沒有能力應對(duì)所有的(de)安全問題。”百度移動安全部安全技術專家包沉浮、百度移動安全技術總監王巍巍曾經接受媒體時(shí)表示,蘋果Xcode病毒這(zhè)一2015年的(de)典型安全事件,王巍巍認爲病毒本身攻擊方式很獨特,雖然早在幾十年前的(de)KenThompson就提過利用(yòng)編譯器留後門的(de)思路,但是攻擊方式很獨特,病毒作者通(tōng)過精心布局,最終造成了(le)如此大(dà)範圍的(de)影(yǐng)響,也(yě)算(suàn)是一個(gè)創新。
不過,王巍巍也(yě)強調,這(zhè)個(gè)事件反映了(le)國内程序員(yuán)一直以來(lái)安全意識的(de)不做(zuò)。“很多(duō)程序員(yuán)都沒有從官網下(xià)載文件,下(xià)載之後比對(duì)文件大(dà)小、MD5/SHA1等哈希值的(de)習(xí)慣,否則完全可(kě)以避免這(zhè)類問題的(de)發生。當然,國内的(de)網絡環境不佳也(yě)是一個(gè)客觀原因。當然,國内的(de)網絡環境不佳也(yě)是一個(gè)客觀原因。”
小隐患大(dà)問題黑(hēi)産借勢興風作浪
除了(le)網絡企業自身造成損失,對(duì)于普通(tōng)百姓的(de)生活也(yě)同樣受到網絡安全的(de)威脅,比如與我們密切相關的(de)社保同樣不能幸免,而且依靠系統漏洞,甚至成爲個(gè)人(rén)信息洩露的(de)重災區(qū)。
實際上相對(duì)而言,醫療社保等信息的(de)洩露事件實際有著(zhe)更爲嚴重的(de)後。百度雲安全部首席架構師TonyLee就表示,“在地下(xià)黑(hēi)色産業鏈中,一條醫療社保信息的(de)價格大(dà)約是一條普通(tōng)信用(yòng)卡信息的(de)10倍。”
而去年4月(yuè),重慶、上海、山西、貴州、河(hé)南(nán)等省市衛生和(hé)社保系統出現大(dà)量高(gāo)危漏洞,數千萬用(yòng)戶社保信息可(kě)能因此洩露。而根據相關數據顯示,圍繞社保、戶籍、疾控、醫院等出現高(gāo)危漏洞的(de)省市已經超過30個(gè),涉及人(rén)員(yuán)數量達到數千萬。
TonyLee表示,如果信息遭到洩露,參保人(rén)的(de)身份證号碼、社保信息、财務、薪酬、不動産等各種敏感信息将受到威脅。這(zhè)些信息被不法分(fēn)子獲得(de),很有可(kě)能被用(yòng)來(lái)進行釣魚詐騙、電信詐騙等,人(rén)們的(de)财産可(kě)能會受到損失。
同時(shí),TonyLee也(yě)強調,醫療社保信息還(hái)關系用(yòng)戶的(de)醫療信息、生病記錄等,是用(yòng)戶非常私密的(de)隐私信息。保護這(zhè)些隐私不收侵害,是法律賦予用(yòng)戶的(de)權利,絕對(duì)不能被侵害。
據悉,由于安全意識薄弱、缺乏專業技術人(rén)員(yuán)、防護策略過時(shí)等多(duō)方面的(de)因素,目前各省市的(de)醫療社保系統大(dà)多(duō)存在不同程度的(de)安全風險。
對(duì)此,TonyLee建議(yì)各地相關部門及時(shí)檢測安全系統的(de)漏洞風險,邀請專業的(de)第三方安全廠商對(duì)系統進行加固和(hé)升級。另外,加強安全意識培訓,對(duì)員(yuán)工進行安全教育也(yě)必不可(kě)少。
網絡威脅智能化(huà)安全要防範于未然
實際上,随著(zhe)物(wù)聯網、移動互聯網的(de)發展,網絡安全威脅也(yě)越來(lái)越大(dà),而無論是企業、網絡應用(yòng)服務的(de)提供者還(hái)是個(gè)人(rén),都應該關注如何應對(duì)網絡安全隐患,做(zuò)到防範于未然。
目前,百度手機衛士獨創了(le)ACS技術,能夠對(duì)各種病毒進行第一時(shí)間查殺,首創的(de)“僞基站實時(shí)監測地圖”和(hé)“詐騙電話(huà)地圖”,還(hái)能夠實時(shí)監測到僞基站短信和(hé)詐騙電話(huà)的(de)地理(lǐ)位置,并及時(shí)預警。
而面向企業,作爲國内雲安全市場(chǎng)第一的(de)百度雲加速聯合CloudFlare、電信雲堤建立了(le)國内最先進的(de)全球抗攻擊網絡——ADN(AntiDDoSNetwork)。建成了(le)單IP1Tbps的(de)壓制能力,是目前國内安全廠商最高(gāo)的(de)防禦能力。此外,通(tōng)過接入了(le)百度深度學習(xí)網絡(BDN),能夠幫助企業建立起智能、快(kuài)速的(de)全網防禦能力。
進入2016年,網絡安全問題必将是各行各業關注的(de)核心問題之一,而除了(le)百度雲安全這(zhè)樣的(de)安全廠商提供的(de)防範,更需要提升防範意識。良好的(de)安全意識和(hé)使用(yòng)習(xí)慣才是企業和(hé)個(gè)人(rén)真正可(kě)以實現安全防護的(de)關鍵。
