歷年央視的3.15晚會,都會受到全國人民的關注。中國是個人口紅利大國。年度的消費陷阱預警、被曝光的種種欺詐手段,這些央視基於消費者真實投訴,進行跟蹤調研的精選內容,不僅給予全國14億消費者警示,督促相關部門重視並儘快推進維權的工作,更是在鞭撻商家要警鐘長鳴,時刻有維護消費者權益的意識。
今年央視的3.15晚會已經確認因為全國疫情的原因延後,具體曝光的內容和方向我們還不得而知。在此之前,我們要先明確,網路安全與消費者權益的保護之間,有著怎樣的聯絡。
網路安全與消費者權益
2014年3月15日起正式施行的新《中華人民共和國消費者權益保護法》中明確強調,經營者及其工作人員對收集的消費者個人資訊必須嚴格保密,不得洩密、出售或者非法向他人提供。經營者應當採取技術措施和其他必要措施,確保資訊保安,防止消費者個人資訊洩露、丟失。同時規定,經營者未經消費者同意或者請求,或者消費者明確表示拒絕的,不得向其傳送商業性資訊。
然而,現實卻是,我們的個人和行為資訊已經被廣泛濫用,甚至有著販賣資訊的成熟黑產。手機號、身份證號以及家庭住址這些老百姓早年意識中的隱私也早已不知道被轉手過多少次。
無論你處於哪個行業,住在哪個城市,隨著企業、政府機構等大量業務的雲化,網際網路、大資料服務可以說已經融入了我們的生活。物聯網、5G移動通訊,也在快速向我們走來。消費活動作為我們每個人日常生活中的重要一環,消費者權益能否得到有效保障,值得每個網安人為之思考和努力。
作為國內成立較早的一批網路安全企業,綠盟科技今年4月就將迎來20歲生日。作為一家定位在為企業提供網路安全產品和服務的企業,近20年的產品技術、需求場景的積累,讓綠盟科技有了豐富、立體的能力外延。也即是說,我們的產品和能力,對 C 端消費者而言,也有著重大的積極意義。
下面,是綠盟君整理的三個典型因為網路安全原因,消費者權益被侵犯的場景,以及綠盟科技可以為企業客戶所提供的針對效能力支撐。
場景1. 基於大資料服務而個人資訊濫用
資料可以說是數字時代的石油,而儲存這些原油的,是大資料平臺。隨著企業和機構在大資料基礎設施建設投入的持續增長,資料應用開放的加速,這些原油資料,已經作為重要的生產要素,推動著決策與創新。
但是,這些資料是否被濫用?是否在未綁架可用功能性的前提下,盡了向資料主權所有者告知所有潛在用途的義務?生活中常常會遇到這樣的事情:剛剛在某網站看完心儀的電視,就收到了另一電商網站同品牌的推送;剛剛諮詢完一家4S 店的保養方案,就收到了2公里內另一家4S 店銷售倉促的電話;莫名的電話、郵件,更是因為自己本該在銀行、某機構的資料,居然在一家根本沒有聽說過的第三方資料公司,透過爬蟲爬取來的大資料平臺裡。
隨著隱私保護相關政策、法律的陸續出臺,企業和機構對大資料平臺中的資料,以及其所提供的服務,會有相應的安全管理意識;但是資料型別多、體量大、平臺元件安全性未知,都是資料治理重要技術阻礙和被惡意利用的風險點。從監管單位角度,對其資料內容、流轉和應用的合規檢查,也困難重重。
無疑,大資料平臺需要基於內容持續的監控和治理。綠盟敏感資料發現與風險評估系統(IDR)可以結合不同行業業務特性,提供資料發現、分類分級、敏感資料分佈監控、審計、和元件的風險評估等功能。
這些能力,一方面可以為監管和測評機構提供一站式的便攜工具;另一方面能為企業基於資料安全風險(如資料濫用)實現快速定位提供技術支撐,並透過修復最佳化建議,幫助企業滿足檢查要求的同時,提升系統和資料的安全性。
場景2. 網站資料洩露、掛馬以及釣魚
資料洩露,對企業而言,可能讓高管被迫辭職,收購價格大幅跳水,甚至檢察院介入調研。那麼,對於被洩露資訊的人,又意味著什麼?回答這個問題,你可以盡情發揮你的想象力。個人隱私自不必說,但還可能是你註冊其它賬戶時最常用的郵箱和登入憑證,也有可能是你在這個站點不小心“違規”上傳的重要機密資料。
從網際網路時代開始,Web 服務就以各種形式參與到我們的消費生活中。不侷限於網購,從基礎的電郵、社交,到金融、線上醫療,再到疫情下另一個風口——遠端辦公/授課。但是,這些提供 Web 服務的網站(或者是 Web 後端),是否正在施行有效的安全措施,以應對可能發生的安全事件,我們作為消費者卻不得而知。然而,如果你去任何安全媒體網站,檢索“資料洩露”這個關鍵詞,你會發現,很多知名的網站,很多儲存著對於使用者而言非常重要資訊的網站,做的並沒有我們以為的那麼好。
可以說,利用網站漏洞進行攻擊,進而竊取資料,對攻擊者而言是個獲取資料的重要方式。網站的原始碼,資料庫,註冊資訊都是他們的物件。所以 Web 安全防護是一個非常必要的能力。這個能力的核心載體,就是 WAF(Web 應用防火牆)。
Web承載的互動應用是資料庫的門戶。綠盟科技的WAF能檢查HTTP請求的各個欄位,用精煉的規則對攻擊實施過濾,以提供細粒度的 HTTP 訪問控制。此外,還支援識別並更正Web應用錯誤的業務流程,以識別可能存在的資料洩露行為。
當然,Web 給消費者權益帶來的威脅不侷限在資料洩露。被篡改後的網站,隱藏其中的非法連結、惡意程式碼、木馬病毒等,又是另一種。
“僵木蠕”(即殭屍網路、木馬病毒、蠕蟲病毒),特別是後兩者,感染後都可以對我們個人電腦的(檔案)系統造成破壞。重要檔案的丟失、洩露、或被惡意隱藏,電腦被遠端控制,都是可能且真實發生過的。
近期,網上開始流傳名為“新冠病毒”、“最新病毒預防手冊”、“武漢實錄”等木馬病毒,在社交軟體、電子郵件中大量傳播。攻擊者利用廣大群眾關注疫情、渴望獲得第一手資訊的心理,誘導使用者下載、執行。這些惡意軟體不僅可以竊取使用者個人資訊,回傳電腦中儲存的重要檔案,甚至可以使其淪為網路犯罪的工具(比如挖礦)。當然,如果你是 BYOD 辦公,那麼這些病毒一旦入侵企業內部網路環境,後果更是不堪設想。
那麼,什麼型別的網站更容易成為被篡改的目標,並掛上惡意連結和病毒呢?2019年初,綠盟科技應急響應團隊就檢測到國內近700多家政府、教育、企事業單位網站被駭客批次篡改,植入惡意連結,訪問連結後會跳轉到指定色情網站。
網頁篡改可大致分為顯式篡改和隱式篡改兩種。如果說顯式篡改是為了炫技,或者出於宗教和政治輿論目的的話,那麼隱式篡改(如掛馬、暗鏈等)就是直接出於經濟利益的考量。
隱式篡改也是對消費者危害最大的攻擊形式。
所以,除了 WAF 外,出於對瀏覽網站的消費者權益的保護,網頁防篡改也是必備的能力。
綠盟網頁防篡改系統(HWAF)具備易安裝、易管理、易維護和易擴充套件的特點。結合 WAF,在保障網站安全、穩定執行的同時,可以更立體的實現安全防護,更好的從網路安全形度,保障消費者(無論是作為使用者還是遊客)的合法權益。
Web 還有一種重要的侵犯消費者權益,擾亂市場環境的行為,那就是仿冒(釣魚)網站。對其有效、及時的發現和監控,是關停前的基礎與關鍵。
電商作為線上消費的核心渠道,仿冒(釣魚)情況較為嚴重。綠盟威脅情報中心(NTI)基於持續的資產監測和識別能力,可快速發現和定位仿冒(釣魚)網站。部分仿冒(釣魚)知名電商的網站,外觀上“肉眼難辨”。一旦消費者訪問和登入這些仿冒(釣魚)站點之後,其賬號以及支付憑證等關鍵資料將被仿冒(釣魚)站點擁有者獲取。後續消費者的資產可能面臨著被盜刷、刷單以及引流等變現操作。
基於綠盟科技大資料分析平臺,結合安全情報專家對情報資料進行深度挖掘分析,綠盟威脅情報中心可以準確定位和識別仿冒(釣魚)網站,並透過NTI Portal介面、API介面、訂閱推送等多種方式將威脅情報與安全裝置、客戶和安全廠商進行共享,協同防禦,保護客戶網路安全。
場景3. 智慧家庭中的隱私和財產安全
最後談談之前幾年3.15已經提及較多的物聯網,特別是智慧家庭中的安全隱患。
物聯網、5G 可以說在技術應用上有很強的結合。隨著5G 的廣泛應用,各家智慧家庭生態的逐漸成型,想必可以聯網的攝像頭、門鎖、檯燈、開關、電視等物聯網裝置,會更深入的融入甚至改變我們的日常生活。
因為網路安全問題,物聯網裝置所引入的風險有其特殊性——不侷限在數字世界。
家用攝像頭因為系統升級困難、韌體安全漏洞、雲端平臺在登入時對身份的認證機制存在缺陷等問題,往往造成家人生活狀態(隱私)洩露;聯網機頂盒、電視利用其安全漏洞進行劫持,強制彈出廣告或者惡意站點;智慧門鎖因為手機 APP、後臺等脆弱性被惡意監控,掌握家人生活作息,甚至進行實現遠端控制輔助入室盜竊。
消費級的物聯網裝置需要在出廠前,在兼顧成本、售價處在合理範圍的前提下,應考慮哪些和網路安全相關的安全性檢查和措施?為了維持安全的基線,在資產側,如對韌體的安全檢測、系統升級,後臺接入前的准入控制,移動端應用程式碼層的混淆、審計等,都是非常有必要採取的措施。
當然,這些只是基於消費級物聯網裝置的。城市級、行業級的物聯網,需要更復雜、立體的安全方案做支撐。基於綠盟智慧安全運營平臺iSOP,結合NTI威脅情報資料對物聯網場景進行分析,綠盟科技物聯網保護傘解決方案可以對家庭網路及企業物聯網邊緣裝置進行安全防護,為消費者和企業提供安全解決方案。
對於採購和使用消費級物聯網產品的消費者,綠盟科技也給出如下安全建議:
1、第一時間更改預設口令。如有可能,最好定期更換(建議使用口令管理軟體)。
2、關注個人隱私。如攝像頭安裝的位置,角度。不需要使用時可以考慮關閉電源。
3、使用手機 APP 進行監控儘量使用行動網路。切忌使用公共免費 WIFI。
4、智慧音響、語音助手要關注隱私相關設定,可能的話定期刪除語音記錄。
5、採購時要選擇支援升級與安全更新的裝置,並在第一時間升級更新。