网络安全全景图
前言:
本文以通过对最近几年网上有关民用级别网络安全事件的相关信息的收集、整理、分析,从民用级别的网络安全事件的攻击目的为基本出发点,通过主要表现、实现手段、安全策略等几个维度,对当前的民用级别的网络安全形势,做一个框架性的描述。
所谓的民用级别的网络安全,就是指以非特定群体为服务对象(如渗透率极高的支付宝,微信)的网络应用的网络安全。此类网络应用的特点是:1)使用对象具有不确定性。2)使用范围具有广泛性和不确定性。
为方便计,下文将民用级别的网络安全,简称网络安全。
一)网络安全的现状
以发起网络攻击目的划分,可分为两类攻击,谋财、害命
| 攻击目的 | 主要表现 |
|---|---|
| 谋财 | 1)窃取可变现数据。2)完成可变现的虚假或非法任务。3)套取网站商业补贴(简称“薅羊毛”)4)灰色、黑色经济。 |
| 害命 | 现阶段以“搞死”某个网站为主要表现形式。不排除未来以网络为杀人工具,直接杀人的可能性。比如当自动驾驶汽车获得商用许可,可正式上路行驶时,黑掉运载某某上班的无人自动驾驶汽车。 又比如或“遥控”行驶在人群密集的路段的自动驾驶汽车突然失控等等 注:防御害命攻击的安全策略,不在本文讨论范围之内。 |
谋财攻击的主要实现手段:
| 主要表现 | 主要的实现手段 |
|---|---|
| 窃取可变现数据 | 1)内鬼盗取。2)漏洞攻击。3)合法的商业行为掩护非法的商业目的。4)中间人攻击。5)网络拦截 |
| 完成可变现的虚假或非法任务 | 以正常的网上行为,掩盖或从事虚假或非法的网上商业行为。典型行为:1)各种诈骗活动。2)电商平台上的刷信用。3)水军行为。 |
| 套取商业网站活动补贴(简称“薅羊毛”) | 发现商业网站有补贴的商业活动中的漏洞,利用技术手段和虚假身份信息,参与活动,骗取活动补贴。 |
| 灰色、黑色经济 | 有太多太多的技术手段、技术方案,都可以实现可以用于实现灰色、黑色经济。 |
谋财攻击的主要实现手段的共同点:
谋财攻击的手段千奇百怪,无所不用其极,谋财攻击最终呈现出来的表现形式,也是千奇百怪,但所有这些实现手段无论以什么形式呈现出来,透过现象看本质,他们都有以下3个共同点:
1) 所有这些手段,完成最后一击的,必定使用了虚假身份信息。
2) 就单个攻击而言,因完成最后一击的行为人,必定采用了虚假身份信息对攻击人进行伪装和保护,这使得对绝大多数的攻击行为而言,对单个攻击行为进行打击的执法成本非常高。
3) 因为以上两个特点的存在,使得对于绝大多数被谋财攻击所攻击的人而言(特别是被谋财攻击所击中的个人而言),被攻击的损失很难找回。
谋财攻击的特点:
谋财攻击已经呈现出产业化、链条化的攻击特点。具体表现为,每个攻击行为,往往都被严格分为若干个独立的攻击环节(如有发掘漏洞的,有设计攻击脚本的,有设计攻击工具的,有变现的,有洗钱的,等等),各个环节分工协作,有序工作。在大多数情况下,各个环节上的人,相互之间只知“网上身份”,不知真实身份。
在这样的攻击体系下,BATJ等这样体量互联网应用,也无法避免谋财攻击对其的骚扰。各种负面消息如影随形,挥之不去。
可以这样讲,任何一个互联网应用的体量大到一定程度后,谋财攻击就如吸血的蚂蟥一样,必然依附于到这个应用之上。
二、网络安全策略
在现实的网络环境中,参与网络活动的各方,可采用不同的安全策略,在享受网络应用给人们带来的种种便利的同时,最大限度的保护自己的合法权益不受侵害。
一)个人的安全策略
1) 各种各样的互联网应用,非必要,能不用就不用。特别是需要提供完整的个人信息的互联网应用,使用起来就更是要慎之又慎。
2) 养成良好的APP使用习惯,这些良好的使用习惯包括:1)手机不越狱。2)如果有两个手机,则同财物直接相关的应用(如银行APP、微信、支付宝)安装在一个手机上,同财物没有直接相关的应用,安装在另外一个手机上。3)分类设置密码。同财物直接相关的应用的登录、支付等密码按一个生成规则设置密码,登录密码同支付密码要分开。同财物无关的应用的登录密码,要用另外的一个生成规则设置密码。4)被绑定在应用上的银行卡,不要有太多的现金。5)在公共场所进行支付时,将手机调整为流量连接网络的状态,不要在wifi连接的状态下,进行支付。6)不要点击不明连接。7)给安装的APP,以最少权限。短信、电话、通讯录读取权限一概不给。8)克服贪欲。贪欲是最容易被谋财攻击所击破的第一道防线。无欲则刚。
二)非巨型企业的安全策略。
感谢有巨型企业吸引了大量的谋财攻击的目光。对于非巨型企业的安全策略,主要就是考虑1)如何规避可能出现的害命攻击。2)如何防范内鬼对企业敏感数据、用户数据的盗取。3)在业务实现的设计上,尽量在不要收集太多的用户私人信息的条件下,完成业务实现。这样既可以规避越来越严关于保护个人信息所需要支出的相关资源,又可以有效规避谋财攻击的觊觎和可能的攻击,用户数据去价值化,是最好的防御策略。
对于小微企业而言,将其IT的业务平台“寄放”在巨型企业的提供的“业务平台”之上,也是一个可以考虑的安全策略。例如支付宝和微信都支持的“小程序”等。
三)巨型企业的安全策略。
1) 对于巨型企业而言,如何有效验证在其平台上进行注册自然人或法人是合法、合规的自然人或法人,是其免受各种谋财攻击的关键所在。可以这样讲,政府如果无法为提供网络应用服务的企业提供精准、低成本的注册人的身份验证服务,则各种各样的以伪造身份为基础掩护的谋财攻击,就必然会同这些巨型企业如影随形。
2) 对于巨型企业而言,如何有效防御内鬼攻击又是一个保证企业经营数据和用户数据安全的巨大的挑战。
通过对最近几年网上相关网络安全的信息的收集、整理、分析,可清楚的发现:国内几家巨型企业,以虚假信息进行注册为基础的谋财攻击,延续时间已经不是一天两天了,只是直到现在受困企业似乎也未找到有效的解决办法(技术方案),即便国家公布了所有手机号码都需要进行实名认证,情况(以虚假信息进行注册的情况)似乎也依然没有任何改观。
四)政府的安全策略
近一、二十年以来,网络应用快速发展,各种网络应用已经深入到百姓生活的方方面面,各种各样的网络应用,在给百姓生活带了种种便利的同时,千奇百怪的网络安全攻击也轮番上演。这些攻击无一例外的给被攻击者带了了负面影响。而作为网络应用的使用人或网络应用服务的提供跟,在各种各样的网络攻击面前,无一幸免。
政府作为网络安全的最终负责人,虽然这些年来,政府做了大量的工作,以改善网络环境,希望为合法合格的网络应用提供一个更为安全的网络环境,以保护网络应用的提供商和使用者免受网络攻击的不法侵害。但令人遗憾的是,网络安全的形势并为因政府的种种努力而有所改善。显然这一、二十年来的政府所秉持的安全策略被严酷的现实证明最少是低效的。
那么政府应秉持什么样的安全策略呢?
“程序法律法规化,法律法规程序化”是政府唯一应该秉持的安全策略。股票买卖的网络化管理和网络应用近一、二十年的网络安全现状,从正、反两方面证明了这个安全策略的有效性和高效性。
“程序法律法规化,法律法规程序化”的唯一目的就是建立起高精准度的网上行为人同网下自然人的有法律、法规所保障的对应关系。这样当网络安全的攻击事件发生后,可快速的从网络攻击所留下的网上行为人的相关信息,快速且低成本的“找到”网下自然人,同时给于相应的处理或打击。
对于谋财攻击而言,能够找到攻击人和能够快速而低成本的找到攻击人,是完全两个不同的是否实施谋财攻击的前置条件。如果谋财攻击发生了,能找到攻击人但需要投入大量的资源(就现状而言,任何的谋财攻击,如果不计成本,都可以找到攻击人,只是“寻找”成本太高,无法实施“寻找”攻击人的法律行为),则这样的谋财攻击是可以尝试的发动的攻击。比如在当下网络世界中,天天上演的各种各样的谋财攻击。反过来讲,如果谋财攻击发生了,能快速而低成本的“找到”攻击人,则相信相当多的谋财攻击,将会被扼杀在谋财攻击的规划阶段。