总第15期
Attack and Defense    攻防
Attack and Defense    攻防
数据泄露之殇 给安全演进带来了哪些新的思考
文/李超

近期,在安全领域发生了一起恶性数据泄露事件,其涉及用户规模仅次于之前雅虎30亿用户信息被窃事件。这起事件源于11月30日,万豪国际集团官方微博发布声明称,旗下喜达屋酒店的客房预订数据库被黑客入侵,所带来的损失是包括2018年9月10日或之前曾在该酒店预定的最多约5亿名客人的信息被泄露。而泄露的信息十分敏感,包括用户护照号码、姓名、出生日期、预订日期、电子邮件地址和邮寄地址,还不排除用户信用卡等重要信息。

另据报道,在万豪国际集团宣布其喜达屋客户预订数据库遭黑客攻击几个小时后,万豪就遭到了一起消费者的集体诉讼。诉讼称,万豪提出的一年信用监控计划是不被认可的,因为其无法保护客人的个人信息免受长期威胁。而更值得注意的是,本次攻击被最终发现是通过今年9月份一个安全工具警告称黑客试图侵入系统时,才引起万豪酒店的注意,经过随后的调查,该公司才注意到黑客竟长期在访问其客户注册系统的数据,甚至试图删除和加密这些数据。

这起泄露事件,虽然影响范围很广,但却不像之前雅虎事件那么让人触目惊心,究其原因主要是数据泄露事件近几年屡屡发生,已经见怪不怪。从一个旁观者对整个安全行业的大环境来看,数据泄露仿佛已成常态,人们开始普遍接受木桶效应的理论,即对个人信息保护的再如何完善,一旦其中某个环节出现纰漏,那之前所有防护上的努力也都将变的徒劳无功。也就是说,即使没有这次数据泄露,恐怕这些信息也早已通过其他方式泄露出去。这种思想让很多人对安全防护的态度产生了一些消极的影响。

另外,从受害用户来看,最不能接受的恐怕还是本应受到妥善保护的信息却以一种毫无保护的方式被泄露出去,并被黑客用作各种违法行为,而这样的问题已经不是一两次出现了,但始终没有得到足够的重视。而对涉案企业来说,最终所要付出的安全代价也将是难以承受的。总之,这种泄露对个人和企业来说其危害都将是十分深远的。那么,我们今天的企业对数据安全的重视程度是不是已经有所加强了呢?答案是有加强,但还远远不够。也是在这样的情况下,促使目前很多安全厂商开始把产品重心转移到数据安全方向上来。

数据安全防护成为主要战场

国际标准化组织(ISO)对计算机系统安全的定义是:为数据处理系统建立和采用的技术和管理的安全保护,保护计算机硬件、软件和数据不因偶然和恶意的原因遭到破坏、更改和泄露。从这个定义中我们可见数据安全的重要意义。同时,我们也意识到,数据安全与传统的主机安全和端点安全在安全边界上发生了很多变化,其更强调对数据的实时管理和分析,而不像传统防火墙那样主要强调对外的过滤功能。

目前,我们对数据本身的安全,主要是指采用密码算法对数据进行主动保护,如数据保密、数据完整性、双向强身份认证等;其次是对数据防护的安全,主要是采用信息存储手段对数据进行主动防护,如通过磁盘阵列、数据备份、异地容灾等手段保证数据的安全,而对数据本身的安全必须基于可靠的加密算法与安全体系,这就需要对内对外(本地、远端)都要做好相应的防护体系,而目前很多数据安全方案则缺乏这种内外一致的安全机制,导致数据安全这一战线频频失陷。因此,有人提出应该用一种全新的安全思路来摆脱这种困局。

变被动为主动的安全新思路

今年,我们在安全市场中听到最多的一句话就是“变被动为主动”,意思是把安全模式由被动防御向主动防御转变。由于传统滞后的安全反应机制一直困扰着安全领域,所以这样的想法一经提出马上得到众多安全企业的积极响应。目前,各大安全厂商争相推出基于大数据分析和机器学习的智能安全产品,并冠以主动安全防御(态势感知)等产品名称。

但从目前市场的反馈来看,在生产环境中应用这种新的安全技术的用户并不多见,为什么大家期盼已久的突破性技术却没有得到用户的大量买单呢?其实,在我们看来,最主要的原因无外乎是对这项新技术的不够信任,商业上说就是成熟度不足。在实际业务中,用户对安全的要求要远小于对成熟度的要求,而人工智能技术本身也是一把双刃剑,安全人员可以利用,黑客同样也可以利用,但这并不可否认AI给安全领域带来了新的技术革命。最起码其让攻防双方站在了同一起跑线上。那么目前这种主动防御技术到底靠不靠谱呢?

准确率与误报率的数字游戏

“我们对安全攻击的预警准确率已经达到99%以上”,这样的宣传口径在利用AI技术实现的主动防御方案中逐渐成了主流,但这个数字背后所隐藏的秘密却很少有人注意,只有对安全行业有一定了解的人才会对这样夸张的数字产生疑问,如果真的达到99%以上的预测准确率,那说明这项技术已经十分成熟,早就应该大规模商用了。

但遗憾的是,这一数字背后隐藏着一个巨大的“坑”,就是误报率的问题,我们知道当我们把所有异常现象都视作攻击威胁的话,系统预测的准确率将达到最高,甚至可以做到100%报警,因为所有的攻击事件都包含在所告警的范围之内,但这有什么意义呢?因为在安全领域还有一个不能忽视的参数是误报率,如果预警报告100次攻击威胁,但最终只有50次攻击是准确的,剩下的50次异常没有出现威胁,那误报率就达到了50%,相对实际的预测准确率就只有50%,而如此之高的误报率还会对安全维护工作造成极大的干扰和负担。

由于误报会对系统的正常使用造成重要影响,所以目前安全厂商大多只强调自己产品的预测准确率,而对误报率避而不谈,这其实还会带来一个比较严重的后果,就像“狼来了”的故事一样,当屡屡出现误报之后,维护人员很容易把真正的威胁忽略掉。因此,我们要对一款具备主动防御能力的安全产品性能指标进行评估时,准确率和误报率应该同时考虑,而厂商也应该在这两者之间做好一种平衡性,给出一个更加客观有效的性能参数,这样才会对实际应用具备参考价值。而目前看来,基于AI的智能安全产品大多都存在这样的问题,但我们要承认智能安全的演进方向必定将成为未来安全市场中的主要方向,其产品的成熟度也将在市场中进一步得到验证。

建立整体安全防护体系理念

通过近年来频繁发生的数据泄露事件,使得我们联想到了一系列的安全问题,最终我们还想强调一些基本的安全防御理念:

第一,安全防护应该通盘考虑、尽量杜绝死角,不应出现在某个环节上做到严防死守,而在某些环节中放任不管的情况,以避免再次出现木桶效应给整个防御体系带来的灾难性后果。

第二,不要过度迷恋新技术带来的安全能力,新技术并不是“百毒不侵”,本身也存在缺陷,如AI技术本身也存在可被利用的漏洞,防御工具是死的,但发起攻击的人是活的,安全的本质是人与人的对抗,因此应该时刻建立起一种随机应变的安全机制。

第三,传统安全手段并不过时,面对混合云的复杂安全边界场景,传统安全手段与新兴安全技术同样重要,尤其对于数据安全而言,安全策略也将随着对数据应用方式的改变而有所变化,因此类似打补丁这样的传统方式反而显的更加重要了。

第四,转变对安全的态度,尽早建立起一套安全流程与规则,并严格予以执行。

任何安全上的疏忽大意都会给我们带来不可挽回的后果,因此,我们对安全的态度与意识才是最为重要的,企业安全的责任并非只局限于几个维护人员本身,而在于全体员工的参与,只有建立起一套面向全局的安全体系与规则流程,并严格遵守和执行,才能搭建出一个长治久安的安全防护体系,以减少给黑客的可乘之机。

分享到
关闭