历年央视的3.15晚会,都会受到全国人民的关注。中国是个人口红利大国。年度的消费陷阱预警、被曝光的种种欺诈手段,这些央视基于消费者真实投诉,进行跟踪调研的精选内容,不仅给予全国14亿消费者警示,督促相关部门重视并尽快推进维权的工作,更是在鞭挞商家要警钟长鸣,时刻有维护消费者权益的意识。
今年央视的3.15晚会已经确认因为全国疫情的原因延后,具体曝光的内容和方向我们还不得而知。在此之前,我们要先明确,网络安全与消费者权益的保护之间,有着怎样的联系。
网络安全与消费者权益
2014年3月15日起正式施行的新《中华人民共和国消费者权益保护法》中明确强调,经营者及其工作人员对收集的消费者个人信息必须严格保密,不得泄密、出售或者非法向他人提供。经营者应当采取技术措施和其他必要措施,确保信息安全,防止消费者个人信息泄露、丢失。同时规定,经营者未经消费者同意或者请求,或者消费者明确表示拒绝的,不得向其发送商业性信息。
然而,现实却是,我们的个人和行为信息已经被广泛滥用,甚至有着贩卖信息的成熟黑产。手机号、身份证号以及家庭住址这些老百姓早年意识中的隐私也早已不知道被转手过多少次。
无论你处于哪个行业,住在哪个城市,随着企业、政府机构等大量业务的云化,互联网、大数据服务可以说已经融入了我们的生活。物联网、5G移动通讯,也在快速向我们走来。消费活动作为我们每个人日常生活中的重要一环,消费者权益能否得到有效保障,值得每个网安人为之思考和努力。
作为国内成立较早的一批网络安全企业,绿盟科技今年4月就将迎来20岁生日。作为一家定位在为企业提供网络安全产品和服务的企业,近20年的产品技术、需求场景的积累,让绿盟科技有了丰富、立体的能力外延。也即是说,我们的产品和能力,对 C 端消费者而言,也有着重大的积极意义。
下面,是绿盟君整理的三个典型因为网络安全原因,消费者权益被侵犯的场景,以及绿盟科技可以为企业客户所提供的针对性能力支撑。
场景1
基于大数据服务而产生的个人信息滥用
数据可以说是数字时代的石油,而存储这些原油的,是大数据平台。随着企业和机构在大数据基础设施建设投入的持续增长,数据应用开放的加速,这些原油数据,已经作为重要的生产要素,推动着决策与创新。
但是,这些数据是否被滥用?是否在未绑架可用功能性的前提下,尽了向数据主权所有者告知所有潜在用途的义务?生活中常常会遇到这样的事情:刚刚在某网站看完心仪的电视,就收到了另一电商网站同品牌的推送;刚刚咨询完一家4S 店的保养方案,就收到了2公里内另一家4S 店销售仓促的电话;莫名的电话、邮件,更是因为自己本该在银行、某机构的数据,居然在一家根本没有听说过的第三方数据公司,通过爬虫爬取来的大数据平台里。
随着隐私保护相关政策、法律的陆续出台,企业和机构对大数据平台中的数据,以及其所提供的服务,会有相应的安全管理意识;但是数据类型多、体量大、平台组件安全性未知,都是数据治理重要技术阻碍和被恶意利用的风险点。从监管单位角度,对其数据内容、流转和应用的合规检查,也困难重重。
无疑,大数据平台需要基于内容持续的监控和治理。绿盟敏感数据发现与风险评估系统(IDR)可以结合不同行业业务特性,提供数据发现、分类分级、敏感数据分布监控、审计、和组件的风险评估等功能。
这些能力,一方面可以为监管和测评机构提供一站式的便携工具;另一方面能为企业基于数据安全风险(如数据滥用)实现快速定位提供技术支撑,并通过修复优化建议,帮助企业满足检查要求的同时,提升系统和数据的安全性。
场景2
网站数据泄露、挂马以及钓鱼
数据泄露,对企业而言,可能让高管被迫辞职,收购价格大幅跳水,甚至检察院介入调研。那么,对于被泄露信息的人,又意味着什么?回答这个问题,你可以尽情发挥你的想象力。个人隐私自不必说,但还可能是你注册其它账户时最常用的邮箱和登录凭证,也有可能是你在这个站点不小心“违规”上传的重要机密数据。
从互联网时代开始,Web 服务就以各种形式参与到我们的消费生活中。不局限于网购,从基础的电邮、社交,到金融、在线医疗,再到疫情下另一个风口——远程办公/授课。但是,这些提供 Web 服务的网站(或者是 Web 后端),是否正在施行有效的安全措施,以应对可能发生的安全事件,我们作为消费者却不得而知。然而,如果你去任何安全媒体网站,检索“数据泄露”这个关键词,你会发现,很多知名的网站,很多存储着对于用户而言非常重要信息的网站,做的并没有我们以为的那么好。
可以说,利用网站漏洞进行攻击,进而窃取数据,对攻击者而言是个获取数据的重要方式。网站的源代码,数据库,注册信息都是他们的对象。所以 Web 安全防护是一个非常必要的能力。这个能力的核心载体,就是 WAF(Web 应用防火墙)。
Web承载的交互应用是数据库的门户。绿盟科技的WAF能检查HTTP请求的各个字段,用精炼的规则对攻击实施过滤,以提供细粒度的 HTTP 访问控制。此外,还支持识别并更正Web应用错误的业务流程,以识别可能存在的数据泄露行为。
当然,Web 给消费者权益带来的威胁不局限在数据泄露。被篡改后的网站,隐藏其中的非法链接、恶意代码、木马病毒等,又是另一种。
“僵木蠕”(即僵尸网络、木马病毒、蠕虫病毒),特别是后两者,感染后都可以对我们个人电脑的(文件)系统造成破坏。重要文件的丢失、泄露、或被恶意隐藏,电脑被远程控制,都是可能且真实发生过的。
近期,网上开始流传名为“新冠病毒”、“最新病毒预防手册”、“武汉实录”等木马病毒,在社交软件、电子邮件中大量传播。攻击者利用广大群众关注疫情、渴望获得第一手资讯的心理,诱导用户下载、运行。这些恶意软件不仅可以窃取用户个人信息,回传电脑中存储的重要文件,甚至可以使其沦为网络犯罪的工具(比如挖矿)。当然,如果你是 BYOD 办公,那么这些病毒一旦入侵企业内部网络环境,后果更是不堪设想。
那么,什么类型的网站更容易成为被篡改的目标,并挂上恶意链接和病毒呢?2019年初,绿盟科技应急响应团队就检测到国内近700多家政府、教育、企事业单位网站被黑客批量篡改,植入恶意链接,访问链接后会跳转到指定色情网站。
网页篡改可大致分为显式篡改和隐式篡改两种。如果说显式篡改是为了炫技,或者出于宗教和政治舆论目的的话,那么隐式篡改(如挂马、暗链等)就是直接出于经济利益的考量。
隐式篡改也是对消费者危害最大的攻击形式。所以,除了 WAF 外,出于对浏览网站的消费者权益的保护,网页防篡改也是必备的能力。
绿盟网页防篡改系统(HWAF)具备易安装、易管理、易维护和易扩展的特点。结合 WAF,在保障网站安全、稳定运行的同时,可以更立体的实现安全防护,更好的从网络安全角度,保障消费者(无论是作为用户还是游客)的合法权益。
Web 还有一种重要的侵犯消费者权益,扰乱市场环境的行为,那就是仿冒(钓鱼)网站。对其有效、及时的发现和监控,是关停前的基础与关键。
电商作为线上消费的核心渠道,仿冒(钓鱼)情况较为严重。绿盟威胁情报中心(NTI)基于持续的资产监测和识别能力,可快速发现和定位仿冒(钓鱼)网站。部分仿冒(钓鱼)知名电商的网站,外观上“肉眼难辨”。一旦消费者访问和登录这些仿冒(钓鱼)站点之后,其账号以及支付凭证等关键数据将被仿冒(钓鱼)站点拥有者获取。后续消费者的资产可能面临着被盗刷、刷单以及引流等变现操作。
基于绿盟科技大数据分析平台,结合安全情报专家对情报数据进行深度挖掘分析,绿盟威胁情报中心可以准确定位和识别仿冒(钓鱼)网站,并通过NTI Portal界面、API接口、订阅推送等多种方式将威胁情报与安全设备、客户和安全厂商进行共享,协同防御,保护客户网络安全。
场景3
智慧家庭中的隐私和财产安全
最后谈谈之前几年3.15已经提及较多的物联网,特别是智慧家庭中的安全隐患。
物联网、5G 可以说在技术应用上有很强的结合。随着5G 的广泛应用,各家智慧家庭生态的逐渐成型,想必可以联网的摄像头、门锁、台灯、开关、电视等物联网设备,会更深入的融入甚至改变我们的日常生活。
因为网络安全问题,物联网设备所引入的风险有其特殊性——不局限在数字世界。
家用摄像头因为系统升级困难、固件安全漏洞、云端平台在登录时对身份的认证机制存在缺陷等问题,往往造成家人生活状态(隐私)泄露;联网机顶盒、电视利用其安全漏洞进行劫持,强制弹出广告或者恶意站点;智能门锁因为手机 APP、后台等脆弱性被恶意监控,掌握家人生活作息,甚至进行实现远程控制辅助入室盗窃。
消费级的物联网设备需要在出厂前,在兼顾成本、售价处在合理范围的前提下,应考虑哪些和网络安全相关的安全性检查和措施?为了维持安全的基线,在资产侧,如对固件的安全检测、系统升级,后台接入前的准入控制,移动端应用代码层的混淆、审计等,都是非常有必要采取的措施。
当然,这些只是基于消费级物联网设备的。城市级、行业级的物联网,需要更复杂、立体的安全方案做支撑。基于绿盟智能安全运营平台iSOP,结合NTI威胁情报数据对物联网场景进行分析,绿盟科技物联网保护伞解决方案可以对家庭网络及企业物联网边缘设备进行安全防护,为消费者和企业提供安全解决方案。
对于采购和使用消费级物联网产品的消费者,绿盟科技也给出如下安全建议:
-
第一时间更改默认口令。如有可能,最好定期更换(建议使用口令管理软件)。
-
关注个人隐私。如摄像头安装的位置,角度。不需要使用时可以考虑关闭电源。
-
使用手机 APP 进行监控尽量使用移动网络。切忌使用公共免费 WIFI。
-
智能音响、语音助手要关注隐私相关设置,可能的话定期删除语音记录。
-
采购时要选择支持升级与安全更新的设备,并在第一时间升级更新。