标签:浏览器 src day 针对 访问控制 通告 0day scripts pixel
你的个人隐私,除了你自己没人能保护。
在我们享受互联网所带来的便利时,信息安全已经逐渐成为一大困扰。
在大数据时代,各种互联网产品逐渐把收集用户数据作为最重要的商业模式,通过不断收集、存储、浏览你的行为信息,甚至可以勾勒出你的兴趣爱好、健康状况甚至家庭成员等个人隐私信息。
如果你不愿意做一个束手就擒的人,还是可以采取一些行动。
本文我们邀请了真格被投企业青藤云安全的安全技术总监来谈谈,如何在这个“无隐私”时代,避免成为一个透明人?
*本文作者:青藤云安全安全技术总监孙维伯
《真相》是真格基金推出的全新栏目
探究人类、社会的多样性
以及鲜为人知的现象和行业洞见
在互联网上,
真的没人知道你是一条狗吗?
1993 年,The New Yorker 杂志刊登了一幅漫画:一只黑狗站在电脑椅上,爪子扶着键盘,望向站在地上、表情迷茫的白狗,兴奋地说:On the Internet , nobody knows you ‘ re a dog.(在互联网上,没有人知道你是一条狗。)
放在今天这绝对是一句笑话。
如果那只狗还在上网,它大概会惊恐地发现,别人不仅知道它是一条狗,而且知道它的名字、主人、地址、品种、血统、毛色,甚至知道它最喜欢吃什么牌的狗粮、有没有做过绝育等。
可能有很多人会说,我们并不会对一个路人甲的姓名、年龄、兴趣、爱好等资料有任何兴趣。
但是,在大数据时代,各种网站逐渐把收集用户数据作为最重要的商业模式,用户的隐私信息在网络上无处遁形。
例如当你身体不舒服上网查询病症,隔天就会接到某诊所的电话,之后只要打开浏览器,页面边上都会弹出医院相关广告。
不懂技术的你,是否也很好奇,搜索引擎是如何这么清晰了解自己上网痕迹,又知道自己哪些隐私信息呢?
搜索引擎可能是世界上最了解你的人
针对于这个问题,曾任亚马逊中国、美团和小米首席安全官的杨更先生表示:
正常情况下,不少搜索引擎在响应用户访问行为时,都会有以下几个关键环节:
1、使用浏览器打开搜索网站的网址,输入查询关键词。
2、搜索网站返回搜索结果数据的同时,,包括 tracking scripts, tracking pixels, tracking cookies 等,尽量精准地追踪用户在互联网上的各种行为。
3、搜索网站通过追踪技术不断收集和存储搜索甚至浏览行为信息,勾勒出用户的兴趣爱好、健康状况甚至家庭成员等个人隐私信息。
部分搜索引擎获取用户隐私流程
搜索引擎在收集了众多用户画像信息后,最主要的商业变现方式就是定向广告。
从下图某搜索引擎广告平台上对其精准人群定向能力的宣传,日均百亿次的线上行为数据中很有可能就包括你的搜索及点击行为。
某公司的广告精准投放服务介绍
以小白视角看这件事情,就犹如打开浏览器的“大门”后,黑暗处有一双眼睛一直在偷窥我们,然后将监视信息实时传至资料收集中心进行贴标签,按照标签将个人信息放在货架,供其它广告主选择。
个人隐私,除了你自己没人能保护
你在网络上的任何行为,都可能成为追踪个人的蛛丝马迹。人类花了几万年进化到衣冠楚楚的文明社会,互联网只用了几十年就把他们打回了衣不蔽体的原形。
不过,如果你不愿意做一个束手就擒的人,你还是可以采取一些行动。
1、重归自然,适合意志坚定者
早年,没有互联网,人类不是也存在得好好的。既然互联网如此不安全,我们不用也罢!手机电脑我都不要了!不过是回归原始生活,我还是可以好好活!
但在这个时代,没有互联网,我们真的还能好好生活么?不叫外卖,不叫车,这样的便利生活,你真的愿意舍弃么?
2、变化多端,适合高智商者
将所有的账户密码设为不同的高难密码,将电脑手机摄像头永远贴上黑塑胶,将过海关将随身设备刷成出厂设置,将所有硬盘都加密,将密码提示问题都是假答案。但你还能记住……
此类解决方案,作为一个普通人,一两条我还能 Hold 住,完全做到根本不可能。
3、简单明了,适合大众
现在,以隐私保护为核心的搜索引擎正在慢慢崛起,像是早年的 duckduckgo,还有国内近期上线的秘迹搜索(mijisou.com)。
这些免费的无痕搜索这些免费的无痕搜索,可以帮助你轻松摆脱定向广告的骚扰,同时也减少了未来因互联网发展所带来更大的风险。
目前虽然很多浏览器都自称拥有隐身模式或者是无痕模式,但事实上,这也是一个各大浏览器的“小套路”。
所谓的“无痕模式”
希望普通用户们针对自己的情况,选择最好的解决方案,以便更有效的保护自己的个人隐私。而对于企业来说,如何更好的保护自己客户的数据则更为重要。
企业数据保护,
需建立立体安全防护措施
随着互联网+时代的来临,业务变得越来越开放和复杂,固定的防御边界已不复存在,而黑客手段却越来越多样化。
网络攻击能轻而易举地穿透边界防护设备直达业务系统内部。目前,数据泄漏主要发生在三个位置:网络,应用和主机。
一、网络侧,应采用 HTPPS 协议应对网络嗅探
在网络层面,最常见的攻击是嗅探。如果使用 HTTP 协议传输数据很容易被监听传输内容,如果这些数据中存在敏感信息的话,风险太大了。
因此我们需要对我们的传输数据进行一定的加密处理,即使数据被预期接收方之外的其它不法分子拦截,也无法轻易的破译此次请求的传输内容。
这就是 HTTPS 协议,HTTPS 相当于身披 SSL 外壳的 HTTP。简单来说,就是在 HTTP 外层包裹一层安全罩,从而使 HTTP 不容易被嗅探。
举个简单例子:小时候我们玩的传声筒,如果第三个人想偷听你和小伙伴的对话信息,仅用另外一根线绑在他们的传声线上就好。
反之,当 HTTP 加上了 SSL,形成 HTTPS,就宛如你和小伙伴的传声线外包裹了一层玻璃罩,黑客便不能轻易嗅探到你和小伙伴的对话了!
二、应用侧,使用身份验证应对越权访问
最常出现的漏洞是越权,这种情况发生的原因则是企业代码质量不过关,在鉴别用户身份时存在缺陷。
简单来说,越权漏洞就是攻击者在获得低权限用户帐后,利用一些方式绕过权限检查,得到高权限功能。
例如,付费删帖服务就是典型通过越权漏洞,使用 User ID 伪装,将普通用户身份伪装成管理员 ID 来得到权限进行删帖。
应对漏洞越权的解决方案有两种,第一种是通过全局过滤器检测用户登录情况,以及对资源访问权限等,犹如证件检查;
另一种则是通过 session 中获取用户 id,将传入的参数与用户的身份做绑定校验,这就犹如面部识别。
三、主机侧,数据安全最后一道防线
主机安全,作为企业安全的最后一公里,正在被越来越多的企业提上建设日程表。主机安全防护是保护数据的最后一道防线,一旦被突破后果不堪设想。
主机侧威胁可以分为外部入侵和内部威胁两大类,两种情况需要采用不同应对措施。
外部入侵,网络安全“头号通缉犯”
所有安全从业人员都希望自己能开启上帝视角,能看清黑客攻击,能应对 0Day 漏洞,能阻止 APT 攻击等。
但事与愿违,更多时候我们对黑客攻击一无所知。因为,一直以来对威胁的检测和拦截,都是基于对黑客行为的认知。过去,大家通过了解黑客的攻击方法,去跟踪他的入侵行为。
但是黑客却有很多种方式来了解我们,例如数据库端口被公布在互联网上,攻击者可根据端口上显示出的漏洞来进行攻击,又比如攻击者可以遍历 IP 来成功找到数据库入口。
遍历 IP 就是通过不停的试 IP 地址,直到找到正确的 IP 由此进入数据库。这就像是别人捡到了你的密码箱,然后用尝试不同的排列组合,直到打开你的箱子为止。
在应对外部入侵方面,扫描与防火墙结合是一个非常传统的解决方案,就是公司内部的相关人员进行端口和弱口令进行扫描,防火墙则负责访问控制。
弱口令扫描是通过各种弱口令(如:123456 等)尝试登陆,因此非常费时间和精力,影响也比较大。
而防火墙在这个网络环境越发复杂的情况下,已无法做到全覆盖。所以这种解决方案可能无法做到 100%的安全。
另外也可以通过对密码文件和配置文件的解析,找到弱口令所在,从而舍去登陆尝试的麻烦。可做到每日实时更新,当有新的风险出现,则会实时报警。
再举个例子,以外部入侵常见方式-应用入侵为例,通过有缺陷应用进行攻击。大家在安全公司的漏洞通告中看到大部分都是此类情况,比如 A 应用有 B 漏洞,则会导致 C 攻击。
此类漏洞一般发生于一些建站系统,当网站模版发生漏洞,应用此模版的所有网站则会都出现同款问题。
当攻击者挖掘其中一个模版的漏洞,那么他就可以用相同的方式入侵所有应用此模版的网站。面对此类问题,通常有三种解决方式:
(1)远程漏洞器扫描,通过访问应用来扫描应用,从而发现问题;
(2)本地扫描,通过在本地安装扫描软件,对应用进行扫描;
这种类似于大家常用的 360 安全卫士,而企业则有企业版的扫描软件,比如青藤云安全就是做企业级安全扫描软件的。
(3)资产生命周期管理;
如果你清楚的知道资产的实时变化,你就可以随时了解是否受到攻击。
这个解决方法的特点是快,因为文件都已经存在,所以仅需一键搜索,就可以跨越前期步骤直接验证情况,并加固就可以了,整个流程仅需 1 小时。
内部威胁,早已不容忽视
今天,如果我们谈起威胁这个词,大家感悟比较深的还是外部威胁,比如黑客 DDoS 攻击、APT 攻击等等,却忽略对企业伤害更加大内部威胁。
为什么我们很少听到内部威胁引发的安全事件呢?也许用一句话解释比较合理,“家丑不可外扬”,但这绝不代表没有。
事实上,内部人员相对外部攻击更容易接近重要信息或系统,并且内部人员也会有更大动力或倾向利用他们的职权去让自己获得利益,正所谓“祸起萧墙”,攻破堡垒往往都是“自己人”。
目前,针对内部威胁,大部分都是通过 SOC 或 SIEM 和 DLP 产品等来解决,类似 SIEM 和 SOC 这样产品都是针对“安全事件”的管理和分析的工具,会产生大量的告警数据。
在一些特殊客户场景下,很多告警都是无效的,结果就演变成天天在喊“狼来了”,大部分时间狼都没来。但是,如果狼真的来了,也可能就忽略了。
当然也可以通过其它一些方法,比如终端管理,在员工电脑中装强管理软件,实时监控员工的一举一动,且严格管控员工电脑的使用。
当下最新解决方案,则是结合云工作负载保护平台与数字化审计。
针对于间谍行为,设定工作负载边界,如越界则会告警。同时将数据传递至相关项目组,达到无感知发现异常行为,并进行处置。
写在最后
很多安全问题,尤其是隐私数据泄露,很多都是意识问题造成。
笔者希望通过以上的科普,个人和企业都可以在这个危机重重的互联网时代加强网络安全意识,并且找到最合适的解决方案,保护自身和企业的信息安全!
来源:青藤云安全资讯
标签:浏览器 src day 针对 访问控制 通告 0day scripts pixel
原文地址:https://www.cnblogs.com/Smallgodboy/p/10540618.html