目前,为防止进一步损失,Quora 已将所有用户账号强制登出。“我们正在通知信息安全受到威胁的用户”,Quora 公司联合创始人兼首席执行官亚当·德安格洛说,暂未影响匿名提问与回答的用户,此外“调查仍在进行中,我们将进一步改善安全保障措施。”值得一提的是,成立于 2009 年的 Quora 网站,其创始人德安格洛和查理·切沃均为前 Facebook 员工——而后者仍处于今年初爆发的“剑桥分析公司数据泄露丑闻”阴影下。
为什么近年来泄露案件密集爆发?
事实上今年以来,数据泄露的事件就频繁发生,且涉及规模都十分庞大。
除去今年 3 月的 Facebook 事件,还有很多大规模的泄漏事件历历在目:6 月,圆通 10 亿条快递数据在暗网上打包出售,数据信息包括寄(收)件人姓名、电话、地址等;8 月,因华住公司程序员将数据库连接方式上传至 GitHub 导致其泄露,华住旗下多个连锁酒店开房信息数据泄漏,总数接近 5 亿;乃至上周的 11 月 30 日,万豪酒店数据库遭到入侵,5 亿名顾客的数据也遭到泄露,包括顾客的姓名、出生日期、电话号码、护照号码、通信地址、电子邮箱和其他一些个人信息…
从万豪酒店数据库被入侵 5 亿信息泄漏、陌陌被撞库数据暗网出售到 Quora 遭黑客入侵 1亿用户数据被盗,从国际酒店、知名社交 App 到全球著名的在线问答社区 Quora——网络技术发展到现在,数据安全应该是所有企业和用户的核心焦点,那为什么近年来泄露案件仍然密集爆发?技术上就没有彻底防范的方法吗?难道受害者就只能束手就擒?
带着种种问题,CSDN(ID:CSDNnews)特别咨询了 360 网络安全响应中心负责人蔡玉光,他表示,目前安全行业其实普遍有一个共识,没有攻不破的网络。企业出现安全事件是在所难免的现实,除却暗网这样还有一定开放空间的平台,其实还有更多的安全事件没有被曝光出来。
“近期频频曝光的数据泄密事件,除了围绕着简单的经济或情报利益,这些数据在后面环节的被利用是更应该考虑的问题——买家在购买这些隐私数据后是否会有进一步的利用场景,如电信诈骗、金融账号攻击、间谍数据等利用场景?这些危害会比直接的数据买卖更具破坏性。”
数据泄露事件大多都是在过了很长一段时间后才曝光出来,攻击者可能在数分钟的时间里就攻破了网络,在数分钟到小时级就窃取完了企业里留存的用户隐私数据;但是安全人员可能是在数月或者上年的时间才能发现已经发生了的数据泄露事件。而这些,就需要从数据泄密的流程和主要手段来分析。
数据泄露中攻防失衡的现实
根据 360 网络安全响应中心发布的《2017 年度安全报告——数据泄密》显示,全年数据泄露事件的平均规模上升了 2%,财产损失高达上亿。一般而言,数据泄露的流程整个流程可以分为:拖库、洗库、撞库。数据资源一旦被泄露,那么就会产生一系列的危害。很多用户由于缺乏安全意识,不能及时的发现自己的数据泄露,只有当自己的财产受到损失才能被感知,所以用户感知越来越慢,这也是为什么数据泄露的发现极具延时性。
报告还表示,导致数据泄露的主要手段分为黑客入侵、软件漏洞、恶意木马等技术手段,以及内部人员泄密、非有意识泄密等非技术手段。其中,最大来源是意外丢失和因疏忽而使信息暴露的数据。
“攻防失衡问题的改善,除了需要安全行业在技术层面更加的努力,更需要社会在宏观和个人层面重视信息安全、企业把信息安全管理放在一个战略高度。”针对日益严重的数据安全隐患,蔡玉光说到,企业在品牌建设和自身发展过程中,在拥抱信息化之后,信息安全事件绝对是一个大概率的“灰犀牛”事件。“比如,目前通过网站漏洞攻击服务提供商拖库依旧是主要的泄露渠道,相应的,厂商应正视网络安全,定期进行渗透测试,及时对有漏洞的服务打补丁,做好完整可靠的数据安全措施,对密码加密存储,杜绝明文密码存储,这样即便被黑也能降低带来的损失。”
开发者和个人用户该如何应对?
对于开发者,蔡玉光认为要具备一定的安全意识(可以通过企业内部组织培训或自身学习)。在架构和研发过程中要配合安全团队或综合考虑信息安全管理要素;在实际开发过程中要避开常见安全问题,如上传 Github、SQL 注入、任意命令执行、缓冲区溢出、水平越权、日志敏感信息记录、敏感文件任意存放等问题。
在数据泄露事件发生时,开发者应发挥自身的技术和业务优势,积极配合安全团队、法务团队对事件溯源中所涉及到的业务场景和数据证据,提取固化提供支撑,在很多数据泄露事件溯源中开发者都是最有利的技术支撑,比如数据流程梳理、关键日志提取等。此外,“开发者在配合过程中需要严格注意,避免破坏数据完整性。”
而对于个人用户,不仅需要定期更换并使用较长(10 位以上)的复杂(大小写字母、数字、特殊字符)密码,还应该分级管理自身的密码,如一级金融账号密码、二级重要账号密码、三级普通网站密码。遇到数据泄露事件, 应及时修改密码并同时修改和泄露相关的其他账号密码。
当然,“个人用户也可以使用网站、应用中提供的双因子验证机制,如登录短信验证或手机应用再确认等方式,双因素机制可以有效提高账号的安全性。另一方面也可以在拥有指纹或口令保护的智能手机中使用一些公开密码管理软件来对自身密码进行管理,如1Password等。”
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
197
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
