等保整改及护网行动也难以改变的困局

不管从宏观的社会层面,还是微观的机构层面,内部威胁通常会将组织置于高危的风险之中。人为失误很容易导致组织的崩溃,小到客户的流失,大到政权的灭亡,无不例外。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:人性的弱点深入骨髓、透进基因。人类文明不断演进,悲剧历史不断重演,原因在于人性的弱点依旧。制度文化的建设越来越稳固,而对制度无知、漠视、规避的情形一点都不见少,原因仍是人性的弱点。在网络安全领域,放眼全球,粗心或无知的员工仍然是造成严重安全事故的首要原因。

网络安全威胁将永远伴随着利益的博弈而存在,昨天玩的是系统安全,今天斗的是数据安全,明天拼的是业务安全。可以说威胁是越来越复杂、高级、智能,危害也越来越大。因此,国家将网络安全上升至国家安全的战略层面,企业也视网络安全为业务持续性的重要部分。不能忽视培训其员工面对网络安全的威胁和最佳实践的首要意义。在网络安全治理方面,国家花了大功夫,不断出台法规与制度,并搞出了一些大型项目和计划,比如网络安全法、等级保护、网络安全宣传周以及护网行动等等。

网络安全威胁不仅仅是病毒等恶意软件或脚本小孩,而是有组织的国家级的犯罪集团,特别是大型网络间谍和情报组织,不仅渗透政府机关高层和盗窃商业机密,还借助网络发动文化意识形态方面的入侵。为保国家安全、社会稳定与人民福利,在核心领域如关键信息基础设施领域实施等保整改及护网行动等等,是十分必要且紧迫的工作。然而,这些“运动”的效力如何呢?一家央企行业巨头的网络安全负责人称:尽管搞这些“运动”是自上而下“被迫”的,然而我们却非常欢迎,进而积极参与其中。网络安全“运动”的成果是显而易见的,我们发现了很多安全问题并进行了整改,包括修复了一些系统安全漏洞。

说到底,任何“运动”都会让一些人从中获得一些好处,网络安全“运动”也不例外,有“运动”得有预算,就得有交易。红蓝对抗表面上是在通过搞攻防演习发现安全漏洞,实际上是一群菜鸟工程师在进行低级的安全漏洞扫描以及昂贵的渗透测试表演。应急演练更是成了彰显网络安全管理“成就”的秀场,可笑的是,即使事先排练好要给领导看的,也常常会造成临时的意外事故。究其原因,不是搞“运动”的错,“运动”的出发点是好的。此外,不管做什么事,成绩肯定是有的,通过“运动”发现技术弱点或管理漏洞等安全问题并解决问题,就是可以秀的成绩。然而,真正的问题并不是通过“运动”发现安全弱点或漏洞,这些安全弱点或漏洞本应在日常工作中发现并解决。为何要等到搞“运动”和借用“外力”呢?表面上看,这个问题的答案似乎在于内部安全力量的薄弱,然而,其范畴远远超出内部专业人员的安全水平,而是包括全体人员在内的一个整体。因此,不要希望针对专业人员搞搞安全技术和管理知识培训就可以高枕无忧了。从某种意义上讲,正是内部威胁的强大,压制着内部安全力量的提升,要靠“外力”不能说是徒劳,但可以说解决不了根本。就比如对于人体来讲,不通过内部肌体的锻炼强化,仅靠外部食药进补,就想获得健康,必然是不够的。

内部威胁是内部安全力量体味最深却最不想面对的,反腐常讲一句话,就是要“刀刃向内,刮骨疗毒,自我革命”。网络安全亦是如此,根源问题是内部威胁,需要强化内部网络安全管理。在这方面,外部的“供应商”的核心目的是搞钱,他们有多大动力和能量,能搅动出多大的波澜?对于内部威胁,网安人越是逃避,他们就越强大。因此,要积极面对,迎难而上。不是东风压倒西风,就是西风压倒东风。经历痛苦,走过转折点,坚持推进,就是胜利,乘胜追击,巩固成果。不要看动动嘴皮,说起来容易。需知,内部威胁不仅仅是孤立的,通常会被外部威胁所利用,甚至“内外勾结”串通起来。同时,内部威胁并非外部敌对势力,内部威胁带来的网络安全问题只是人民群众之间的内部矛盾,并非你死我活的阶级矛盾,所以,要成功应对,需要一定的智慧和手腕。切记:网络安全人员的秘密工作武器不是搞整风等政治运动,最稳妥的方法就是对内部员工们进行持续的网络安全教育,将其头脑用网络安全知识武装起来,赋予其网络安全常规技能,进而将网络安全方面的无知者转变成为智者和斗士。

那么,员工如何应对旨在窃取数据或任何其他有价值信息或服务的高技能犯罪分子、恶意黑客甚或国家级的网络部队呢?研究表明,大多数数字攻击都是通过极富创造性和诱骗性的网络钓鱼尝试及其他相关努力来利用人为因素的尝试。几乎90%的数据泄露是由人为错误引起的,因此增加了对员工进行持续网络安全教育的需求。恶意攻击者和其他技能娴熟的黑客通常会试图诱骗用户,让他们尽早实现对信息系统的登录尝试,从而使他们尽早访问到高价值的信息数据。因此,人们可以将其视为任何组织的网络安全防御中最薄弱的环节。这就是为什么在大多数情况下,人们是使用网络钓鱼攻击、网络钓鱼、社会工程、勒索软件和恶意软件等技术和工具的主要攻击者的原因。此外,与发现单个软件破坏组织或企业业务相比,人类更容易被进行大规模的恶意利用。尽管我们已作出所有必要的安排来改善现有的安全基础设施,但是人脑的无知将在国防战略中留下巨大的空白。借助社交媒体操纵舆论,推动社会运动或是政治革命已经成为最经济和快捷的网络战争方式。近年来,内容安全、文化安全、思想安全已经成为网络安全的重要课题,这些都与内部威胁和人员的安全意识密不可分,“人脑”的争夺致胜的关键还是得靠宣传教育。

网络安全意识培训对于所有的现代组织都很重要,特别是那些搞网络安全“运动”的关键信息基础设施领域。借助当前的IT基础架构,当今大多数黑客都在使用人工智能。对系统进行操纵造成的多数数据泄露行为都涉及某种程度的人为失误。因此,组织应该培训员工,避免受到社会工程学的攻击,以保护其开展业务的基本资源,并与客户进行完美的互动。最近,业界在网络安全攻防中提出了“人为因素”构建“人员防火墙”的概念。针对人性弱点的攻击越来越泛滥,唯一防御措施是通过教育或警示,即为员工提供安全意识培训。

总之,等保整改及护网行动也难以改变的网络安全困局,根源在内部威胁,集中表现为内部人员安全意识不足的问题,解决人性弱点问题的关键步骤在于教育,尽管人性的弱点问题非常复杂,还需要更多的措施,比如借助人工智高科技能的人员安全思想动态监管与提示系统。最后,本文提及一些“菜鸟工程师”、“低级”、“秀”、“运动”之类的用语,并不表示任何的贬低或歧视之意,只是想通过戏谑之词来引发读者的深度重视,某些机构或厂商也请不要对号入座。如果感觉受到了不良刺激,欢迎来一场网络安全真理与实践的口水仗。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898

来自僵尸网络的物联网安全警示

物联网僵尸潜伏已久

随着物联网(IoT)设备的普及,网络安全问题日益凸显。近期,一款多年未更新的安全摄像头成为了僵尸网络的目标。这起事件再次凸显了物联网(IoT)设备面临的安全风险,以及及时更新和修补漏洞的重要性。对此,昆明亭长朗然科技有限公司网络安全研究人员James Dong表示:通常来讲,软件是由人开发的,因此软件中的安全漏洞难以避免,只要漏洞能够得到及时的发现和修复,风险就是可控的。但是这一事件再次提醒我们,在很多技术方面的安全漏洞得不到及时修复的情况下,提升网络安全防范意识尤为重要。

僵尸网络的威胁不断扩大 僵尸网络,即由大量被入侵的设备组成的恶意网络,已经成为网络世界的重大威胁。这些网络可以用来发起分布式拒绝服务(DDoS)攻击、传播恶意软件和窃取敏感数据。Mirai Corona僵尸网络利用AVM1203相机中的已知漏洞,证明了即使看似无害的设备也可以被武器化。

补丁和更新的挑战 物联网设备安全漏洞的一个主要原因是缺乏及时更新和修补。AVM1203相机自2017年以来就没有发布新的固件,尽管该设备已经停产。这种延迟提供关键安全修复的现象,使得设备容易受到恶意攻击者的利用。

忽视物联网安全的后果 忽视物联网安全可能带来严重后果。被入侵的物联网设备可以成为攻击者进入更大网络和系统的入口。这可能导致数据泄露、服务中断和经济损失。此外,用于关键基础设施(如交通或医疗保健)的物联网设备如果被入侵,可能会对公共安全造成重大风险。

缓解物联网安全风险 为了应对物联网安全漏洞的威胁,组织和个人必须采取积极措施。以下是一些关键策略:

  1. 优先更新和修补: 定期更新物联网设备的固件,确保它们拥有最新的安全修复。这可以通过云端管理平台或设备设置自动完成。
  2. 实施强大的访问控制: 使用强壮、独特的密码,并避免使用默认设置。尽可能启用双因素身份验证,增加额外的安全层。
  3. 隔离物联网网络: 将物联网设备与主企业网络隔离,以限制其被入侵时造成的潜在损害。可以使用虚拟专用网络(VPN)或专用物联网网络实现这一点。
  4. 监控异常: 定期监控物联网设备是否有异常活动,例如过多的数据使用或意外的网络流量。这有助于检测和响应潜在的安全事件。
  5. 考虑供应商声誉: 在购买物联网设备时,研究供应商的安全声誉。选择信誉良好的供应商,其产品具有及时更新和修补的记录。
  6. 教育用户: 为员工和消费者提供有关物联网安全最佳实践的培训。这包括使用强密码、避免网络钓鱼诈骗和报告可疑活动的重要性。

呼吁合作 物联网安全面临的挑战需要制造商、安全研究人员和政策制定者的共同努力。制造商必须在产品开发过程中优先考虑安全,并提供及时更新和修补。安全研究人员可以在识别漏洞和开发缓解策略方面发挥重要作用。政策制定者可以制定法规和标准,以促进安全的物联网实践。

物联网设备安全的挑战

物联网设备的安全问题一直是网络安全领域的一个重要挑战。由于物联网设备的种类繁多、厂商众多,许多设备在设计和生产过程中并未充分考虑安全性。此外,许多物联网设备的固件更新机制不完善,导致漏洞长期得不到修复。对此,James补充说:不要以为大厂的设备的安全性就好一些,很多OEM贴牌的,稍稍改一改系统,关键是物联网设备依赖的很多部件也存在安全问题,特别是某些控件和云存储,几年前,数百T字节的网络订单和取件录像数据从云端失窃的案件,至今仍让人心惊胆战。

厂商的责任

物联网设备的厂商在设备的安全性上负有重要责任。他们应当在设计和生产过程中充分考虑安全性,并提供及时的固件更新和安全补丁。然而,现实情况是,许多厂商在设备停产后,往往不再提供安全更新,导致设备长期处于不安全状态。

用户的责任

用户也需要提升网络安全防范意识,定期检查和更新设备的固件,确保设备处于最新的安全状态。此外,用户应当遵循安全最佳实践,如使用强密码、启用双因素认证等,减少设备被攻击的风险。

政府和监管机构的责任

政府和监管机构在物联网设备的安全上也发挥着重要作用。他们应当制定和实施相关法规和标准,确保物联网设备的安全性。此外,监管机构应当加强对物联网设备的监管,确保厂商履行其安全责任。

未来的展望

随着物联网设备的普及,网络安全问题将越来越突出。未来,我们需要在技术、法规和用户意识等多个方面共同努力,提升物联网设备的安全性。

技术创新

技术创新是提升物联网设备安全性的重要手段。我们需要开发更加安全的物联网设备,采用先进的加密技术和安全协议,确保设备的安全性。此外,我们需要开发更加智能的安全监控系统,及时发现和应对安全威胁。

法规和标准

政府和监管机构应当制定和实施更加严格的法规和标准,确保物联网设备的安全性。这些法规和标准应当涵盖设备的设计、生产、销售和使用等各个环节,确保设备在整个生命周期内都处于安全状态。

用户教育

用户教育是提升网络安全防范意识的重要手段。我们需要加强对用户的安全教育,提高用户的安全意识和技能,确保用户能够正确使用和管理物联网设备。

结论

物联网设备的安全问题是一个复杂而多层次的挑战。一次又一次的网络安全事件不断提醒我们,物联网设备存在固有的漏洞。通过采取积极的物联网安全措施,组织和个人可以缓解风险,保护其网络免受僵尸网络和其他恶意攻击的威胁。在很多技术方面的安全漏洞得不到及时修复的情况下,我们需要特别注意提升网络安全防范意识,采取多种措施,确保物联网设备的安全性。只有在技术、法规和用户意识等多个方面共同努力,我们才能有效应对物联网设备的安全威胁,构建一个更加安全的网络环境。

昆明亭长朗然科技有限公司帮助各类型的组织机构加强人员安全意识方面的教育培训,如果您需要相关的课程资源素材,如包括物联网安全在内的动画视频、电子课件等,欢迎不要客气地联系我们。您也可以在线体验我们的电子学习平台及参加相关免费课程。

昆明亭长朗然科技有限公司

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898