诸子笔会2022 | 孙瑜:疫情下,信息安全面临哪些新威胁?
自2022年5月起,“诸子笔会第二季”正式拉开帷幕。经过对首届活动复盘,我们在坚持大原则、大框架、主体规则基础上,优化赛制特别是奖项设置和评奖方式。13位专家作者组成首批“笔友”,自拟每月主题,在诸子云知识星球做主题相关每日打卡,完成每月一篇原创。除了共同赢取10万元高额奖金,我们更要聚焦甲方关注,发掘最佳实践,弘扬分享精神,实现名利双收。本期发文,即诸子笔会月度主题来稿之一。
疫情下,信息安全面临哪些新威胁?
文 | 孙瑜
【孙瑜】
某互联网公司安全工程部,现负责研发安全,擅长软件设计和编码安全,STRIDE威胁分析。
两年前,一场突如其来的疫情打破了人们对2020的美好期待,它为我们的经济和生活按下暂停键,使我们不能畅快呼吸,不能大快朵颐,不能和远方的亲人朋友相见。每天看发布的新增病例成为习惯,核酸检测点成了每日打卡地,每个人都盼着疫情早点过去,实现长长的愿望清单,但这一天不知道什么时候才能到来。让人闻风丧胆的病毒不仅存在于现实世界,同样存在于网络世界,而且网络病毒的危害不亚于现实世界,网络空间正在进行着一场没有硝烟的战争。
从社会工程学角度来看,网络犯罪分子正在最大限度地利用人们对疫情的恐慌、焦虑和无助心理,实施网络钓鱼攻击等活动。据统计,2020年上半年,在半个月时间内,与新冠疫情相关的网络钓鱼和恶意软件攻击从每周5000次长到每周超过20万次。2021年,全球近一半的安全事件与勒索软件相关,全年发生了约2000多起勒索攻击事件,针对医疗卫生行业的攻击比例逐渐上升,也出现了以生物制造设施为目标的APT攻击活动,例如2020年印度APT组织对我国的医疗机构发起的定向攻击。
疫情期间,人们的工作,生活和教育不得不从线下搬到线上,为网络攻击提供了肥沃的土壤,就像低温高湿度的空气利于新冠病毒的传播一样。远程办公成为新常态。几个家庭成员同时居家办公,考验了家庭路由器等网络设备的同时,将家庭网络设备的安全风险也提上了议程。
企业面临更大的问题,那就是办公网络安全边界消失,基于此构筑的网络安全防御体系也暴露在风险中。吴翰清在《白帽子讲Web安全》一书中将安全的本质定义为信任问题,无边界网络如何解决信任问题,较差的远程办公技术和基础设施成为了有效办公的最大障碍,如多人并发访问vpn掉线,在线会议卡顿等。同时,个人电脑接入公司网络,是否会对公司网络构成安全威胁?公司的机密信息面临泄漏风险,如对电脑屏幕拍照等新的问题随之凸现出来。
民以食为天,疫情期间民生问题给人们的生活造成了最大的影响,特别是今年上海疫情封控期间,食品供应问题在网络上持续发酵。先不论这件事的真实性有多大,但我们明显感受到的事实是买菜靠抢和物价上涨,人们承受着来自于物价大幅上涨,对病毒的恐慌,居家隔离的心理生理不适等各方面压力。借由精神脆弱,犯罪分子趁火打劫实施犯罪。封控期间“抢菜”的现状滋生了很多暴利行为不说,也为犯罪分子提供了可乘之机,例如江苏某嫌疑人在网络上兜售“抢菜插件”获利,甚至有不法分子借机收集个人信息,诱骗用户输入银行账号,密码等实施网络钓鱼。
疫情期间个人隐私泄漏问题频发,网络上由于流调信息泄漏而造成当事人被人肉搜索和舆论攻击的案例比比皆是。2022年4月北京健康宝遭到来自于国外的网络攻击,在冬奥会和残奥会期间也受到了类似的攻击。各地疫情数据不同步,导致人们每到一个城市就要注册当地的微信小程序,填写个人数据,从姓名、年龄、身份证号、住址到疫苗接种信息等,在担心信息泄漏和不配合疫情工作的矛盾心理中上传信息。我们的担心来自于这些应用是否有能力为我们的个人数据提供安全保障,而层出不穷的网络攻击事件有理由让用户担心个人数据的隐私安全。
随着人脸识别技术的普及,进入很多场所如小区、公司、健身房等都要“刷脸”,被采集的人脸生物特征数据作为高危敏感个人数据,一旦被不法分子获取,就可以解锁银行账号,将会对个人财产安全带来不可估量的后果。
以上问题都是信息安全在疫情时代这个特殊环境下需要考虑的,我们可以从技术和政策两个角度出发解决问题,就像新冠病毒,在没有特效药时,技术层面的解决办法是打疫苗,政策层面是封控。
针对远程办公问题,云计算、物联网、零信任等从技术上提供了基础条件,政策层面依赖于公司制定严格的信息安全管理制度。针对隐私数据泄漏问题,从技术上采用隐私计算,实现数据可用不可见,在保护数据隐私的基础上发挥其利用价值。制度层面我国已出台关于网络与数据安全的法律、行政法规、规范性文件等共计200多部。2020年2月9日,中央网络安全和信息化委员办公室发布了《关于做好个人信息保护利用大数据支撑联防联控工作通知》,针对当下疫情防控中所涉及到的个人隐私安全问题做出了具体要求,除卫生部门依法授权机构外,任何单位、个人都不得借疫情防控为由未经同意收集个人信息。
我国部分医疗行业的信息系统建设尚不完善,特别是安全防护技术和设施落后,力量薄弱,而其中存储的大量患者信息和生物制药信息对攻击者有巨大吸引力,逐渐成为网络攻击重灾区,加强医疗行业信息化建设的重视程度和技术水平才是立命之本。
疫情以来,政府、企业、医务人员等为保护人民的生命安全付出了巨大的代价,我们每一个人也都在尽最大的努力保护来之不易的抗疫成果。环境不停在变,病毒也在变,我们能做到的就是回归本心,养正自己,无惧变动,以不变应万变。信息安全也是一样,以系统和数据为本心,守护好最后一道安全防线,取得这场没有硝烟的战争的胜利。
坚信没有一个寒冬不可逾越,没有一个春天不会到来!
【5月主题:安全之变】
王忠惠 张永宏 朱文义 于闽东 刘志诚 杨文斌 孙琦
2021首届诸子笔会
齐心抗疫 与你同在