2
觉得自己是小人物?个人信息泄露就泄露了吗?以后可长点心吧!2014年那场影响超过7000万用户的信息泄露风波还没过去,这不最近偷情网站那档子事又炸开了锅,人们都不淡定了,网络安全重新抢到了头条。
金融顾问都破天荒的把网络安全放在他们的关注列表第一位,更何况企业主和普通消费者呢。
能解决这个问题的方法很多,但最直截了当的就是在第一时间对公司的档案给予保护。
同时,罪犯们窃取这些个人信息的方式也很多,举例来说,因为有些用户的密码较为简单,他们便可利用这一弱点欺骗性的登录系统,或者他们会攻破一些漏洞较多的应用,从其后端获取存储的用户数据。这样的手法现在看来都太稀松平常了,甚至新闻都懒得报道了。
情况愈演愈烈之后,人们意识到是时候反击并进一步加强网络安全了。我们要对后端系统进行加强,减少漏洞,或者不厌其烦的向用户做宣传,让他们能真正的意识到保管好各种登录密码的重要性。总而言之,我们要通过这些方式提高这些犯罪分子攻破我们系统窃取我们信息的难度。
只防守不进攻?永远也别想赢!
这是一个逻辑系统的改进,但它依然存在两个巨大的漏洞。首先,你永远无法将每个人都置于最新的防御标准之中。
打个比方,如果一个大屋子中有100个人,他们都深受个人信息泄露之害,即使你不厌其烦的给他们解释创建一个排序复杂的密码对网络安全是多么重要,他们之中照样会有人继续用那简单的要死的“123456”的密码。只要有人还继续使用这样的密码,黑客们就依然有机会破门而入把你偷得渣都不剩。
第二个问题就是不断发展的加密系统。技术人员不断对加密系统进行升级,但道高一尺,魔高一丈,黑客们也不甘示弱,总会揪出那么一两个漏洞实施犯罪。
每一次对防火墙的加固和升级都只能换来暂时的安全。对网络安全系统的日常维护和升级可以起到一定的作用,但只要有黑客和安全人员的你来我往的交锋,我们就不可能获得全面的胜利。
能不能尝试换个方法呢?
相比现在的不断修补高墙来防御网络犯罪的方式,我们能不能换一种方式来打击网络犯罪呢?有!还真有!新兴技术可以主动识别网络犯罪。就拿新创公司BioCatch来说,它们的技术可以在某些应用中识别用户的行为模式,从而为用户创造个人化的用户资料,以便在随后的访问中与其行为进行比对。另外,该公司在三轮融资后已经筹到了1160万美元的投资。
假设这项新技术广泛铺开,当你访问一个电子商务平台,以你习惯的方式移动光标或输入文字,BioCatch就能通过这些行为模式判断现在访问网站的到底是不是用户本人。通过这种方式,所有的账户窃取,远程访问和恶意软件攻击都会变得无所遁形。
简单来说这个技术就像你在一个不经常去的地方使用信用卡,你的银行一般会提醒你确认是否是本人在执行这一操作一样。
这项技术就跟上面提到的银行的提醒差不多,不同之处只是在于它看重的不是你身处何方,而是那些非典型参数的变化,比如打字速度、鼠标移动的轨迹、键盘的敲击力度和滑屏的习惯等。也就是说等我登录几次后,该系统就会获知我浏览网页比较慢,点击按钮比较暴力,打字速度不快不慢了。
这样如果某人获知了我的账户密码,登陆之后浏览网页过快,敲击按钮较轻柔,打字飞快,那么系统就会认定此人不是真正的用户,然后弹出验证框要求输入更多的验证细节,这样非法入侵的人就会知难而退了。
其他公司也都开始了类似技术的研发,这类技术都利用用户习惯和生物识别来主动地识别用户真伪。最近一家专注网络安全的多伦多新创公司Bionym就在A轮融资中获得了1400万美元的投资。
只要带上名为Nymi的智能手环,就可以通过心电图信息来识别用户,然后你就可以安心的登陆应用或其他网上平台了。另一家名为Sonavation的公司设计和制造指纹识别传感器,未来他们可能会利用手上现有技术进军网络安全行业。
而以上这些新技术对用户来说没有任何的学习成本,他们只要做自己,像往常一样正常上网就行,而且犯罪分子模仿这些用户行为的可能性非常之低。
有些系统现在甚至完全不需要用户直接干预就可以自主对用户的行为进行学习,而且外部系统也很难模拟或伪装这些用户行为。
不过再完美的技术也有弱点,毕竟人类的行为习惯不会始终如一,这样有时系统就会做出错误判断,影响用户体验。而且有些安全问题他们也没有处理好,若用户密码第一时间遭窃他们照样无能为力。
正义力量在壮大
除了像BioCatch和Bionym这样的基于生物识别和行为习惯的公司,一些其他公司也在努力在网络上为我们守好最后一道防线。
比如RSA security公司,他们利用自适应认证技术来主动对用户身份进行识别,同时还可定义用户使用的各个系统的风险水平。
如果RSA Security公司的系统注意到了异常快速的点击动作,它就会默认该次登陆为机器所谓,从而阻止它进行下一步的动作。这在防御自动攻击上能发挥巨大的作用,不过若黑客获取他人信息后采用人工操作,这种方式就没什么效果了。
另一家新创公司叫做Trusteer,2013年时它成为了IBM的子公司。该公司旗下的软件可以在移动设备或桌面端识别潜在的犯罪行动。
该软件会利用恶意软件侦测系统来确定恶意软件发动攻击的精确时间。同时它还利用前端保护技术来阻止网络钓鱼和类似的个人信息窃取。另外它还可以帮助公司加强自家基于Web的服务,从而抵御黑客窃取账户的攻击。
通过这些方式,Trusteer成为了各公司前端(信息保护)和后端(防止未经授权使用信息)的保护神。
比起传统思维中不断加高防火墙来延缓犯罪的方式,这些公司在这场战争中则表现得更为主动。当然,也不是说常规的安保措施不重要,但现下安保的重点转到了加密数据,多层身份验证需求和登陆与密码的安全上,而这些正是常规安保措施的弱点所在。
模拟用户的行为偏好可比在防火墙上打洞要难得多,如果BioCatch和其他公司的用户行为分析工具能得到市场的认可,那么未来几年我们一定会在市场上看到更多这类产品和服务。
via techcrunch
雷峰网原创文章,未经授权禁止转载。详情见转载须知。
