在這個“無隱私”時代，如何避免成為一個透明人？

創投圈大小事，你都能盡在掌握

騰訊創業 | ID：qqchuangye

很多安全問題，尤其是隱私數據洩露，很多都是意識問題造成。

作者 / 孫維伯

來源 / 真格基金（ID：iceo-com-cn）

你的個人隱私，除了你自己沒人能保護。

在我們享受互聯網所帶來的便利時，資訊安全已經逐漸成為一大困擾。

在大數據時代，各種互聯網產品逐漸把收集用戶數據作為最重要的商業模式。

通過不斷收集、存儲、瀏覽你的行為資訊，甚至可以勾勒出你的興趣愛好、健康狀況甚至家庭成員等個人隱私資訊。

如果你不願意做一個束手就擒的人，還是可以采取一些行動。

本文我們邀請了青藤雲安全的安全技術總監來談談，如何在這個“無隱私”時代，避免成為一個透明人？

在互聯網上

真的沒人知道你是一條狗嗎？

1993年，The New Yorker雜誌刊登了一幅漫畫：一隻黑狗站在電腦椅上，爪子扶著鍵盤，望向站在地上、表情迷茫的白狗，興奮地說：On the Internet,nobody knows you're a dog.（在互聯網上，沒有人知道你是一條狗。）

放在今天這絕對是一句笑話。

如果那隻狗還在上網，它大概會驚恐地發現——

別人不僅知道它是一條狗，而且知道它的名字、主人、地址、品種、血統、毛色，甚至知道它最喜歡吃什麽牌的狗糧、有沒有做過絕育等。

可能有很多人會說，我們並不會對一個路人甲的姓名、年齡、興趣、愛好等資料有任何興趣。

但是，在大數據時代，各種網站逐漸把收集用戶數據作為最重要的商業模式，用戶的隱私資訊在網絡上無處遁形。

例如當你身體不舒服上網查詢病症，隔天就會接到某診所的電話，之後只要打開瀏覽器，頁面邊上都會彈出醫院相關廣告。

不懂技術的你，是否也很好奇，搜索引擎是如何這麽清晰了解自己上網痕跡，又知道自己哪些隱私資訊呢？

搜索引擎可能是世界上最了解你的人

針對於這個問題，曾任亞馬遜中國、美團和小米首席安全官的楊更先生表示：

正常情況下，不少搜索引擎在響應用戶訪問行為時，都會有以下幾個關鍵環節：

1、使用瀏覽器打開搜索網站的網址，輸入查詢關鍵詞。

2、搜索網站返回搜索結果數據的同時，包括tracking scripts、tracking pixels、tracking cookies等，盡量精準地追蹤用戶在互聯網上的各種行為。

3、搜索網站通過追蹤技術不斷收集和存儲搜索甚至瀏覽行為資訊，勾勒出用戶的興趣愛好、健康狀況甚至家庭成員等個人隱私資訊。

搜索引擎在收集了眾多用戶畫像資訊後，最主要的商業變現方式就是定向廣告。

從下圖某搜索引擎廣告平台上對其精準人群定向能力的宣傳，日均百億次的線上行為數據中很有可能就包括你的搜索及點擊行為。

以小白視角看這件事情，就猶如打開瀏覽器的“大門”後，黑暗處有一雙眼睛一直在偷窺我們，然後將監視資訊實時傳至資料收集中心進行貼標簽，按照標簽將個人資訊放在貨架，供其它廣告主選擇。

個人隱私，除了你自己沒人能保護

你在網絡上的任何行為，都可能成為追蹤個人的蛛絲馬跡。人類花了幾萬年進化到衣冠楚楚的文明社會，互聯網隻用了幾十年就把他們打回了衣不蔽體的原形。

不過，如果你不願意做一個束手就擒的人，你還是可以采取一些行動。

1、重歸自然，適合意志堅定者

早年，沒有互聯網，人類不是也存在得好好的。既然互聯網如此不安全，我們不用也罷！手機電腦我都不要了！不過是回歸原始生活，我還是可以好好活！

但在這個時代，沒有互聯網，我們真的還能好好生活麽？不叫外賣，不叫車，這樣的便利生活，你真的願意捨棄麽？

2、變化多端，適合高智商者

將所有的账戶密碼設為不同的高難密碼，將電腦手機攝影頭永遠貼上黑塑膠，將過海關將隨身設備刷成出廠設定，將所有硬碟都加密，將密碼提示問題都是假答案。但你還能記住……

此類解決方案，作為一個普通人，一兩條我還能Hold住，完全做到根本不可能。

3、簡單明了，適合大眾

現在，以隱私保護為核心的搜索引擎正在慢慢崛起，像是早年的duckduckgo，還有國內近期上線的秘跡搜索（mijisou.com）。

這些免費的無痕搜索這些免費的無痕搜索，可以幫助你輕鬆擺脫定向廣告的騷擾，同時也減少了未來因互聯網發展所帶來更大的風險。

目前雖然很多瀏覽器都自稱擁有隱身模式或者是無痕模式，但事實上，這也是一個各大瀏覽器的“小套路”。

希望普通用戶們針對自己的情況，選擇最好的解決方案，以便更有效的保護自己的個人隱私。而對於企業來說，如何更好的保護自己客戶的數據則更為重要。

企業數據保護

需建立立體安全防護措施

隨著互聯網+時代的來臨，業務變得越來越開放和複雜，固定的防禦邊界已不複存在，而黑客手段卻越來越多樣化。

網絡攻擊能輕而易舉地穿透邊界防護設備直達業務系統內部。目前，數據泄漏主要發生在三個位置：網絡、應用和主機。

一、網絡側應採用HTPPS協定應對網絡嗅探

在網絡層面，最常見的攻擊是嗅探。如果使用HTTP協定傳輸數據很容易被監聽傳輸內容，如果這些數據中存在敏感資訊的話，風險太大了。

因此我們需要對我們的傳輸數據進行一定的加密處理，即使數據被預期接收方之外的其它不法分子攔截，也無法輕易的破譯此次請求的傳輸內容。

這就是HTTPS協定，HTTPS相當於身披SSL外殼的HTTP。簡單來說，就是在HTTP外層包裹一層安全罩，從而使HTTP不容易被嗅探。

舉個簡單例子：小時候我們玩的傳聲筒，如果第三個人想偷聽你和小夥伴的對話資訊，僅用另外一根線綁在他們的傳聲線上就好。

反之，當HTTP加上了SSL，形成HTTPS，就宛如你和小夥伴的傳聲線外包裹了一層玻璃罩，黑客便不能輕易嗅探到你和小夥伴的對話了！

二、應用側使用身份驗證應對越權訪問

最常出現的漏洞是越權，這種情況發生的原因則是企業代碼品質不過關，在鑒別用戶身份時存在缺陷。

簡單來說，越權漏洞就是攻擊者在獲得低權限用戶帳後，利用一些方式繞過權限檢查，得到高權限功能。

例如，付費刪帖服務就是典型通過越權漏洞，使用User ID偽裝，將普通用戶身份偽裝成管理員ID來得到權限進行刪帖。

應對漏洞越權的解決方案有兩種，第一種是通過全局過濾器檢測用戶登錄情況，以及對資源訪問權限等，猶如證件檢查。

另一種則是通過session中獲取用戶id，將傳入的參數與用戶的身份做綁定校驗，這就猶如面部識別。

三、主機側數據安全最後一道防線

主機安全，作為企業安全的最後一公里，正在被越來越多的企業提上建設日程表。主機安全防護是保護數據的最後一道防線，一旦被突破後果不堪設想。

主機側威脅可以分為外部入侵和內部威脅兩大類，兩種情況需要採用不同應對措施。

外部入侵，網絡安全“頭號通緝犯”

所有安全從業人員都希望自己能開啟上帝視角，能看清黑客攻擊，能應對0Day漏洞，能阻止APT攻擊等。

但事與願違，更多時候我們對黑客攻擊一無所知。

因為，一直以來對威脅的檢測和攔截，都是基於對黑客行為的認知。過去，大家通過了解黑客的攻擊方法，去跟蹤他的入侵行為。

但是黑客卻有很多種方式來了解我們，例如數據庫端口被公布在互聯網上，攻擊者可根據端口上顯示出的漏洞來進行攻擊，又比如攻擊者可以遍歷IP來成功找到數據庫入口。

遍歷IP就是通過不停的試IP地址，直到找到正確的IP由此進入數據庫。這就像是別人撿到了你的密碼箱，然後用嘗試不同的排列組合，直到打開你的箱子為止。

在應對外部入侵方面，掃描與防火牆結合是一個非常傳統的解決方案，就是公司內部的相關人員進行端口和弱口令進行掃描，防火牆則負責訪問控制。

弱口令掃描是通過各種弱口令（如：123456等）嘗試登陸，因此非常費時間和精力，影響也比較大。

而防火牆在這個網絡環境越發複雜的情況下，已無法做到全覆蓋。所以這種解決方案可能無法做到100%的安全。

另外也可以通過對密碼檔案和配置檔案的解析，找到弱口令所在，從而舍去登陸嘗試的麻煩。可做到每日實時更新，當有新的風險出現，則會實時報警。

再舉個例子，以外部入侵常見方式-應用入侵為例，通過有缺陷應用進行攻擊。大家在安全公司的漏洞通告中看到大部分都是此類情況，比如A應用有B漏洞，則會導致C攻擊。

此類漏洞一般發生於一些建站系統，當網站模版發生漏洞，應用此模版的所有網站則會都出現同款問題。

當攻擊者挖掘其中一個模版的漏洞，那麽他就可以用相同的方式入侵所有應用此模版的網站。面對此類問題，通常有三種解決方式：

1.遠程漏洞器掃描，通過訪問應用來掃描應用，從而發現問題

2.本地掃描，通過在本地安裝掃描軟體，對應用進行掃描

這種類似於大家常用的360安全衛士，而企業則有企業版的掃描軟體，比如青藤雲安全就是做企業級安全掃描軟體的。

3.資產生命周期管理

如果你清楚的知道資產的實時變化，你就可以隨時了解是否受到攻擊。

這個解決方法的特點是快，因為檔案都已經存在，所以僅需一鍵搜索，就可以跨越前期步驟直接驗證情況，並加固就可以了，整個流程僅需1小時。

內部威脅，早已不容忽視

今天，如果我們談起威脅這個詞，大家感悟比較深的還是外部威脅，比如黑客DDoS攻擊、APT攻擊等等，卻忽略對企業傷害更加大內部威脅。

為什麽我們很少聽到內部威脅引發的安全事件呢？也許用一句話解釋比較合理，“家醜不可外揚”，但這絕不代表沒有。

事實上，內部人員相對外部攻擊更容易接近重要資訊或系統，並且內部人員也會有更大動力或傾向利用他們的職權去讓自己獲得利益，正所謂“禍起蕭牆”，攻破堡壘往往都是“自己人”。

目前，針對內部威脅，大部分都是通過SOC或SIEM和DLP產品等來解決，類似SIEM和 SOC這樣產品都是針對“安全事件”的管理和分析的工具，會產生大量的告警數據。

在一些特殊客戶場景下，很多告警都是無效的，結果就演變成天天在喊“狼來了”，大部分時間狼都沒來。但是，如果狼真的來了，也可能就忽略了。

當然也可以通過其它一些方法，比如終端管理，在員工電腦中裝強管理軟體，實時監控員工的一舉一動，且嚴格管控員工電腦的使用。

當下最新解決方案，則是結合雲工作負載保護平台與數字化審計。

針對於間諜行為，設定工作負載邊界，如越界則會告警。同時將數據傳遞至相關項目組，達到無感知發現異常行為，並進行處置。

寫在最後

很多安全問題，尤其是隱私數據洩露，很多都是意識問題造成。

筆者希望通過以上的科普，個人和企業都可以在這個危機重重的互聯網時代加強網絡安全意識，並且找到最合適的解決方案，保護自身和企業的資訊安全！

你認為應該用何種方案保護資訊安全？

歡迎評論區留言，與大家分享。