1、需要優(yōu)先考慮的五大物聯(lián)網(wǎng)安全威脅和風(fēng)險(xiǎn)

攻擊面是未經(jīng)授權(quán)的系統(tǒng)訪問(wèn)的入口點(diǎn)總數(shù)。物聯(lián)網(wǎng)的攻擊面超越了入口點(diǎn)，其中包括物聯(lián)網(wǎng)設(shè)備、連接軟件和網(wǎng)絡(luò)連接的所有可能的安全漏洞。當(dāng)前對(duì)物聯(lián)網(wǎng)設(shè)備安全的關(guān)注包括網(wǎng)絡(luò)威脅者不僅可以破壞支持物聯(lián)網(wǎng)設(shè)備的網(wǎng)絡(luò)和軟件，還可以破壞設(shè)備本身。此外，物聯(lián)網(wǎng)設(shè)備的采用速度比能夠提供安全、可靠連接的流程和協(xié)議更快。企業(yè)面臨的五大物聯(lián)網(wǎng)安全威脅，包括：物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)、DNS威脅、物聯(lián)網(wǎng)勒索軟件、物聯(lián)網(wǎng)物理安全、影子物聯(lián)網(wǎng)。面對(duì)這些威脅，首先，企業(yè)IT團(tuán)隊(duì)必須采取多層次的方法來(lái)緩解物聯(lián)網(wǎng)安全風(fēng)險(xiǎn)，還應(yīng)該針對(duì)不同類(lèi)型的物聯(lián)網(wǎng)攻擊采取特定的防御措施。其次，監(jiān)督物聯(lián)網(wǎng)設(shè)備的IT團(tuán)隊(duì)?wèi)?yīng)該為網(wǎng)絡(luò)上的任何設(shè)備制定強(qiáng)密碼策略，并使用威脅檢測(cè)軟件來(lái)預(yù)測(cè)任何潛在的攻擊。IT管理員可以用來(lái)防止安全攻擊的基本策略包括設(shè)備漏洞評(píng)估、禁用不需要的服務(wù)、定期數(shù)據(jù)備份、災(zāi)難恢復(fù)程序、網(wǎng)絡(luò)分段和網(wǎng)絡(luò)監(jiān)控工具。

普普點(diǎn)評(píng)

數(shù)據(jù)保護(hù)策略是提高物聯(lián)網(wǎng)安全性的另一種方式。盡管物聯(lián)網(wǎng)部署由于其分散的性質(zhì)而難以部署，但它有助于增加一層安全性。IT團(tuán)隊(duì)可以使用可見(jiàn)性工具、數(shù)據(jù)分類(lèi)系統(tǒng)、數(shù)據(jù)加密措施、數(shù)據(jù)隱私測(cè)量和日志管理系統(tǒng)來(lái)確保數(shù)據(jù)安全。

2、安全的生命周期不是開(kāi)發(fā)人員的生命周期

由于云遷移的增加以及移動(dòng)應(yīng)用的廣泛應(yīng)用，軟件開(kāi)發(fā)安全生命周期（SSDLC）成為了越來(lái)越多企業(yè)的首選。如今SSDLC已經(jīng)轉(zhuǎn)變?yōu)槲覀兘裉焖玫某掷m(xù)交付-操作循環(huán)。開(kāi)發(fā)者在軟件開(kāi)發(fā)過(guò)程中通?？紤]的是特性、截止日期、延展性和速度，以及生產(chǎn)事故以及宕機(jī)時(shí)間方面的事，而不考慮安全。因此，在所有項(xiàng)目的每個(gè)階段都實(shí)現(xiàn)安全性幾乎是不可能的，并且開(kāi)發(fā)出沒(méi)有bug并且不會(huì)宕機(jī)的應(yīng)用是極具挑戰(zhàn)性的，所以要將安全整合到開(kāi)發(fā)的每個(gè)階段中，其前提是從一開(kāi)始就確保安全團(tuán)隊(duì)的參與，以便最大限度地避免發(fā)生錯(cuò)誤并保護(hù)開(kāi)發(fā)過(guò)程。理想情況下，通過(guò)適當(dāng)?shù)呐嘤?xùn)，有效的內(nèi)部溝通，注重安全性的設(shè)計(jì)以及嚴(yán)格的測(cè)試流程，這些錯(cuò)誤都能被很好地控制，從而降低其所帶來(lái)的不良影響。簡(jiǎn)單將，加強(qiáng)開(kāi)發(fā)團(tuán)隊(duì)與安全團(tuán)隊(duì)的溝通與協(xié)作，使其步調(diào)一致，才能更好地實(shí)現(xiàn)技術(shù)的進(jìn)步以及安全風(fēng)險(xiǎn)的管控。

普普點(diǎn)評(píng)

盡管安全對(duì)于軟件的開(kāi)發(fā)的不可或缺的，但幾乎所有的軟件開(kāi)發(fā)過(guò)程都會(huì)受到安全性的“阻礙”。安全標(biāo)準(zhǔn)對(duì)于開(kāi)發(fā)團(tuán)隊(duì)往往是不可行的。這大多是由于安全團(tuán)隊(duì)不夠了解應(yīng)用安全和企業(yè)面臨的風(fēng)險(xiǎn)波動(dòng)之間的關(guān)聯(lián)。

3、數(shù)據(jù)泄露之后,我們?nèi)绾巫R(shí)別危機(jī)？

一個(gè)員工失手點(diǎn)擊了釣魚(yú)郵件，可能會(huì)對(duì)企業(yè)、政府乃至非營(yíng)利組織帶來(lái)嚴(yán)重后果。利用竊取到的數(shù)據(jù)，欺詐者可以透露商業(yè)敏感信息、操縱股票價(jià)格或進(jìn)行各種間諜活動(dòng)。此外，魚(yú)叉式釣魚(yú)攻擊還可以部署惡意軟件來(lái)劫持計(jì)算機(jī)，將該計(jì)算機(jī)所在的網(wǎng)絡(luò)變成可用于 DoS 的龐大僵尸網(wǎng)絡(luò)。面對(duì)釣魚(yú)網(wǎng)站，應(yīng)該如何識(shí)別呢？

一、留意域名。辨別釣魚(yú)網(wǎng)站的最直接的方法就是對(duì)比它的域名是不是官方域名；

二、鏈接要小心。切勿單擊來(lái)自陌生人的電子郵件和即時(shí)消息中的鏈接或所有看上去可疑的鏈接；

三、觀察網(wǎng)站內(nèi)容。仿冒網(wǎng)站上沒(méi)有鏈接，用戶(hù)可點(diǎn)擊欄目或圖片中的各個(gè)鏈接看是否能打開(kāi)；

四、查看安全證書(shū)。針對(duì)大型電子商務(wù)網(wǎng)站或網(wǎng)銀站點(diǎn)需要查看其安全證書(shū)。

普普點(diǎn)評(píng)

數(shù)據(jù)泄露事件發(fā)生之后，大量數(shù)據(jù)被泄露并在線暴露。因此，魚(yú)叉式網(wǎng)絡(luò)釣魚(yú)攻擊具有高度針對(duì)性和定制性，并且比傳統(tǒng)的網(wǎng)絡(luò)釣魚(yú)攻擊更有可能取得成功。攻擊者可以使用泄露的信息來(lái)發(fā)起嚴(yán)格針對(duì)組織的大型網(wǎng)絡(luò)釣魚(yú)活動(dòng)。要安裝防火墻、殺毒軟件并定期更新。養(yǎng)成以上良好習(xí)慣，就可以識(shí)別跟防范釣魚(yú)網(wǎng)站詐騙。

4、SaaS的好處和壞處:可見(jiàn)性是SaaS安全的關(guān)鍵

云的好處是彈性、易用，因而也更具成本效益。軟件即服務(wù)(SaaS)是未來(lái)，通過(guò)這種訂閱式的在線服務(wù)，用戶(hù)可以節(jié)省管理、更新和保護(hù)應(yīng)用程序所需的時(shí)間、精力和資源。然而，SaaS有個(gè)明顯的壞處，安全風(fēng)險(xiǎn)。事實(shí)上，基于云的服務(wù)現(xiàn)在是惡意軟件最常見(jiàn)的交付方式。據(jù)SASE廠商N(yùn)etskope的統(tǒng)計(jì)調(diào)查，近70%的黑客和漏洞攻擊都是從云服務(wù)下載的，97%的云應(yīng)用程序是在未經(jīng)安全團(tuán)隊(duì)授權(quán)甚至是不知情的情況下使用的。

SaaS安全性首先需考慮所使用在線服務(wù)的可見(jiàn)性。安全團(tuán)隊(duì)?wèi)?yīng)該考慮登錄信息是否使用了足夠的加密，檢查在線服務(wù)過(guò)去是否遭到過(guò)黑客攻擊，如果是的話，提供商做出了哪些響應(yīng)措施。在線服務(wù)的安全性還取決于人們使用它的方式。如確保員工在登錄SaaS服務(wù)和網(wǎng)絡(luò)時(shí)使用不同的憑證等。

SaaS安全性需要考慮的另一個(gè)方面是不同SaaS應(yīng)用之間的交互，即SaaS的連接性，包括應(yīng)用程序和服務(wù)相互發(fā)送通知等功能。

普普點(diǎn)評(píng)

SaaS或其他基于云的服務(wù)每年可以為企業(yè)節(jié)省大量資金，除了成本以外，云還可以提高靈活性、提高效率、更好地利用數(shù)據(jù)和更好的為客戶(hù)服務(wù)。然而，所有這些都可能以安全為代價(jià)。通過(guò)增加對(duì)SaaS在組織內(nèi)活動(dòng)的可見(jiàn)性，安全團(tuán)隊(duì)可以確保在充分享受這些服務(wù)的同時(shí)，避免風(fēng)險(xiǎn)。

5、SD-WAN安全防護(hù)模型及能力建設(shè)挑戰(zhàn)分析

近年來(lái)，軟件定義廣域網(wǎng) (SD-WAN)技術(shù)被企業(yè)廣泛應(yīng)用，SD-WAN繼承了SDN控制與轉(zhuǎn)發(fā)分離、集中控制的理念，將物理上的分布網(wǎng)絡(luò)抽象為統(tǒng)一管理的邏輯網(wǎng)絡(luò)，以便更加靈活地使用和調(diào)度，實(shí)現(xiàn)了企業(yè)在總部和分支機(jī)構(gòu)、數(shù)據(jù)中心和云平臺(tái)之間的快速組網(wǎng)。但是不經(jīng)意間也創(chuàng)造了新的攻擊面，為勒索軟件、APT、病毒蠕蟲(chóng)和其他惡意軟件提供了入侵機(jī)會(huì)。安全風(fēng)險(xiǎn)可能來(lái)自以下幾個(gè)方面：

(1) 非法接入。非法的設(shè)備或用戶(hù)接入網(wǎng)絡(luò)；

(2) 滲透入侵。SD-WAN網(wǎng)絡(luò)中的管理中心和數(shù)據(jù)中心等擔(dān)負(fù)著認(rèn)證、授權(quán)、管理、數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)的重要任務(wù)，最容易成為黑客攻擊的目標(biāo)。

(3) 數(shù)據(jù)泄露。SD-WAN通過(guò)因特網(wǎng)傳輸時(shí)存在數(shù)據(jù)被截取或被篡改、仿冒的安全風(fēng)險(xiǎn)。

(4) 業(yè)務(wù)安全。網(wǎng)絡(luò)中的數(shù)據(jù)中心、各分支節(jié)點(diǎn)或云端業(yè)務(wù)數(shù)據(jù)，容易遭受病毒、木馬、勒索軟件帶來(lái)的威脅和攻擊。

(5) 運(yùn)維風(fēng)險(xiǎn)。當(dāng)企業(yè)分支節(jié)點(diǎn)越來(lái)越多溯源取證并及時(shí)做出響應(yīng)帶來(lái)了很大管理挑戰(zhàn)，處置不及時(shí)會(huì)產(chǎn)生相應(yīng)的運(yùn)維風(fēng)險(xiǎn)。

普普點(diǎn)評(píng)

企業(yè)廣域網(wǎng)中信息流動(dòng)跨度變大，信息服務(wù)或用戶(hù)數(shù)據(jù)分布在不同地區(qū)甚至是不同國(guó)家，SD-WAN建設(shè)需要遵從當(dāng)?shù)氐姆煞ㄒ?guī)。比如我國(guó)政務(wù)網(wǎng)組網(wǎng)中的合規(guī)要求之一就是使用國(guó)密算法或國(guó)密產(chǎn)品。

6、勒索軟件即服務(wù):網(wǎng)絡(luò)攻擊趨勢(shì)的商業(yè)模式

勒索軟件即服務(wù)(RaaS)是針對(duì)勒索軟件攻擊趨勢(shì)的一種新的商業(yè)模式。這是一種分散且大部分自動(dòng)化的分發(fā)模式，可以支持勒索軟件運(yùn)營(yíng)商快速增長(zhǎng)的需求。

勒索軟件即服務(wù)是一個(gè)在線平臺(tái)，任何人都可以通過(guò)發(fā)布勒索軟件來(lái)開(kāi)展自己的業(yè)務(wù)。從本質(zhì)上來(lái)說(shuō)，這是內(nèi)部人員工作風(fēng)險(xiǎn)的完美示例。但是，加入勒索軟件即服務(wù)(RaaS)并不需要成為“局外人”。只需支付少量費(fèi)用即可訪問(wèn)勒索軟件即服務(wù)(RaaS)后端并開(kāi)展自己的業(yè)務(wù)。企業(yè)的另一端(分發(fā)和部署勒索軟件)完全由后端自動(dòng)化，因此用戶(hù)可以專(zhuān)注于開(kāi)發(fā)他們獨(dú)特的勒索軟件。

勒索軟件即服務(wù)運(yùn)作模式為：一旦勒索軟件即服務(wù)(RaaS)開(kāi)發(fā)人員分發(fā)了他們的“產(chǎn)品”，潛在的分支機(jī)構(gòu)就會(huì)購(gòu)買(mǎi)一個(gè)或多個(gè)副本。這項(xiàng)服務(wù)的后端有一個(gè)自動(dòng)附屬系統(tǒng)，可以同時(shí)處理多個(gè)用戶(hù)，用于管理分支機(jī)構(gòu)及其產(chǎn)品。一旦會(huì)員購(gòu)買(mǎi)完成，他們可以立即開(kāi)始使用勒索軟件并將其分發(fā)給受害者。每個(gè)會(huì)員都有一個(gè)控制面板，允許他們跟蹤和監(jiān)控勒索軟件引起的攻擊次數(shù)。

普普點(diǎn)評(píng)

勒索軟件即服務(wù)是網(wǎng)絡(luò)攻擊者在數(shù)字世界中侵占受害者財(cái)產(chǎn)的最新威脅之一，旨在與自定義勒索軟件一起使用，這就是人們?cè)趯?lái)會(huì)看到更多此類(lèi)軟件的原因。勒索軟件即服務(wù)起初可能看起來(lái)很?chē)樔?，但在造成任何損害之前，可以通過(guò)適當(dāng)?shù)谋Ｗo(hù)軟件和預(yù)防措施將其阻止。每個(gè)人都應(yīng)采取某些預(yù)防措施來(lái)保護(hù)自己免受勒索軟件的侵害，這一切都是為了保持警惕，尤其是在互聯(lián)網(wǎng)上。

7、數(shù)據(jù)不安全？隱私計(jì)算讓數(shù)據(jù)“可用不可見(jiàn)”

說(shuō)隱私計(jì)算是技術(shù)略顯勉強(qiáng)，事實(shí)上它是多項(xiàng)技術(shù)組成的系統(tǒng)。在數(shù)據(jù)應(yīng)用，政策法律合規(guī)性的要求下，以密碼學(xué)為技術(shù)邏輯，由技術(shù)提供方和數(shù)據(jù)運(yùn)營(yíng)方，提供可信的算法模型。實(shí)現(xiàn)數(shù)據(jù)的可信流通，為數(shù)字時(shí)代的發(fā)展保駕護(hù)航。

在隱私計(jì)算的關(guān)鍵技術(shù)方案中，以下三種技術(shù)實(shí)現(xiàn)思路是隱私計(jì)算的主要技術(shù)方案：以密碼學(xué)為核心的多方安全計(jì)算（MPC）、融合隱私保護(hù)技術(shù)的可信聯(lián)邦學(xué)習(xí)（TFL）、依托可信硬件的可信執(zhí)行環(huán)境（TEE）。

隱私計(jì)算涉及到的密碼學(xué)、數(shù)學(xué)、分布式系統(tǒng)和底層硬件、差分隱私、可信執(zhí)行環(huán)境、算法模型等學(xué)科技術(shù)中，最核心的當(dāng)屬密碼學(xué)。尤其是同態(tài)加密（Homomorphic Encryption，HE）的應(yīng)用，作為一項(xiàng)新型加密技術(shù)，可實(shí)現(xiàn)數(shù)據(jù)加密后仍然可以被分析處理，如檢索、統(tǒng)計(jì)、AI任務(wù)操作。正是由加密模型搭起了一座實(shí)現(xiàn)數(shù)字“加密”的橋梁。在有關(guān)隱私計(jì)算的技術(shù)方案里，模型的是應(yīng)用實(shí)現(xiàn)“可用不可見(jiàn)”的關(guān)鍵環(huán)節(jié)。

普普點(diǎn)評(píng)

在實(shí)現(xiàn)數(shù)據(jù)安全的通道上，數(shù)據(jù)脫敏、匿名化、假名化、去標(biāo)識(shí)化，差分隱私和同態(tài)加密均可實(shí)現(xiàn)某種程度的隱私數(shù)據(jù)保護(hù)。隱私計(jì)算可以說(shuō)是博采眾長(zhǎng)。在政策引導(dǎo)和市場(chǎng)驅(qū)動(dòng)下，中國(guó)隱私計(jì)算在“產(chǎn)學(xué)研”上有了協(xié)同發(fā)展，且正在得以加速商用。在基礎(chǔ)產(chǎn)品服務(wù)，數(shù)據(jù)運(yùn)營(yíng)商業(yè)模式方面的巨大市場(chǎng)空間，已經(jīng)被資本追捧。