信息安全技术的关注点,一直在随着互联网的发展而变化。
互联网兴起时,作为流量聚集地的门户网站,主要面向大众提供信息,缺乏个性化色彩,防火墙、IDS/IPS、防病毒等作为主流安全防护技术足以应对黑客恶意攻击。
而随着移动互联网时代的发展,个人信息价值逐渐凸显,例如新闻、游戏、社交、金融等都是个性化定制,每个人在不同平台都有相应的一套账户密码体系,为适应这一变化,互联网安全技术正在发生本质的变化。具体来说,传统的网络安全应对的是攻防,即与黑客进行此消彼长的对抗,但上层业务的安全往往易被人忽略而出现问题,在应对个人化攻击中会显得疲软乏力,这给新一代的信息安全技术带来巨大的发展空间。
作为个人资产的保护者,身份认证堪称移动互联网的安全基石。
据统计,2016年身份认证领域市场规模高达120亿元。芯盾时代联合创始人兼CTO孙悦表示,“我们预计身份认证在信息安全产业占比将超过20%,市场规模达300亿元,年收入超过50亿的大型身份认证安全公司将指日可待。”
身份认证为何如此重要?
认证是移动互联网业务不可或缺的一环。个人业务的注册、登陆,银行的转账、查询余额等交易,电商线上购物等活动,归根结底都要验证你是谁。
去年,央视新闻播出的《5分钟网上买到上千银行卡信息几乎全部正确》纪录片中,爆料人老徐打开了几个QQ群,在不到5分钟的时间里,发给了记者一份长达33页的文件。这份文件里记录了1000多条银行卡信息,每条信息都有卡主的姓名、银行卡号、身份证号、银行预留手机号码以及银行密码。记者在文件中随机选取了七十个不同省份的信息进行验证,其中65个银行卡密码全都正确。
当大家惊诧地地发现黑客可以如此轻松地操纵用户账户的资金时,一条涉及上中下游完整的身份欺诈黑色产业链才浮出水面。
黑色产业链中,上游专注做软件开发,包括拖库、撞库、社工库伪基站、僵尸、木马、蠕虫、恶意软件,钓鱼网站打码平台等卖给中游。中游利用这些工具来窃取用户的身份信息、账号密码等卖给下游,下游则通过这些用户信息进行牟利。甚至在网上爆出了个人信息详细的售卖报价:
以物流行业为例,“315晚会”曝光的“刷单包裹”、《深圳快递公司内鬼卖客户信息近百万条赚36万》等新闻报道频频爆料物流行业的黑产链。其基本流程是快递公司员工利用其掌握的系统账号,以每条数十元的价格,向中间商提供全国各地的快递信息,包括收件人地址、电话等信息。一些大的中间商,会定期将各种“私人定制”的需求整理成完整表格,然后分类提供给上游数据源头,精准获取公民个人信息。
身份欺诈的破坏力不仅在金融行业,还成为各个领域企业信息泄露的罪魁祸首。据Verizon《2017年数据泄露报告》显示,企业信息泄露事件中,2016年63%入侵事件涉及被盗口令和弱口令,而2017年上升为81%。在企业管理者越来越重视信息安全的今天,密码口令的验证方式已经不能确保登录者是安全、可靠的,亟需一种新的认证方式来替代它。
综上,渗透到各行各业的身份欺诈风险,已让看似风平浪静的移动互联网业务暗潮涌动。
“面对广撒网式的黑产链,无论底层采用了什么安全技术,当黑客作为你本人进入系统,这时候要如何进行安全防护?”
孙悦说:移动身份认证经历了“口令+短信验证码”、令牌U盾等方式,但这些互联网时代的认证方式或容易被破解,或使用起来不方便。
责任编辑:kj005
文章投诉热线:156 0057 2229 投诉邮箱:29132 36@qq.com