您现在的位置: 天极网 > IT新闻 > 业内快讯

神州云科动态应用加固,破局信息泄露难题

Yesky天极新闻 2017-09-18 18:52 我要吐槽

  【天极网IT新闻频道】网络安全已成为国家安全的重要一环。

  9月7日,Equifax,美国最大征信机构之一宣称,其网站的一个漏洞导致1.43亿消费者数据泄露。

  大行其道的勒索病毒、时有发生的电信诈骗、防不胜防的个人和企业信息泄露……互联网给予方便快捷,改变了人们的衣食住行,但同时,网络安全威胁也如影随形、层出不穷,影响着人们生活、工作的方方面面。

  9月16日至24日,九部委共同举办的2017年国家网络安全宣传周在全国范围内统一举行,规模盛大,超乎以往。“网络安全为人民,网络安全靠人民”,大安全时代,我们需要重新认识、审视一下我们面临的安全态势,重新考虑、思索一下我们应该采取的安全策略。

  36%的网络攻击基于浏览器

  数字信息安全领域始终面临着各种挑战。黑白博弈,为了应对攻击者层出不穷的变化,我们首先需要知道谁是我们真正的敌人。

  据2016 McAfee网络安全威胁报告数据显示,36%的网络攻击来源于浏览器,在网页内产生。

  出乎意料,也在情理之中。试想一下,当我们渐渐习惯于网络购物、消费,频繁的登录行为让我们麻木,往往意识不到,安全威胁即将发生。在某一个不知名网站输入的个人信息,极有可能也是我们个人银行登录信息。

  基于浏览器登录场景的攻击是最常见的网络攻击类型,涉及面广,破坏性大。攻击者下发一个恶意脚本到你的浏览器中,就可以获取你的密码信息,不需要去攻破网站的数据中心,SSL加密也没用。

  但遗憾的是,登录场景下的安全问题并没有引起足够的重视。据神州云科安全公司总经理陈思介绍,国内80%的网站,甚至包括为数不少的行业权重网站,在浏览器端均没有采取加固处理,不需要大费周折,攻击者就可以拿到个人登录时的用户名和密码。

  动态应用加固或为最佳解决方案

  如果说毫无防备,未免言过其实。很多网站登录有验证码、短信验证、安装插件,乃至于USBkey。可是,拥有这些就真的安全?

  真实情况未必,验证码只能实现降频,不解决安全问题;至于短信验证码,SIM卡复制、基站信号压制等都可以轻松搞定;插件/控件只解决一个参数的保护(密码),其他关键参数仍然以明文的状态暴露在互联网上,而且大量APP无法直接安装插件/控件;至于USBkey,价格昂贵,且应用范围太过于受限。

  信息安全对抗的本质是