地獄開(kāi)局的2022,穿好你的安全鎧甲

藏狐
網(wǎng)絡(luò)攻擊對(duì)于企業(yè)、政府機(jī)構(gòu)等來(lái)說(shuō)都并不陌生,往往有IT工程人員兢兢業(yè)業(yè)地防守著。而隨著很多人在疫情之后轉(zhuǎn)向長(zhǎng)期數(shù)字生活,也給網(wǎng)絡(luò)攻擊帶來(lái)了一些新的變化。

2022年開(kāi)局,幾乎是各種負(fù)面新聞和疫情反復(fù)的錘煉,很多“心大”的朋友都開(kāi)始變得焦灼,紛紛表示“蚌埠住了”。疫情第三年,大家的情緒似乎都抵達(dá)了一個(gè)臨界點(diǎn)。

然而,越是令人身心疲憊的危機(jī)時(shí)刻,越要穿好健康和安全的鎧甲,妥善照顧好自己的生活。

除了物理世界需要注意身心安全之外,在大眾逐漸適應(yīng)數(shù)字化的工作和生活方式之后,對(duì)于數(shù)字世界新出現(xiàn)的安全威脅,很多人可能都沒(méi)什么概念。

2345截圖20211028093243.png

所以,我們?cè)诒疚闹袊L試預(yù)測(cè)一下,接下來(lái)可能增多的安全威脅,希望大家能夠預(yù)先采取行動(dòng),防患于未然,增強(qiáng)自己在數(shù)字世界的“抗體”。

請(qǐng)相信,我們正穿行在一條幽暗的隧道里,已經(jīng)徒步走了這么遠(yuǎn),盡頭的光明一定是真實(shí)存在的。哪有勝利可言,挺住就是一切。

威脅一:成規(guī)模的網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊對(duì)于企業(yè)、政府機(jī)構(gòu)等來(lái)說(shuō)都并不陌生,往往有IT工程人員兢兢業(yè)業(yè)地防守著。而隨著很多人在疫情之后轉(zhuǎn)向長(zhǎng)期數(shù)字生活,也給網(wǎng)絡(luò)攻擊帶來(lái)了一些新的變化。

一是網(wǎng)絡(luò)攻擊的收益顯著提升。

在很多地區(qū),互聯(lián)網(wǎng)服務(wù)的使用率比疫情前提高了一倍以上,在線辦公、視頻會(huì)議、網(wǎng)絡(luò)課程、移動(dòng)支付等也快速在全球范圍內(nèi)普及開(kāi)來(lái)。這就使得黑客的移動(dòng)攻擊面急劇擴(kuò)大,網(wǎng)絡(luò)攻擊如個(gè)人信息泄露、移動(dòng)錢包電子支付被盜、威脅勒索等等,所獲得的收益也就更大了。2021年5月,一家美國(guó)保險(xiǎn)巨頭就向REvil勒索團(tuán)伙支付了4000萬(wàn)美元的贖金。

高價(jià)值、大范圍的攻擊目標(biāo),為投資該技術(shù)的犯罪分子提供更大的回報(bào)??梢灶A(yù)期,勒索軟件和移動(dòng)攻擊的數(shù)量將大幅增加。

2345截圖20211028093243.png

(FSB拘留了發(fā)送勒索軟件病毒的黑客)

另一方面,網(wǎng)絡(luò)攻擊規(guī)?;碾y度卻在降低。

很多企業(yè)和職工此前都沒(méi)有考慮過(guò)長(zhǎng)期在家工作的情況,可能大部分家中的聯(lián)網(wǎng)設(shè)備都不是由企業(yè)來(lái)進(jìn)行配置的,安全級(jí)別上與企業(yè)不同。隨著數(shù)字化將業(yè)務(wù)搬遷上云,針對(duì)云服務(wù)提供商(CSP)的大規(guī)模攻擊開(kāi)始增加,放在云上的文檔中保存著大量組織的敏感數(shù)據(jù),當(dāng)這些文檔被企業(yè)員工共享出去以便協(xié)作的時(shí)候,如果沒(méi)有密碼,或者使用了弱密碼,那么被黑客截獲的可能性也大大增加了。

卡巴斯基的安全專家曾分享過(guò),2019年約有46%的網(wǎng)絡(luò)安全事件,是由粗心大意的員工引起的。而隨著居家辦公的長(zhǎng)期化,對(duì)漏洞和威脅的監(jiān)測(cè)反而沒(méi)以前及時(shí)了,這讓情況雪上加霜。

比如此前視頻會(huì)議軟件Zoom就被揭露存在重大缺陷,允許黑客訪問(wèn)用戶的攝像頭。還有黑客跟蹤麥克風(fēng)的對(duì)話,然后威脅要將它們上傳到社交媒體,除非支付贖金等等。

恐慌毫無(wú)意義,回到從前也是天方夜譚。認(rèn)清現(xiàn)實(shí),接受大規(guī)模遠(yuǎn)程工作所帶來(lái)的安全隱患,并開(kāi)始著手重新建立安全意識(shí)、安全機(jī)制、安全壁壘,才是正事兒。

對(duì)于個(gè)人來(lái)說(shuō),可以選擇禁用麥克風(fēng)和攝像頭,只在必要的時(shí)候打開(kāi)它們,能夠有效地保護(hù)居家辦公的隱私信息。

對(duì)于企業(yè)和CSP服務(wù)商來(lái)說(shuō),需要采取新的工具和安全機(jī)制來(lái)測(cè)試漏洞、監(jiān)督訪問(wèn)控制、密碼管理、端點(diǎn)加密……在風(fēng)險(xiǎn)日益增加的環(huán)境中,在防病毒、反惡意軟件和安全工具上投資是有意義且必不可少的。

威脅二:以假亂真的在線欺詐

互聯(lián)網(wǎng)服務(wù)以一種自然的、無(wú)感的方式嵌入我們的日常生活中,成為必不可少的工具,這意味著人們必須不斷自我學(xué)習(xí)來(lái)提升數(shù)字技能。這時(shí)候,很多缺乏數(shù)字技能的人,就可能成為網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)。

一些傳統(tǒng)的網(wǎng)絡(luò)詐騙方式,比如男扮女裝、偽裝警察、線上賣茶、編造諸如你兒子在我手里之類的謊話,公安部門的反詐App已經(jīng)幫咱們科普得明明白白了。但隨著Deepfake技術(shù)的不斷升級(jí),并且很容易通過(guò)開(kāi)源平臺(tái)獲得,想要區(qū)分真實(shí)信息與虛假信息變得越來(lái)越困難了。

目前,這種以假亂真的Deepfake偽造詐騙還很難防范。

2019年,就有一名黑客通過(guò)AI語(yǔ)音克隆,偽裝對(duì)方的領(lǐng)導(dǎo),從阿聯(lián)酋的一家銀行經(jīng)理那里騙走了3500萬(wàn)美元。2021年,偽造的疫苗接種證書(shū)(疫苗護(hù)照)流行起來(lái),這些偽造的接種證書(shū)不僅帶有疫苗接種中心的印章和簽名,甚至貼有疫苗編號(hào)標(biāo)簽,與真實(shí)的國(guó)際通用《黃皮書(shū)》(國(guó)際預(yù)防接種證書(shū))幾乎沒(méi)有區(qū)別,團(tuán)購(gòu)售價(jià)為100-120歐元,讓多個(gè)國(guó)家的疫情防控大受困擾。

2345截圖20211028093243.png

面部偽造技術(shù)也越來(lái)越逼真,以前用來(lái)識(shí)別的耳朵邊緣瑕疵也近乎消除。前不久的美版抖音TikTok上,利用Deepfake把湯姆·克魯斯(Tom Cruise)的臉復(fù)制到自己身上并生成視頻,也引發(fā)了病毒式傳播,并且愚弄了很多人。看起來(lái)是在娛樂(lè),可是一旦被用在詆毀公眾人物,或者在視頻通話中冒充他人來(lái)籌集資金,會(huì)導(dǎo)致人們對(duì)音頻和視頻內(nèi)容的廣泛不信任,這本身就是一種社會(huì)危害。

2345截圖20211028093243.png

如果沖浪達(dá)人都可能上當(dāng)受騙,無(wú)法區(qū)分真實(shí)視頻與虛假視頻,那么要求老年人、新觸網(wǎng)群體完全靠自己來(lái)規(guī)避這種風(fēng)險(xiǎn),顯然是強(qiáng)人所難了。

總的來(lái)說(shuō),目前已知的Deepfake偽造技術(shù)攻擊,包括幽靈欺詐(犯罪分子竊取死者的身份進(jìn)行詐騙),身份模仿(如前面提到的語(yǔ)音克隆案例),虛擬身份欺詐(犯罪分子通過(guò)組合來(lái)自多個(gè)人的信息和圖像來(lái)為自己“創(chuàng)建”新身份)。

防范這種網(wǎng)絡(luò)威脅,大致可以分為三種層級(jí):

首先,個(gè)人要對(duì)一切網(wǎng)絡(luò)上發(fā)生的交易活動(dòng)保持“零信任”。沒(méi)錯(cuò),在不確定對(duì)方毫無(wú)威脅之前,都先判定是有威脅的,直到它證明自己。加州大學(xué)伯克利分校(University of California,Berkeley)教授、數(shù)字取證專家哈尼·法里德(Hany Farid)也呼吁,對(duì)你所看到的、聽(tīng)到的和讀到的東西保持懷疑,是應(yīng)對(duì)Deepfakes非常強(qiáng)大的武器。

無(wú)論對(duì)方是發(fā)信息,還是用語(yǔ)音甚至視頻要求你轉(zhuǎn)賬或分享數(shù)據(jù),全部要求用其他方式進(jìn)行額外驗(yàn)證,比如再發(fā)送電子郵件、給你的社交媒體留言等等。沒(méi)有任何一個(gè)辦法能夠保證你識(shí)別出Deepfake,因?yàn)榧夹g(shù)一直在進(jìn)步,關(guān)鍵是改變你的安全意識(shí),用“零信任”來(lái)增加犯罪分子的成本和難度。一般情況下,這些詐騙信息都是自動(dòng)化發(fā)送的,可能多要求對(duì)方驗(yàn)證幾次就不攻自破了。

其次,企業(yè)和互聯(lián)網(wǎng)平臺(tái)有責(zé)任必要的技術(shù)來(lái)應(yīng)對(duì)威脅,審查可能被偽造的身份和內(nèi)容。比如有黑客運(yùn)用一些個(gè)人信息來(lái)開(kāi)設(shè)賬戶,向金融平臺(tái)貸款,從而導(dǎo)致真人莫名其妙地背上了債務(wù),金融機(jī)構(gòu)也將遭受直接的損失。目前,微軟和Facebook等一些頂級(jí)科技公司正在開(kāi)發(fā)自動(dòng)化軟件來(lái)標(biāo)記Deepfake內(nèi)容,比如YouTube就在前不久刪除了烏總統(tǒng)Volodymyr Zelensky的Deepfake視頻。

2345截圖20211028093243.png

只能依靠企業(yè)自身提升安全級(jí)別,在驗(yàn)證身份信息時(shí),引入虹膜、DNA、靜脈等生物識(shí)別手段,或者采用更高精度的3D人臉識(shí)別,開(kāi)發(fā)AI算法來(lái)研判圖片資料是否有PS偽造痕跡等等。一般情況下,犯罪分子都需要提交身份證件和自拍,而大多數(shù)不愿意使用自己本人的面部照片進(jìn)行欺詐,這就與偽造的身份證件有沖突,這種交叉驗(yàn)證很容易暴露身份偽造。

而保底的方案,則是將火眼金睛的人類員工作為最后一道防線,來(lái)協(xié)助安全技術(shù)儀器工作,因?yàn)闄C(jī)器視覺(jué)在識(shí)別紙質(zhì)身份證中的欺詐行為方面,魯棒性還是達(dá)不到人眼的水平。一旦光照、環(huán)境發(fā)生變化,效果就未必理想。培訓(xùn)人類員工來(lái)把關(guān),與數(shù)字技術(shù)構(gòu)成一個(gè)強(qiáng)大的人機(jī)協(xié)作系統(tǒng),才能對(duì)抗Deepfake技術(shù)日益嚴(yán)重的威脅。

威脅三:零工時(shí)代的勞工困境

如果說(shuō)前面兩種威脅都是實(shí)打?qū)嵉呢?cái)產(chǎn)或信息損失,可以通過(guò)有力的政策和技術(shù)工具來(lái)規(guī)避,那么有一種威脅可能是悄無(wú)聲息、但傷筋動(dòng)骨的,那就是零工經(jīng)濟(jì)引發(fā)的勞工問(wèn)題。

零工經(jīng)濟(jì),以前是個(gè)很時(shí)髦的詞,是由在線平臺(tái)推動(dòng)的,以臨時(shí)合同和非正式身份雇傭員工。uber、Airbnb以及印度的Ola和Swiggy都是這類模式。疫情之后,不確定的外部環(huán)境推動(dòng)了零工經(jīng)濟(jì)規(guī)模的擴(kuò)大,一些停滯或縮減的行業(yè)職員都有可能流動(dòng)到零工崗位上去,也給零工群體蒙上了一層無(wú)奈的陰影。此前,國(guó)內(nèi)某商超就曾暫時(shí)接收過(guò)其他O2O平臺(tái)的配送員。

隨著疫情威脅的消退,以及遠(yuǎn)程辦公、數(shù)字游民成為趨勢(shì),零工人員數(shù)量可能還會(huì)迎來(lái)大規(guī)模的增加,并從出租、配送、代駕等領(lǐng)域,擴(kuò)展到設(shè)計(jì)、新媒體等白領(lǐng)崗位。

2345截圖20211028093243.png

(歐盟遠(yuǎn)程辦公工作的員工比例)

這種“分布式”新組織結(jié)構(gòu),確實(shí)具備更高的靈活性,同時(shí)也存在“黑暗面”,那就是企業(yè)承擔(dān)了更少的保障義務(wù),零工群體的抗風(fēng)險(xiǎn)能力也不如以往,進(jìn)而驅(qū)動(dòng)遠(yuǎn)程協(xié)作的激勵(lì)體系重新設(shè)計(jì)。

同時(shí),因?yàn)榭梢噪S時(shí)工作,員工很容易超負(fù)荷,而且必須學(xué)習(xí)使用數(shù)字設(shè)備的新技能,以及處理多線程任務(wù)的能力,自己平衡壓力并持續(xù)學(xué)習(xí)……這些都對(duì)零工人口提出了新的工作挑戰(zhàn)。如果你是一個(gè)開(kāi)著網(wǎng)約車的前程序員,或者改為線上接單的設(shè)計(jì)師,就需要努力地適應(yīng)變化,并妥善考慮自身的財(cái)務(wù)抗風(fēng)險(xiǎn)能力和長(zhǎng)期保障規(guī)劃。

對(duì)于政府來(lái)說(shuō),面對(duì)零工經(jīng)濟(jì)、遠(yuǎn)程協(xié)作的趨勢(shì),提高學(xué)習(xí)的節(jié)奏并加速相應(yīng)政策法規(guī)的出臺(tái),或許會(huì)讓風(fēng)雨飄搖中的零工們少一點(diǎn)難題。

在人類歷史中,最大的突破往往也來(lái)自最具破壞性的危機(jī)時(shí)期。關(guān)注并超越危機(jī),能夠確保我們?cè)谝咔橹蟮臄?shù)字未來(lái)里比以前更加自由、更加強(qiáng)大。

那些殺不死我們的,一定會(huì)讓我們更加堅(jiān)強(qiáng),與君共勉。

THEEND

最新評(píng)論(評(píng)論僅代表用戶觀點(diǎn))

更多
暫無(wú)評(píng)論