1、需要優(yōu)先考慮的五大物聯(lián)網(wǎng)安全威脅和風險

攻擊面是未經(jīng)授權的系統(tǒng)訪問的入口點總數(shù)。物聯(lián)網(wǎng)的攻擊面超越了入口點，其中包括物聯(lián)網(wǎng)設備、連接軟件和網(wǎng)絡連接的所有可能的安全漏洞。當前對物聯(lián)網(wǎng)設備安全的關注包括網(wǎng)絡威脅者不僅可以破壞支持物聯(lián)網(wǎng)設備的網(wǎng)絡和軟件，還可以破壞設備本身。此外，物聯(lián)網(wǎng)設備的采用速度比能夠提供安全、可靠連接的流程和協(xié)議更快。企業(yè)面臨的五大物聯(lián)網(wǎng)安全威脅，包括：物聯(lián)網(wǎng)僵尸網(wǎng)絡、DNS威脅、物聯(lián)網(wǎng)勒索軟件、物聯(lián)網(wǎng)物理安全、影子物聯(lián)網(wǎng)。面對這些威脅，首先，企業(yè)IT團隊必須采取多層次的方法來緩解物聯(lián)網(wǎng)安全風險，還應該針對不同類型的物聯(lián)網(wǎng)攻擊采取特定的防御措施。其次，監(jiān)督物聯(lián)網(wǎng)設備的IT團隊應該為網(wǎng)絡上的任何設備制定強密碼策略，并使用威脅檢測軟件來預測任何潛在的攻擊。IT管理員可以用來防止安全攻擊的基本策略包括設備漏洞評估、禁用不需要的服務、定期數(shù)據(jù)備份、災難恢復程序、網(wǎng)絡分段和網(wǎng)絡監(jiān)控工具。

普普點評

數(shù)據(jù)保護策略是提高物聯(lián)網(wǎng)安全性的另一種方式。盡管物聯(lián)網(wǎng)部署由于其分散的性質而難以部署，但它有助于增加一層安全性。IT團隊可以使用可見性工具、數(shù)據(jù)分類系統(tǒng)、數(shù)據(jù)加密措施、數(shù)據(jù)隱私測量和日志管理系統(tǒng)來確保數(shù)據(jù)安全。

2、安全的生命周期不是開發(fā)人員的生命周期

由于云遷移的增加以及移動應用的廣泛應用，軟件開發(fā)安全生命周期（SSDLC）成為了越來越多企業(yè)的首選。如今SSDLC已經(jīng)轉變?yōu)槲覀兘裉焖玫某掷m(xù)交付-操作循環(huán)。開發(fā)者在軟件開發(fā)過程中通常考慮的是特性、截止日期、延展性和速度，以及生產(chǎn)事故以及宕機時間方面的事，而不考慮安全。因此，在所有項目的每個階段都實現(xiàn)安全性幾乎是不可能的，并且開發(fā)出沒有bug并且不會宕機的應用是極具挑戰(zhàn)性的，所以要將安全整合到開發(fā)的每個階段中，其前提是從一開始就確保安全團隊的參與，以便最大限度地避免發(fā)生錯誤并保護開發(fā)過程。理想情況下，通過適當?shù)呐嘤枺行У膬炔繙贤?，注重安全性的設計以及嚴格的測試流程，這些錯誤都能被很好地控制，從而降低其所帶來的不良影響。簡單將，加強開發(fā)團隊與安全團隊的溝通與協(xié)作，使其步調一致，才能更好地實現(xiàn)技術的進步以及安全風險的管控。

普普點評

盡管安全對于軟件的開發(fā)的不可或缺的，但幾乎所有的軟件開發(fā)過程都會受到安全性的“阻礙”。安全標準對于開發(fā)團隊往往是不可行的。這大多是由于安全團隊不夠了解應用安全和企業(yè)面臨的風險波動之間的關聯(lián)。

3、數(shù)據(jù)泄露之后,我們如何識別危機？

一個員工失手點擊了釣魚郵件，可能會對企業(yè)、政府乃至非營利組織帶來嚴重后果。利用竊取到的數(shù)據(jù)，欺詐者可以透露商業(yè)敏感信息、操縱股票價格或進行各種間諜活動。此外，魚叉式釣魚攻擊還可以部署惡意軟件來劫持計算機，將該計算機所在的網(wǎng)絡變成可用于 DoS 的龐大僵尸網(wǎng)絡。面對釣魚網(wǎng)站，應該如何識別呢？

一、留意域名。辨別釣魚網(wǎng)站的最直接的方法就是對比它的域名是不是官方域名；

二、鏈接要小心。切勿單擊來自陌生人的電子郵件和即時消息中的鏈接或所有看上去可疑的鏈接；

三、觀察網(wǎng)站內容。仿冒網(wǎng)站上沒有鏈接，用戶可點擊欄目或圖片中的各個鏈接看是否能打開；

四、查看安全證書。針對大型電子商務網(wǎng)站或網(wǎng)銀站點需要查看其安全證書。

普普點評

數(shù)據(jù)泄露事件發(fā)生之后，大量數(shù)據(jù)被泄露并在線暴露。因此，魚叉式網(wǎng)絡釣魚攻擊具有高度針對性和定制性，并且比傳統(tǒng)的網(wǎng)絡釣魚攻擊更有可能取得成功。攻擊者可以使用泄露的信息來發(fā)起嚴格針對組織的大型網(wǎng)絡釣魚活動。要安裝防火墻、殺毒軟件并定期更新。養(yǎng)成以上良好習慣，就可以識別跟防范釣魚網(wǎng)站詐騙。

4、SaaS的好處和壞處:可見性是SaaS安全的關鍵

云的好處是彈性、易用，因而也更具成本效益。軟件即服務(SaaS)是未來，通過這種訂閱式的在線服務，用戶可以節(jié)省管理、更新和保護應用程序所需的時間、精力和資源。然而，SaaS有個明顯的壞處，安全風險。事實上，基于云的服務現(xiàn)在是惡意軟件最常見的交付方式。據(jù)SASE廠商Netskope的統(tǒng)計調查，近70%的黑客和漏洞攻擊都是從云服務下載的，97%的云應用程序是在未經(jīng)安全團隊授權甚至是不知情的情況下使用的。

SaaS安全性首先需考慮所使用在線服務的可見性。安全團隊應該考慮登錄信息是否使用了足夠的加密，檢查在線服務過去是否遭到過黑客攻擊，如果是的話，提供商做出了哪些響應措施。在線服務的安全性還取決于人們使用它的方式。如確保員工在登錄SaaS服務和網(wǎng)絡時使用不同的憑證等。

SaaS安全性需要考慮的另一個方面是不同SaaS應用之間的交互，即SaaS的連接性，包括應用程序和服務相互發(fā)送通知等功能。

普普點評

SaaS或其他基于云的服務每年可以為企業(yè)節(jié)省大量資金，除了成本以外，云還可以提高靈活性、提高效率、更好地利用數(shù)據(jù)和更好的為客戶服務。然而，所有這些都可能以安全為代價。通過增加對SaaS在組織內活動的可見性，安全團隊可以確保在充分享受這些服務的同時，避免風險。

5、SD-WAN安全防護模型及能力建設挑戰(zhàn)分析

近年來，軟件定義廣域網(wǎng) (SD-WAN)技術被企業(yè)廣泛應用，SD-WAN繼承了SDN控制與轉發(fā)分離、集中控制的理念，將物理上的分布網(wǎng)絡抽象為統(tǒng)一管理的邏輯網(wǎng)絡，以便更加靈活地使用和調度，實現(xiàn)了企業(yè)在總部和分支機構、數(shù)據(jù)中心和云平臺之間的快速組網(wǎng)。但是不經(jīng)意間也創(chuàng)造了新的攻擊面，為勒索軟件、APT、病毒蠕蟲和其他惡意軟件提供了入侵機會。安全風險可能來自以下幾個方面：

(1) 非法接入。非法的設備或用戶接入網(wǎng)絡；

(2) 滲透入侵。SD-WAN網(wǎng)絡中的管理中心和數(shù)據(jù)中心等擔負著認證、授權、管理、數(shù)據(jù)收集、數(shù)據(jù)存儲的重要任務，最容易成為黑客攻擊的目標。

(3) 數(shù)據(jù)泄露。SD-WAN通過因特網(wǎng)傳輸時存在數(shù)據(jù)被截取或被篡改、仿冒的安全風險。

(4) 業(yè)務安全。網(wǎng)絡中的數(shù)據(jù)中心、各分支節(jié)點或云端業(yè)務數(shù)據(jù)，容易遭受病毒、木馬、勒索軟件帶來的威脅和攻擊。

(5) 運維風險。當企業(yè)分支節(jié)點越來越多溯源取證并及時做出響應帶來了很大管理挑戰(zhàn)，處置不及時會產(chǎn)生相應的運維風險。

普普點評

企業(yè)廣域網(wǎng)中信息流動跨度變大，信息服務或用戶數(shù)據(jù)分布在不同地區(qū)甚至是不同國家，SD-WAN建設需要遵從當?shù)氐姆煞ㄒ?guī)。比如我國政務網(wǎng)組網(wǎng)中的合規(guī)要求之一就是使用國密算法或國密產(chǎn)品。

6、勒索軟件即服務:網(wǎng)絡攻擊趨勢的商業(yè)模式

勒索軟件即服務(RaaS)是針對勒索軟件攻擊趨勢的一種新的商業(yè)模式。這是一種分散且大部分自動化的分發(fā)模式，可以支持勒索軟件運營商快速增長的需求。

勒索軟件即服務是一個在線平臺，任何人都可以通過發(fā)布勒索軟件來開展自己的業(yè)務。從本質上來說，這是內部人員工作風險的完美示例。但是，加入勒索軟件即服務(RaaS)并不需要成為“局外人”。只需支付少量費用即可訪問勒索軟件即服務(RaaS)后端并開展自己的業(yè)務。企業(yè)的另一端(分發(fā)和部署勒索軟件)完全由后端自動化，因此用戶可以專注于開發(fā)他們獨特的勒索軟件。

勒索軟件即服務運作模式為：一旦勒索軟件即服務(RaaS)開發(fā)人員分發(fā)了他們的“產(chǎn)品”，潛在的分支機構就會購買一個或多個副本。這項服務的后端有一個自動附屬系統(tǒng)，可以同時處理多個用戶，用于管理分支機構及其產(chǎn)品。一旦會員購買完成，他們可以立即開始使用勒索軟件并將其分發(fā)給受害者。每個會員都有一個控制面板，允許他們跟蹤和監(jiān)控勒索軟件引起的攻擊次數(shù)。

普普點評

勒索軟件即服務是網(wǎng)絡攻擊者在數(shù)字世界中侵占受害者財產(chǎn)的最新威脅之一，旨在與自定義勒索軟件一起使用，這就是人們在將來會看到更多此類軟件的原因。勒索軟件即服務起初可能看起來很嚇人，但在造成任何損害之前，可以通過適當?shù)谋Ｗo軟件和預防措施將其阻止。每個人都應采取某些預防措施來保護自己免受勒索軟件的侵害，這一切都是為了保持警惕，尤其是在互聯(lián)網(wǎng)上。

7、數(shù)據(jù)不安全？隱私計算讓數(shù)據(jù)“可用不可見”

說隱私計算是技術略顯勉強，事實上它是多項技術組成的系統(tǒng)。在數(shù)據(jù)應用，政策法律合規(guī)性的要求下，以密碼學為技術邏輯，由技術提供方和數(shù)據(jù)運營方，提供可信的算法模型。實現(xiàn)數(shù)據(jù)的可信流通，為數(shù)字時代的發(fā)展保駕護航。

在隱私計算的關鍵技術方案中，以下三種技術實現(xiàn)思路是隱私計算的主要技術方案：以密碼學為核心的多方安全計算（MPC）、融合隱私保護技術的可信聯(lián)邦學習（TFL）、依托可信硬件的可信執(zhí)行環(huán)境（TEE）。

隱私計算涉及到的密碼學、數(shù)學、分布式系統(tǒng)和底層硬件、差分隱私、可信執(zhí)行環(huán)境、算法模型等學科技術中，最核心的當屬密碼學。尤其是同態(tài)加密（Homomorphic Encryption，HE）的應用，作為一項新型加密技術，可實現(xiàn)數(shù)據(jù)加密后仍然可以被分析處理，如檢索、統(tǒng)計、AI任務操作。正是由加密模型搭起了一座實現(xiàn)數(shù)字“加密”的橋梁。在有關隱私計算的技術方案里，模型的是應用實現(xiàn)“可用不可見”的關鍵環(huán)節(jié)。

普普點評

在實現(xiàn)數(shù)據(jù)安全的通道上，數(shù)據(jù)脫敏、匿名化、假名化、去標識化，差分隱私和同態(tài)加密均可實現(xiàn)某種程度的隱私數(shù)據(jù)保護。隱私計算可以說是博采眾長。在政策引導和市場驅動下，中國隱私計算在“產(chǎn)學研”上有了協(xié)同發(fā)展，且正在得以加速商用。在基礎產(chǎn)品服務，數(shù)據(jù)運營商業(yè)模式方面的巨大市場空間，已經(jīng)被資本追捧。