产业气象站|专访京东安全首席架构师耿志峰:如何预防黑客勒索?
文章图片
遭遇网络黑客的勒索怎么办?有钱就出钱 , 没钱就两手一摊 , 听天由命 。
这是一个正常人的思路 。
在京东安全首席架构师耿志峰看来 , 无论黑科技如何日新月异 , 安全生态如何发生变革 , 在网络安全中 , 预防是重中之重 。
黑客勒索的“经营范围”可以说是非常广泛了 , 从平民百姓 , 到达官显贵 。 黑客对不同的犯罪对象(受害者) , 会选择不同的方法 , 可以理解为类似互联网企业的ToB和ToC业务 。
文章图片
耿志峰告诉《亲爱的数据》:黑客网络勒索的“受害者”类型不同 , 攻击的方法也大有不同 。 对待土豪这样的大C , 用“定向攻击”的方法 。 类似于绑匪 , 瞄准对象、集中火力、武装压制 。 这里按下不表 。
普通人、普通企业被攻击的案子则与土豪不同 , 受到的是“广谱攻击”(差点看成广谱抗生素) 。 黑客ToC“业务”需要用“经济实惠”的攻击方法 。 黑客完全不用坐班全程盯梢 , 而是用自动化的设备 , 全网一遍一遍的扫描 , 寻找暴露在外 , 可以攻击的IP端口 。
批量扫描 , 有瞎猫撞到死耗子的成分 。 很可惜 , 被黑客攻击的受害者就是那只“死耗子” , 被全网扫描这只“瞎猫”逮到了 。 说的不客气一些 , “死耗子”就是不注意网络安全的人 。
所以 , “注意网络安全”不是一句空话 , 谁受攻击 , 谁刻骨铭心 。
耿志峰认为 , 遵守经济学原理 , 黑客会慎重计算“出动成本” , 考虑收入最大化 , 寻找“安全”的洼地 , 这片地里种满了绿油油的韭菜 , 也可以被称为韭菜地 , 收割人就是时刻准备恶意勒索的黑客 。
道理是 , 如果人人自危 , 时时高度重视信息安全 , 那么就很快没有韭菜地了 。 然而 , 事实恰恰相反 , 大片大片的韭菜地在养活“黑客经济” 。
耿志峰强调 , 使“韭菜地”消失的方法有很多 。
第一、“备份” , 永不眠 。
那些绝对不能失去的生产资料 , 常识性的办法是 , 备份 。 备份的重要性无需反复强调 , 即使没有硬盘损坏、服务器故障 。 这一系列失去宝贵生产资料的“意外” , 都要对资料进行备份 。 这属于长期的安全手段 , 比如坐汽车就要系上安全带 。
【产业气象站|专访京东安全首席架构师耿志峰:如何预防黑客勒索?】第二、“零暴露” , 才安全 。
“零暴露”的本质是始终保持“最小攻击面” , 从防护侧思考 , 以木桶原理来理解容易受到攻击的地方 。 业务会有很多不得已的情况 , 如果非要暴露 , 也要穿上“安全外衣” , 部署安全解决方案 , 有备无患 。
比如 , 服务器被黑一定是有接触到服务器的“服务”暴露在外面 。 一个直击灵魂的问题就来了 ,
那些仅仅能访问网页的人 , 为什么有权限登录我的服务器?登录服务器的前提是 , “服务器登录这个服务”暴露在公网 。 如果实在无法避免 , 这个时候 , 需要穿上的安全外衣是堡垒机 。
文章图片
总结一下 , 为什么你会被攻击?
清醒地认识到 , 并不是运气差 。 少壮不努力 , 老大转锦鲤 。
过错一:把不该暴露的暴露在外 。
过错二:已经的暴露服务 , 有漏洞 。
最后 , 我们科普一个“正能量”的段子 。
想象你在沙特首都利雅达大街上闲逛 , 远处走来一位美丽的阿拉伯少女 。 她全身上下用黑布包裹地严严实实(请问如何看到她的美丽) 。 请听题 , 鉴定阿拉伯少女的安全漏洞 , 并为其网络安全情况打分(满分100分) 。
- 产业气象站|5G基站太耗电!三大运营商正式官宣:将智能化关闭5G基站节约电费
- 产业气象站|他从不打无准备之仗,华为联手哈工大究竟想干啥?依任总性格
- 产业气象站|G是否影响健康?,张朝阳用手机保持30厘米
- 爱集微APP|“芯”势力助推游戏产业发展,芯片成为ChinaJoy的关键词之一
- 产业气象站|电力机器人“小白”上岗巡检
- 产业气象站|苏宁智能宣布五项Biu+共享政策,从生态赋能到生态共享
- 宠业家|| 专访,从空气净化滤材行业跨界,一心制砂卡位“国产矿物猫砂”
- 产业气象站|点赞“中国芯里的南大智慧”!华为公司CEO任正非一行访问南京大学
- 产业气象站|花多少钱收购,微软正在谈判收购TikTok美国业务
- 产业气象站|包括王兴,马云创办支付宝的本质不是为了支付,很多人没理解