據悉,支付寶在傳輸上通過全站Https加密傳輸以及提供安全組件SDK功能避免即使數據洩露也不易被破解。
當然即使自身系統技術層面沒問題也不表示不會被攻擊。去年攜程、12306先後發生重大數據洩密事件,而官方均表示為撞庫導致。
所謂撞庫,就是利用現有的密碼組對不同網站進行重複登錄突破,這種前端的攻擊手法也是企業安全目前最無能為力的領域,只能通過對登錄進行各種限制來防止系統攻擊,比如去年12306所用的“史上最難驗證碼”就是為了避免機器人反複登錄———當然,這也說明了安全性與便利性永遠是一對矛盾。
“這個只能通過接口設計合理化來規範,比如說限制登錄頻率,驗證碼複雜化。”白帽匯首席安全官鄧煥說,最有效的方法是廠商之間的聯防聯控,但畢竟數據是廠商最重要的資產,這個很難協調。
決策者的意識淡薄
“實際上現在企業安全最大的難題是決策者重視態度。無論技術還是內鬼,以及外部攻擊,其實都有完善的防範方式。”王宇告訴南都記者,據他所知,“小型網站的安全占整個IT投入估計不到1%。”
騰訊《互聯網+企業網絡安全生態研究報告》數據也說明了這點。2014年我國信息安全投資為34億美元,占整個IT投資比例不到3%;相比之下美國2016年全年安全預算140億,占整體IT投入10%-20%。與此同時,我國接近40%的小微企業甚至連信息安全團隊以及資金預算都沒有。
“我2015年總共挖了100多個漏洞,也就30%左右給了錢,加起來就1萬塊左右。”一位正面黑客小林(化名)曾如是告訴南都記者,他是一個安全公司的技術測試員,沒事就在補天或者烏雲等黑客平台發布自己發現的漏洞。他有一次破解一個網站MD5算法,每天泡7小時在上面,用了上千種算法半個月時間才破解了它,但當他把漏洞提交給企業時,企業也沒有選擇給錢。 |
