DNSPod十问翟新元:中招钓鱼邮件该怎么办?

2020-10-09 09:40:42 浏览数 (3)

问答时间:2020年10月08日

嘉宾简介:

翟新元(人称:老猫):亚洲诚信CEO,数字证书领域的互联网老兵。深耕于CA/PKI,专注于站点应用HTTPS安全加密传输的普及,主导了云端自动化SSL证书模式的实现,使SSL证书从传统的交付方式革新到云端一键开启HTTPS的精简模式。

主持人简介:

吴洪声(人称:奶罩):腾讯云中小企业产品中心总经理,DNSPod创始人,洋葱令牌创始人,网络安全专家,域名及DNS技术专家,知名个人站长,中欧国际工商学院校友。

以下为对话原文整理:

吴洪声:由于近期SSL证书有效时长再次缩短至398天,这一趋势下,如何及时有效地应对频繁的证书过期和更新?

翟新元:SSL/TLS 证书作为数据安全和隐私保护的安全标签产品,在互联网中被大量使用,但近几年来,HTTPS安全事件仍然频发,究其原因是因为企业缺乏专业的证书管理系统导致SSL证书使用无法实现全生命周期闭环管理,从而给企业带来难以估量的财产和信誉损失。

为了提高SSL证书的使用安全,从 2020 年 9 月 1 日开始,苹果、谷歌、Mozilla 的浏览器和设备对有效期超过 398 天的新SSL/TLS证书不再信任。

缩短证书寿命好处固然有很多,但也使得SSL/TLS证书的管理愈发艰难。毕竟在2015年之前SSL/TLS证书的寿命足有五年之久,如今却只有13个月;致使SSL/TLS证书管理的工作量激增。在信息化高速发展的今天,企业拥有多个服务器,每个服务器可能需要多个证书,亦或是一个证书应用在不同的服务器上,工作量之大可想而知。对于管理人员来说,手动跟踪部署到数百台服务器的数千个证书的过期日期是相当复杂且艰难。再加上几乎每年都要进行一次证书申请,每次都要进行正常的商务流程以及企业内部的审核流程,不仅繁琐而且周期(从签发到续签、替换和吊销)非常长,这些都给安全运维人员带来了很大的挑战。

在自动化运维已成为必然趋势的背景下,使用专业的HTTPS全生命周期闭环管理系统来解决证书管理的问题无疑是降本增效的好策略,今年我们发布的云化 SaaS 服务平台CertCloud,可以全面解决SSL证书管理难题,真正实现“证书即服务,让证书永不过期”,具有:多年期证书自动续签、快速自动验证、集成 ACME 协议部署、企业组织信息预审核等功能,将繁琐的SSL证书管理工作实现最大程度的精简,让HTTPS更快更轻松也更安全。

吴洪声:据报告显示,90%的网络攻击事件由一封钓鱼邮件引起。2019年,全国企业级用户共收到约424.3亿封带毒邮件,同比增长了108.36%,平均每天约有1.2亿封带毒邮件被发出和接收。同样,钓鱼邮件总量超过340亿,同比增长了68.5%。国内邮件安全整体形势依然不容乐观;特别是电子商务、医疗、汽车等行业近年因邮件欺诈而蒙受巨大损失的案例频频发生。面对这种现象,我们应该如何应对?如何建立完善的电子邮件安全防护体系?

翟新元:毋庸置疑,电子邮件仍是目前日常办公中必不可少的沟通方式。从某种意义上来说,它更像是一个“官方文书”,更具有“公信力”。正因如此,邮件系统中往往存储着企业及机构的大量敏感信息,一旦泄露将造成重大的安全事故。当年令业界哗然的「希拉里邮件门」就是非常典型的事件之一。电子邮件通常基于明文协议传输,没有加密、无法验证邮件发送者身份,非常容易被拦截、攻击、篡改或仿冒。解决此类问题最有效的办法就是采用S/MIME邮件安全证书,通过数据加密和身份认证,签名技术来确保邮件在通信传输过程中的保密和安全,从而规避钓鱼攻击造成的影响。

要建立完善的电子邮件安全防护体系,不仅仅需要S/MIME邮件安全证书,还需要从电子邮件客户端、邮件服务器端、邮箱系统服务商等全方面采取相应的技术措施,亚洲诚信也一直致力于给客户提供更专业的企业邮件安全证书解决方案。

吴洪声:随着产业互联网发展步入快车道,各行各业数字化升级门槛降低,数据交流更为频繁,安全问题随之而来。网络安全作为企业的生命线,面对不断频发的信息安全事件及潜在的安全威胁,企业应该如何保障自身的网络信息安全呢?

翟新元:随着国家和互联网环境对网络安全的要求提高,传统的安全策略已无法满足企业需求。企业的关注点也逐渐从体系建设、基础网络安全向数据安全、业务安全方向转变。

面对日益扩大的攻击面和日益复杂的安全威胁,企业要坚持安全即服务,全面构建智慧型、主动性的安全保障体系,提升实战化、体系化、常态化的安全运营能力,防范于未然,加大安全投入,深入推进安全技术和产品创新,积极应用人工智能、大数据、云计算、物联网等技术,运用创新安全技术化解日趋复杂的安全风险,将安全能力融入到业务系统的各环节之中,提升整体网络安全等级。

吴洪声:据2019年的相关数据统计,大约43%的网络攻击针对中小企业。尽管被攻击企业如此之多,但大部分人只觉得只有大型公司的网络安全才值得关注,对于这种现象你有什么看法呢?

翟新元:大型企业通常具有相对专业的安全管理意识和充足的预算,管理者也会重视对网络安全的投入,选购大量的安全防护设备。对于大型企业来说,网络安全阵地失守的概率相对小,即便发生了网络安全事故,其承受风险能力也远远大于中小企业。也就是说,对大企业来说网络被非法入侵可能是一场小感冒,但对特别依赖业务数据信息的中小企业来说可能是灭顶之灾。

当前网络犯罪频发,多数的大型企业已经拥有了自己的网络安全部门,或者和成熟的网络安全服务商进行了紧密的合作。相对于资源充裕与安全防护投入巨大的大型企业来说,中小企业的安全投入通常比较薄弱,与外部进行数据通信,安全防护措施少之又少加上网络安全意识匮乏,网络安全人员缺失,给了很多不法黑客可乘之机,这使得中小企业更易沦为网络攻击的受害者。所以,中小型企业越来越多地面临与大型企业相同的网络安全风险,同样需要构建全面的安全防护体系,特别是要把数据安全和隐私保护作为网络建设的重中之重。

吴洪声:代码签名机制是帮助开发者和最终用户建立安全信任的软件发布环境和使用环境,但在实际应用中,存在着诸多安全管理问题和安全风险,极易造成重大财务损失以及品牌损害。比如去年三星SmartThings 敏感的源代码、证书和密钥一起泄露,其中包含了iOS和Android应用的私有证书。因代码签名产生的安全管理风险难题应该如何解决,能简单谈谈吗?

翟新元:传统的代码签名证书,具有标识软件或代码来源以及软件开发者的真实身份,保障软件不被篡改,保障签名后的软件下载安装时不会弹出安全警告的作用,但是代码签名证书在实际应用中,存在着诸多问题和安全风险。如:签名密钥容易被盗、无法跨区域共享密钥、没有签名问责制和管理权利、无法跟踪或审计签名活动等。

保持强大的网络安全实践,将证书和相应密钥存储在安全的环境中显得尤其重要。这就需要一套更安全可靠的代码签名系统,具备不可复制、抗抵赖、与通用系统集成使用的便利性。

亚洲诚信自主研发的VSign远程代码签名服务系统,实现跨地区跨部门多人签名,不仅保护证书和私钥的安全,所有的签名活动都是可追踪的,确保问责制和合规性。另外,云端服务器通过令牌实现证书共享,证书拥有者不必担心证书的安全问题,请求签名的用户可以体验到无感知的签名服务。另外基于PKI的强身份认证技术和国家密码局认证的硬件加密机,打破传统的权限管理,有效保护代码完整性和开发者信誉。

吴洪声:没有网络安全就没有国家安全。在我国,随着“互联网 ”的战略提速,通过互联网办理业务已经十分普遍,尤其是电子政务业务大部分已经迁移到互联网,但反观政府网站的安全建设却相对滞后,政府门户网站被篡改、敏感数据泄露等事件层出不穷。对于政府网站安全机制构建你有何看法?

翟新元:政府门户网站作为“政府形象”的标志之一, 是发布政府信息、提供在线服务、与公众互动交流的重要平台和窗口,却常常成为一些不法分子的重点攻击对象,门户网站一旦被篡改或加入一些敏感的显性内容,会引发较大的负面影响,严重时甚至会造成政治事件。

早在2017年国家发布的《政府网站发展指引》就对全国政府网站的安全建设提出明确规范,部署必要的安全防护设备,应对恶意攻击、网页篡改和漏洞利用等风险,保障网站安全运行;定期对政府网站开展安全检测评估;建立安全监测预警机制,实时监测网站的硬件环境等提升政府网站的全防护能力。

保障网站安全的基础防护措施上,应当采用SSL/TLS协议实现网络通信加密,身份认证,防止数据被窃取或篡改,提升政府网站防篡改、防劫持、防泄密的能力。

在便利和风险并存的互联网中,实时监测网站安全、监控网站数据,对于运维管理人员难度很大。DNSPod联合亚洲诚信推出的SSLPod, 是一款HTTPS网站安全评级管理 监控告警系统,它是基于SaaS的架构,使用非常简单,只要你输入网站域名和端口,就可以对站点展开全面的HTTPS监控。一旦发现异常情况,用户可以通过自定义的微信、电话、短信等各种告警方式了解到自己的网站是否出现了不安全的情况。

吴洪声:我国网络基础设施和核心技术设备大量采用国外软硬件,SSL证书作为网络安全的重要一环,几乎被国外厂商垄断。在日趋紧张的国际关系下,一旦SSL证书断供或者吊销,我们将如何应对?

翟新元:数字证书是网络空间信任体系的基石。目前,我国互联网基础通信安全几乎依赖于国外CA签发的SSL证书,如果出现吊销或断供等极端情况,电子政务系统、银行支付系统、移动支付系统、电子商务系统以及各类重要领域的网站或信息管理系统,将面临大规模访问故障和巨大安全风险,尤其是对我国关键信息基础设施安全将造成毁灭性的打击。

近年来,我国陆续颁布的《网络安全法》《密码法》等法规政策,都对采用商用密码技术实现数据保密性、完整性、可用性等方面提出了相关要求,在应用环境不可控的情况下,使用自主可控的国产密码技术加密数据,是保护我国网络信息安全最有效的方式。

在目前的形势下,必须尽快推动国产数字证书的应用和普及,提高国产数字证书的市场占有率。针对可能出现的“断供”窗口期,要有技术能力实现国际SSL证书无缝切换到国产SSL证书的应对方案,亚洲诚信致力于推广全套的国密SSL证书应用解决方案,连续推出支持国密算法的浏览器,支持国密算法的自适应网关HSG(HTTPS Security Gateway),支持金融银行、电子政务、教育、交通运输、民生保障等关键领域进行国产SSL证书以及国密算法升级改造。

吴洪声:国密SSL证书现在落地和应用情况如何?何时才能在一定程度上摆脱对国外密码技术和产品的依赖,建立自主可控的网络安全环境?

翟新元:目前,国密算法尚未实现广泛兼容,使用率非常低,在Chrome、Safari等主流浏览器、操作系统等应用环境中不受信任,我国也尚未形成支持国密算法的基础软件应用生态,在实际应用中很难真正落地实施。在面向开放互联网的网站服务器上,采用基于国密算法的SSL证书实现HTTPS加密,将直接导致网站系统在用户端无法正常访问,出现报错或无法连接等情况。

部署基于国密算法的HTTPS加密,需要建立从数字证书、浏览器到服务器的国密全生态应用环境,确保国密算法全流程应用闭环;逐步实现同步兼容全球浏览器,确保网站系统的可用性和全球通用性,只有兼顾国密合规和全球信任的解决方案才能真正落地实施。

吴洪声:5G已经逐步走“近”我们的生活,但现在的 4G 网络依然无法完全消除现有的安全风险,仍旧会遭受到垃圾邮件、恶意软件、数据和服务窃取等各种威胁。在安全风险管控上怎么为5G铺路?5G网络下我们又会遇到哪些新的安全问题?

翟新元:我国5G网络的建设与发展需要在推进过程中重视信息安全问题,在技术层面,需要进一步加强网络入口管理、各层功能的实时测试和监控,并构建有弹性的网络结构。在管理层面,需要设计高效的安全运营管理模式。实行系统性、差异性的安全保护、统一的端到端的身份认证、加强边缘计算的安全防护、进一步优化网络安全标准等为5G安全铺路。

当我们享受5G所带来的巨大赋能时,前所未有的安全风险也将随之而来,一是,5G以“低时延 高可靠”的特性,与车联网、远程医疗、工业自动化、智能电网等重要垂直行业结合时,网络攻击对象及权益进一步扩大;二是,5G支持“大连接业务”,将更多关键基础设施和重要应用架构在其上时,这些高价值目标或将吸引更大的攻击力量——国家级黑客入场;三是,5G打破的网络边界,进一步实现网络世界和物理世界融合时,针对虚拟世界的攻击都将变成物理性伤害,网络攻击的影响力指数级暴涨。

吴洪声:随着近几年国际关系的转变,在信息安全和网络安全领域国际市场格局是否会有新一轮的洗牌?我们强调核心技术国有化,未来我国在安全领域的发展前景会是怎样的?

翟新元:当前,全球信息技术正在发生第三次革命,信息技术、信息产业、网络安全等将重新“洗牌”,全球化的网络安全将出现“新格局·新挑战”。

各国在网络空间对抗态势进一步加剧下,网络安全威胁和挑战愈加严峻,更需要提升自主安全产品研发实力,构建自有核心技术生态,增强我国网络空间话语权。

"没有网络安全就没有国家安全"已上升为国家战略,未来,在我国国家安全提升的大形势下,信息安全领域无论从技术、服务,还是管理水平,必将取得实质性的突飞猛进的发展,随着数字化及人工智能不断深入,新技术新业态不断涌现,大数据,云计算、物联网、工业互联网等持续深化,区块链、5G、IPV6等应用普及,政府、企业、个人在网络安全保障方面的投入都将不断增加,产业发展的驱动力强劲;多重利好因素将促使我国网络安全行业市场规模保持着较快的增长。

吴洪声:如今我们身处万物互联的时代,社会逐步从“信息化”向“智能化”转变。在人机交互、万物互联的底层,潜藏着哪些安全需求?在这样的大背景下,为网络安全带来了怎样的发展机遇?

翟新元:万物互联,人机合一,很多人会觉得这是一个比较未来的概念,随着万物互联时代的到来,人类正在走向智能时代。数字和可信产业的支撑、用户数据的保护变得异常重要,需要利用密码在身份鉴别、数据加密和信任传递等方面来维护物联网的安全秩序。另外,身份认证、访问控制、入侵检测、隐私保护、密钥管理等也是需要关注的安全防范能力。

随着万物互联到来,安全的外延和内涵将进一步扩展,安全带来的挑战将更大,安全需求也将更大,外部安全将围绕法律合规和技术上的挑战,内部安全将围绕控制理念和形式有效性的挑战。同时促进加快数字身份基础设施建设,加快数字身份技术的落地应用,打造数字身份以及可信产业发展的新业态,把智慧城市、智慧社会的建设推向新的高度。

吴洪声:十年前,智能手机还没有广泛普及,Windows 7才刚刚发布,网络安全更是一个小众的圈子。这十年风风雨雨,网络安全逐步合规化、产业化,从一座孤岛发展成了一自行其道的小世界。再过十年,网络安全会有怎样的发展,能聊聊吗?

翟新元:未来10年,将是网络安全产业爆发式发展的黄金十年,网络安全产业迎来历史性风口。

1. 国内网络安全公司的差异化,更多会体现在垂直细分领域的专业技术研发革新能力。

2.自主创新技术、安全能力建设将成为企业发展的重要战略。

3. 人工智能、大数据、云计算、物联网等技术不断深入应用于网络安全。

当然,亚洲诚信会始终深耕于CA/PKI与数字证书领域,心怀星辰和大海,砥砺前行,致力于守护网络数据安全。

栏目介绍:

大家好,我是吴洪声。

不知不觉,DNSPod十问这个栏目,已经做了第十九期。本来这个栏目叫洪声十问,一期十个问题。然而细心的读者可以发现,问题逐渐变为十一问,十二问。因为在实际采访过程中我发现,十个问题的答案不足以将嘉宾思考上的高度展示给大众。

此外,这个栏目受邀嘉宾的领域也在逐渐的扩大,从域名圈,站长圈到程序员圈,创业者圈。作为有着丰富行业经验的大拿们,他们在这个栏目留下了他们的真知灼见。比如易名中国金小刚说的:“别想着持有对社会有不良影响的域名,这是一个底线。”比如CSDN创始人蒋涛说的:“对于一个技术驱动的公司而言,不断更换新人并不是好事,技术要有一个积累的过程,应该鼓励这些技术人去提升,对技术人员的回报或薪酬、等级要相应地跟管理平行。”

未来我们希望这个栏目的影响力会覆盖更加多元的受众。把更多正确的理念去对外传递。所以也欢迎各位在评论区留下你想看到我对话哪位嘉宾,还有你想问的问题,我们邀请你共同成为“吴洪声十问”栏目的提问者,发声者。(栏目统筹:赵九州 责任编辑:张洁 胡琼文 )

SMB

腾讯云中小企业产品中心

    腾讯云中小企业产品中心(简称SMB),作为腾讯云体系中唯一专业服务于8000万中小企业的业务线,致力于为中小微企业提供全面完善贴心的数字化解决方案。产品线覆盖了企业客户从创业起步期、规范治理期、规模化增长期、战略升级期等全生命周期,针对性的解决企业的信息化、数字化、智能化的生产力升级需求。本中心还拥有两大独立腾讯子品牌:DNSPod与Discuz!,在过去15年间,为超过500万企业级客户提供了强大、优质、稳定的IT服务。

    SMB团队成员大多都有过创业经历,有获得过知名VC数千万投资的,有被一线互联网巨头以数千万全资收购的,也有开设数十家分公司后技术转型而失败倒闭的,我们成功过,也失败过,我们深知创办企业的难处与痛点,深刻的理解中小企业该如何敏捷起步、规范治理、规模化增长与数字化升级发展,我们会用自己踩坑的经验给出最适合你的答案。

    腾讯云中小企业产品中心,助力中小企业数字化升级的好伙伴。

想了解更多官方资讯?

扫描阿D二维码邀您加入DNSPod交流群

1 人点赞