地獄開局的2022，穿好你的安全鎧甲

原標(biāo)題：地獄開局的2022，穿好你的安全鎧甲

2022年開局，幾乎是各種負面新聞和疫情反復(fù)的錘煉，很多“心大”的朋友都開始變得焦灼，紛紛表示“蚌埠住了”。疫情第三年，大家的情緒似乎都抵達了一個臨界點。

然而，越是令人身心疲憊的危機時刻，越要穿好健康和安全的鎧甲，妥善照顧好自己的生活。

除了物理世界需要注意身心安全之外，在大眾逐漸適應(yīng)數(shù)字化的工作和生活方式之后，對于數(shù)字世界新出現(xiàn)的安全威脅，很多人可能都沒什么概念。

所以，我們在本文中嘗試預(yù)測一下，接下來可能增多的安全威脅，希望大家能夠預(yù)先采取行動，防患于未然，增強自己在數(shù)字世界的“抗體”。

請相信，我們正穿行在一條幽暗的隧道里，已經(jīng)徒步走了這么遠，盡頭的光明一定是真實存在的。哪有勝利可言，挺住就是一切。

威脅一：成規(guī)模的網(wǎng)絡(luò)攻擊

網(wǎng)絡(luò)攻擊對于企業(yè)、政府機構(gòu)等來說都并不陌生，往往有IT工程人員兢兢業(yè)業(yè)地防守著。而隨著很多人在疫情之后轉(zhuǎn)向長期數(shù)字生活，也給網(wǎng)絡(luò)攻擊帶來了一些新的變化。

一是網(wǎng)絡(luò)攻擊的收益顯著提升。

在很多地區(qū)，互聯(lián)網(wǎng)服務(wù)的使用率比疫情前提高了一倍以上，在線辦公、視頻會議、網(wǎng)絡(luò)課程、移動支付等也快速在全球范圍內(nèi)普及開來。這就使得黑客的移動攻擊面急劇擴大，網(wǎng)絡(luò)攻擊如個人信息泄露、移動錢包電子支付被盜、威脅勒索等等，所獲得的收益也就更大了。2021年5月，一家美國保險巨頭就向REvil勒索團伙支付了4000萬美元的贖金。

高價值、大范圍的攻擊目標(biāo)，為投資該技術(shù)的犯罪分子提供更大的回報?？梢灶A(yù)期，勒索軟件和移動攻擊的數(shù)量將大幅增加。

（FSB拘留了發(fā)送勒索軟件病毒的黑客）

另一方面，網(wǎng)絡(luò)攻擊規(guī)?；碾y度卻在降低。

很多企業(yè)和職工此前都沒有考慮過長期在家工作的情況，可能大部分家中的聯(lián)網(wǎng)設(shè)備都不是由企業(yè)來進行配置的，安全級別上與企業(yè)不同。隨著數(shù)字化將業(yè)務(wù)搬遷上云，針對云服務(wù)提供商（CSP）的大規(guī)模攻擊開始增加，放在云上的文檔中保存著大量組織的敏感數(shù)據(jù)，當(dāng)這些文檔被企業(yè)員工共享出去以便協(xié)作的時候，如果沒有密碼，或者使用了弱密碼，那么被黑客截獲的可能性也大大增加了。

卡巴斯基的安全專家曾分享過，2019年約有46%的網(wǎng)絡(luò)安全事件，是由粗心大意的員工引起的。而隨著居家辦公的長期化，對漏洞和威脅的監(jiān)測反而沒以前及時了，這讓情況雪上加霜。

比如此前視頻會議軟件Zoom就被揭露存在重大缺陷，允許黑客訪問用戶的攝像頭。還有黑客跟蹤麥克風(fēng)的對話，然后威脅要將它們上傳到社交媒體，除非支付贖金等等。

恐慌毫無意義，回到從前也是天方夜譚。認清現(xiàn)實，接受大規(guī)模遠程工作所帶來的安全隱患，并開始著手重新建立安全意識、安全機制、安全壁壘，才是正事兒。

對于個人來說，可以選擇禁用麥克風(fēng)和攝像頭，只在必要的時候打開它們，能夠有效地保護居家辦公的隱私信息。

對于企業(yè)和CSP服務(wù)商來說，需要采取新的工具和安全機制來測試漏洞、監(jiān)督訪問控制、密碼管理、端點加密……在風(fēng)險日益增加的環(huán)境中，在防病毒、反惡意軟件和安全工具上投資是有意義且必不可少的。

威脅二：以假亂真的在線欺詐

互聯(lián)網(wǎng)服務(wù)以一種自然的、無感的方式嵌入我們的日常生活中，成為必不可少的工具，這意味著人們必須不斷自我學(xué)習(xí)來提升數(shù)字技能。這時候，很多缺乏數(shù)字技能的人，就可能成為網(wǎng)絡(luò)詐騙的重災(zāi)區(qū)。

一些傳統(tǒng)的網(wǎng)絡(luò)詐騙方式，比如男扮女裝、偽裝警察、線上賣茶、編造諸如你兒子在我手里之類的謊話，公安部門的反詐App已經(jīng)幫咱們科普得明明白白了。但隨著Deepfake技術(shù)的不斷升級，并且很容易通過開源平臺獲得，想要區(qū)分真實信息與虛假信息變得越來越困難了。

目前，這種以假亂真的Deepfake偽造詐騙還很難防范。

2019年，就有一名黑客通過AI語音克隆，偽裝對方的領(lǐng)導(dǎo)，從阿聯(lián)酋的一家銀行經(jīng)理那里騙走了3500萬美元。2021年，偽造的疫苗接種證書（疫苗護照）流行起來，這些偽造的接種證書不僅帶有疫苗接種中心的印章和簽名，甚至貼有疫苗編號標(biāo)簽，與真實的國際通用《黃皮書》（國際預(yù)防接種證書）幾乎沒有區(qū)別，團購售價為100-120歐元，讓多個國家的疫情防控大受困擾。

面部偽造技術(shù)也越來越逼真，以前用來識別的耳朵邊緣瑕疵也近乎消除。前不久的美版抖音TikTok上，利用Deepfake把湯姆·克魯斯（Tom Cruise）的臉復(fù)制到自己身上并生成視頻，也引發(fā)了病毒式傳播，并且愚弄了很多人?？雌饋硎窃趭蕵罚墒且坏┍挥迷谠g毀公眾人物，或者在視頻通話中冒充他人來籌集資金，會導(dǎo)致人們對音頻和視頻內(nèi)容的廣泛不信任，這本身就是一種社會危害。

如果沖浪達人都可能上當(dāng)受騙，無法區(qū)分真實視頻與虛假視頻，那么要求老年人、新觸網(wǎng)群體完全靠自己來規(guī)避這種風(fēng)險，顯然是強人所難了。

總的來說，目前已知的Deepfake偽造技術(shù)攻擊，包括幽靈欺詐（犯罪分子竊取死者的身份進行詐騙），身份模仿（如前面提到的語音克隆案例），虛擬身份欺詐（犯罪分子通過組合來自多個人的信息和圖像來為自己“創(chuàng)建”新身份）。

防范這種網(wǎng)絡(luò)威脅，大致可以分為三種層級：

首先，個人要對一切網(wǎng)絡(luò)上發(fā)生的交易活動保持“零信任”。沒錯，在不確定對方毫無威脅之前，都先判定是有威脅的，直到它證明自己。加州大學(xué)伯克利分校（University of California， Berkeley）教授、數(shù)字取證專家哈尼·法里德（Hany Farid）也呼吁，對你所看到的、聽到的和讀到的東西保持懷疑，是應(yīng)對Deepfakes非常強大的武器。

無論對方是發(fā)信息，還是用語音甚至視頻要求你轉(zhuǎn)賬或分享數(shù)據(jù)，全部要求用其他方式進行額外驗證，比如再發(fā)送電子郵件、給你的社交媒體留言等等。沒有任何一個辦法能夠保證你識別出Deepfake，因為技術(shù)一直在進步，關(guān)鍵是改變你的安全意識，用“零信任”來增加犯罪分子的成本和難度。一般情況下，這些詐騙信息都是自動化發(fā)送的，可能多要求對方驗證幾次就不攻自破了。

其次，企業(yè)和互聯(lián)網(wǎng)平臺有責(zé)任必要的技術(shù)來應(yīng)對威脅，審查可能被偽造的身份和內(nèi)容。比如有黑客運用一些個人信息來開設(shè)賬戶，向金融平臺貸款，從而導(dǎo)致真人莫名其妙地背上了債務(wù)，金融機構(gòu)也將遭受直接的損失。目前，微軟和Facebook等一些頂級科技公司正在開發(fā)自動化軟件來標(biāo)記Deepfake內(nèi)容，比如YouTube就在前不久刪除了烏總統(tǒng)Volodymyr Zelensky的Deepfake視頻。

只能依靠企業(yè)自身提升安全級別，在驗證身份信息時，引入虹膜、DNA、靜脈等生物識別手段，或者采用更高精度的3D人臉識別，開發(fā)AI算法來研判圖片資料是否有PS偽造痕跡等等。一般情況下，犯罪分子都需要提交身份證件和自拍，而大多數(shù)不愿意使用自己本人的面部照片進行欺詐，這就與偽造的身份證件有沖突，這種交叉驗證很容易暴露身份偽造。

而保底的方案，則是將火眼金睛的人類員工作為最后一道防線，來協(xié)助安全技術(shù)儀器工作，因為機器視覺在識別紙質(zhì)身份證中的欺詐行為方面，魯棒性還是達不到人眼的水平。一旦光照、環(huán)境發(fā)生變化，效果就未必理想。培訓(xùn)人類員工來把關(guān)，與數(shù)字技術(shù)構(gòu)成一個強大的人機協(xié)作系統(tǒng)，才能對抗Deepfake技術(shù)日益嚴重的威脅。

威脅三：零工時代的勞工困境

如果說前面兩種威脅都是實打?qū)嵉呢敭a(chǎn)或信息損失，可以通過有力的政策和技術(shù)工具來規(guī)避，那么有一種威脅可能是悄無聲息、但傷筋動骨的，那就是零工經(jīng)濟引發(fā)的勞工問題。

零工經(jīng)濟，以前是個很時髦的詞，是由在線平臺推動的，以臨時合同和非正式身份雇傭員工。uber、Airbnb以及印度的Ola和Swiggy都是這類模式。疫情之后，不確定的外部環(huán)境推動了零工經(jīng)濟規(guī)模的擴大，一些停滯或縮減的行業(yè)職員都有可能流動到零工崗位上去，也給零工群體蒙上了一層無奈的陰影。此前，國內(nèi)某商超就曾暫時接收過其他O2O平臺的配送員。

隨著疫情威脅的消退，以及遠程辦公、數(shù)字游民成為趨勢，零工人員數(shù)量可能還會迎來大規(guī)模的增加，并從出租、配送、代駕等領(lǐng)域，擴展到設(shè)計、新媒體等白領(lǐng)崗位。

（歐盟遠程辦公工作的員工比例）

這種“分布式”新組織結(jié)構(gòu)，確實具備更高的靈活性，同時也存在“黑暗面”，那就是企業(yè)承擔(dān)了更少的保障義務(wù)，零工群體的抗風(fēng)險能力也不如以往，進而驅(qū)動遠程協(xié)作的激勵體系重新設(shè)計。

同時，因為可以隨時工作，員工很容易超負荷，而且必須學(xué)習(xí)使用數(shù)字設(shè)備的新技能，以及處理多線程任務(wù)的能力，自己平衡壓力并持續(xù)學(xué)習(xí)……這些都對零工人口提出了新的工作挑戰(zhàn)。如果你是一個開著網(wǎng)約車的前程序員，或者改為線上接單的設(shè)計師，就需要努力地適應(yīng)變化，并妥善考慮自身的財務(wù)抗風(fēng)險能力和長期保障規(guī)劃。

對于政府來說，面對零工經(jīng)濟、遠程協(xié)作的趨勢，提高學(xué)習(xí)的節(jié)奏并加速相應(yīng)政策法規(guī)的出臺，或許會讓風(fēng)雨飄搖中的零工們少一點難題。

在人類歷史中，最大的突破往往也來自最具破壞性的危機時期。關(guān)注并超越危機，能夠確保我們在疫情之后的數(shù)字未來里比以前更加自由、更加強大。

那些殺不死我們的，一定會讓我們更加堅強，與君共勉。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。