封鎖白帽子 放縱黑帽子:GDPR丑陋的一面
上個月GDPR就半歲了。這項監(jiān)管規(guī)定承諾提升處理歐盟公民數據的所有跨國公司的透明度和問責力度。高額罰金的可能性迫使公司企業(yè)好好思考自身合規(guī)和調整適應的方式。
然而,也有人認為,黑客能利用這項規(guī)定來謀取攻擊優(yōu)勢。圍繞GDPR準備度的顧慮分散了我們對網絡安全和司法方面一些負面后果的注意力。
于是,在邁入2019年之際,我們應反省該條例呈現的一些甚少討論過的問題。
WHOIS封鎖了白帽子?
WHOIS域名注冊人個人信息數據庫就是第一個問題。WHOIS是執(zhí)法人員、安全研究人員和IP持有者的重要工具,可以查找與欺詐或大范圍網絡攻擊活動相關的GDPR漏洞利用。
濫用品牌IP作為滿載惡意軟件的網站或用于網絡釣魚的惡意假冒域名,可以通過WHOIS數據庫找出其背后的網絡罪犯。即便注冊人因為知道自己所作所為非法而使用了假名,同樣的假名也往往用于注冊多個域名,對執(zhí)法人員一樣大有用處。
美國政府認為,該數據應仍能被警方和IP持有者訪問,互聯網監(jiān)管機構ICANN也注意到了WHOIS在這些用例中的價值。
然而,反網絡釣魚工作組的一項新研究發(fā)現,ICANN在5月設立了對WHOIS數據的臨時規(guī)范以符合GDPR規(guī)定,而這項規(guī)范中斷了執(zhí)法人員的調查。
之前公開可用的WHOIS信息如今被涂抹掉了大半,且合法調查人員根據臨時規(guī)范提出的非公開WHOIS信息訪問請求通常不會被通過。很多注冊機構明顯不愿意收集太多注冊者信息,以防違反了GDPR。
網絡釣魚向縱深發(fā)展
網絡釣魚依然是公司企業(yè)和消費者安全的主要威脅,是身份盜竊、勒索軟件和其他惡意軟件下載的關鍵一步,與2017年93%的企業(yè)數據泄露事件相關。
如果GDPR無可避免地給黑帽子壯了膽,那么監(jiān)管者需找出折衷方案允許特定組織經審查后訪問WHOIS。他們至少可以將受限個人數據替換為散列值,這樣一來,司法人員、監(jiān)管人員和調查人員就可以辨別所有權模式了。
生效6個多月以來,GDPR已被證明對網絡釣魚者越來越有利。網絡罪犯總在尋找利用最新新聞趨勢的方法,慫恿收件人點擊網絡釣魚或其他惡意鏈接。事實上,GDPR為網絡釣魚者提供了絕佳機會:他們可以分享可能來自“公司”的詐騙電子郵件,要求客戶更新他們的憑證。
詐騙者可能繼續(xù)將GDPR用作偽裝,誘使毫無戒心的用戶共享出敏感財務信息或個人信息。網絡釣魚攻擊會敦促用戶更新自己的偏好,稱若不更新,他們的賬戶將可能面臨被凍結或刪除的風險。在GDPR生效那段時間,此類欺詐郵件泛濫收件箱,而合法公司企業(yè)同時也在發(fā)送自身的市場營銷郵件。因此,提升GDPR意識的任何立法新進展都有可能觸發(fā)一輪新的詐騙攻擊。
沉默半年?
ICANN臨時規(guī)范將持續(xù)12個月,替代規(guī)范正在制定中。但是,行業(yè)組織對能協(xié)調監(jiān)管者、注冊機構、公司企業(yè)和司法機構代表等各方利益的解決方案仍抱悲觀態(tài)度。
GDPR生效以來,我們幾乎沒有聽到消費者關于數據合規(guī)的任何意見。除了公司企業(yè)寧愿支付網絡罪犯也不愿面對GDPR罰金的離奇故事,后GDPR時代的情況與生效前議論紛紛的狀況大相徑庭。希望這種沉默是因為監(jiān)管控制而不是因為他們例行公事地勾掉合規(guī)事項而進行下一項事務了吧。
合規(guī)是個持續(xù)的過程,公司企業(yè)需一直調整適應。2019年還有其他監(jiān)管規(guī)定需要實現,包括歐盟的《電子隱私條例》(ePR)。ePR保護涉電子通信的數據及設備的機密性,其司法轄區(qū)與GDPR相同,連不合規(guī)的懲罰機制都如出一轍。
新年來臨之際,隨著數據泄露繼續(xù)幾乎每周都登頭條,可以預期監(jiān)管機構將很快拿一家不合規(guī)的大企業(yè)殺雞儆猴,處以4%全球年營業(yè)額的最高GDPR罰款。無論如何,GDPR時時提醒著公司企業(yè)保持警惕,隨時根據要求調整自己的合規(guī)過程。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
