如果您直到 2023 年都从未收到过个人信息因安全漏洞而泄露的通知,您可真幸运。信息泄漏最幸运的情况就是,不良行为者只得到了您的电子邮件地址和名字,这些信息不会给您造成大的伤害。但在最糟糕的情况下,例如您在约会应用程序上的个人资料遭到泄漏,您的个人生活、私密细节都被公开,您的一生都可能受到影响。但还有些更隐蔽、更阴险的方式可以利用您的个人数据。例如,我们大多数人都使用互联网服务提供商 (ISP) 来连接互联网。有些 ISP 会收集您的互联网浏览习惯、搜索历史、您的位置等信息,所有这些都会影响您的个人信息的隐私性,因为会根据您的上网习惯有针对性地向您推送广告。
您也不可能直到 2023 年都从未听说过全球互联网隐私法相关的任何消息。在有些司法管辖区,立法动机是为认可隐私权是一项基本人权。还有些地方,立法者正在通过立法来解决公民所担忧的问题——数据泄露和挖掘人们生活中的私人细节数据来销售有针对性的广告。大多数立法的核心是努力提高用户对自己的个人数据的控制权。许多法规要求数据控制者确保为跨境数据传输提供足够的保护。然而,近年来,我们发现,越来越多监管机构的法规解释没有留下任何跨境数据传输空间。这些解释是有问题的,它们不仅有损全球商业,还漠视了“如果允许跨境数据传输,数据可能会更安全”的想法。有些监管机构反而断言,将个人数据留在境内会更安全,因为他们的法律比其他司法管辖区的法律更加注重保护隐私。
因此,在 2023 年 1 月 28 日数据隐私日来临之际,我们认为有必要关注安全措施和隐私增强技术如何帮助保护个人数据的隐私性,以及对于保护隐私来说,安全措施为什么比仅仅落实数据保护法要求或将数据保留在某个司法管辖区内(因为监管者认为本司法管辖区的法律比其他司法管辖区的保护力度更大)要重要得多。
数据安全如何保护个人信息
大多数数据保护法规都认可,安全在保护个人信息隐私方面发挥着重要作用。这不足为奇。如果第三方可以为自己的恶意目的访问数据,那么实体努力遵守数据保护法有关如何收集和使用个人数据的要求就没有多大意义。
法律本身几乎没有提供有关安全要求的具体细节。例如,欧盟《通用数据保护条例》(GDPR) 和其他司法管辖区类似的综合隐私法要求数据控制者(收集数据的实体)采取“合理、适当”的安全措施。但是,监管者几乎不可能要求采取哪些具体的安全措施,因为安全形势瞬息万变。在美国,如果获得的是加密数据,各州安全漏洞法则不要求通知,这表明,监管者认为,加密应该至少是保护数据的方式之一。
监管者针对遭遇数据泄露的公司采取的执法行动提供了其他线索,说明监管者认为哪些是保护数据的“最佳实践”。例如,今年 1 月 10 日,美国联邦贸易委员会 (FTC) 与在线酒类销售和配送平台 Drizly 签订了同意令,其中概述了导致数据泄露事件(约 250 万 Drizly 用户的个人信息遭到泄漏)的一些安全问题,并要求 Drizly 实施一项全面的安全计划,包括一系列入侵检测和记录程序。特别是,联邦贸易委员会特别要求 Drizly 实施“……(c) 数据丢失防护工具;[和] (d) 正确配置防火墙”等措施。
泄漏事件发生后,许多监管执法行动都要求实施全面的安全计划(包括一系列技术措施)来保护数据,防止可能的恶意第三方访问数据。然而,执法行动往往与数据位置无关。数据可能的存储位置并不重要,重要的是将合适的安全措施落实到位。我们完全同意这一点。
Cloudflare 的产品和服务组合帮助我们的客户落实保护措施,阻止潜在攻击者访问客户的网站或企业网络。通过降低用户数据被恶意行为者访问的可能性,Cloudflare 的服务可以帮助企业节约数百万美元,保护其品牌声誉,与用户建立信任。我们还花了大量时间开发隐私增强技术,直接支持个人用户在互联网上获得更好的隐私保护体验。
Cloudflare 最知名的产品是应用程序层安全服务——web 应用程序防火墙 (WAF)、机器人管理、DDoS 防护、SSL/TLS、Page Shield 等。正如 FTC 在 Drizly 同意令中的指示,防火墙可以作为任何在线应用程序的关键防线。想象您在机场过安检时的情况:他们会扫描您的身体和携带的包,寻找可能存在的违禁物品(例如武器或易爆物),但机场安检人员并没有清点或记录您包里中物品。他们只是在寻找危险物品,确保它们不会带上飞机。同样,在数据包通过 Cloudflare 的网络时,WAF 会检查数据包,确保互联网“危险物品”不会传输到 web 应用程序中。世界各国政府都同意,有必要在机场进行快速安全的扫描检查,以保护所有人免受不良行为者的影响。互联网流量也是如此。
我们认可传输过程中加密的重要性。事实上,我们认为加密非常重要,甚至在 2014 年,Cloudflare 还推出了通用 SSL,以支持每位 Cloudflare 客户的 SSL(以及现在的 TLS)连接。同时,我们也认识到,盲目地传递加密数据包会在一定程度上削弱我们努力提供的安全性。数据隐私性和安全性是天平的两端。如果我们让加密的恶意代码到达最终目的地,那么恶意代码则可能用于访问本应受到保护的信息。如果数据在传输过程中没有加密,就有被截获的风险。但是,通过支持在传输过程中加密,确保恶意代码不会到达预定目的地,我们可以更有效地保护个人隐私信息。
我们再举一个例子。2022 年 6 月,Atlassian 发布了一款安全顾问产品,涉及一个影响 Confluence 服务器和 Confluence 数据中心产品的远程代码执行 (RCE) 漏洞。Cloudflare 立即响应,为我们所有客户推出了新的 WAF 规则。对于没有 WAF 保护的客户,他们 Confluence 实例上的所有商业秘密和个人信息都有可能面临数据泄露。此类安全措施对于保护个人数据至关重要。而且,无论个人数据是存储在澳大利亚、德国、美国还是印度的服务器上都没有关系——无论数据存储在哪里,RCE 漏洞都会泄漏数据。相反,有一个全球网络能够立即推出 WAF 规则来保护全球所有客户,无论数据存储在哪里都能得到保护。
遏制全球攻击的全球网络
当我们考虑使用安全措施来保护个人数据隐私时,往往忽略了大型全球网络的威力。那些试图通过将本国与世界其他地区隔离来保护数据隐私的监管者,往往忽略了这一举措对安全措施的影响,而后者对于保护数据隐私不受不良行为者影响更重要。
为了阻止世界任何地方可能发起的攻击,全球知识必不可少。正如国际反恐单位网络有助于防范物理威胁,防范网络威胁也需要同样的方法。最强大的安全工具是以识别来自世界各地的异常流量为基础。凭借 Cloudflare 的全球网络,我们在了解全球威胁和异常行为的演变方面具有独特优势。为了让我们的客户获得预防性、响应性网络安全,我们将全球经验转化为保护措施,同时仍然保护善意互联网用户的隐私。
例如,Cloudflare 在 DNS 或 HTTP 层面阻止威胁的工具(包括针对网站的 DDoS 防护和针对企业的 Gateway)让用户除了自定义流量规则外,还可以通过筛选已知包含网络钓鱼或恶意软件内容的流量模式,进一步保障实体的安全性。我们利用我们的全球网络来加强识别漏洞和恶意内容,并实时推出规则来保护所有客户。由于我们能识别和即时保护客户免于可能还未来得及解决的安全漏洞,客户数据遭到泄露或以其他方式受恶意活动影响的可能性降低。
同样,随着在全球网络上持续使用,Cloudflare 的机器人管理产品的准确性也在不断提高:可以检测并阻止可能来自机器人的流量,再将学习结果反馈给产品的底层模型。最重要的是,我们通过对流量模式进行指纹识别,并放弃对 PII 的依赖,将用于检测这些威胁的信息量降到最低。我们的机器人管理产品之所以成功,是因为我们网络上的客户非常多,流量非常大。约 20% 的网站是由 Cloudflare 提供保护,因此,我们在收集来自不良机器人的流量信号并将其解释为可行情报方面具有独特优势。这种信号的多样性和全球平台上的数据规模对帮助我们继续改进机器人检测工具至关重要。如果为防止一个司法管辖区的数据被另一司法管辖区利用而将互联网分割开来,则会遗漏越来越多的信号。例如,我们无法将亚洲的机器人趋势经验总结应用于欧洲的机器人缓解工作中。
全球网络对韧性和有效安全保护同等重要,乌克兰战争使这一事实变得更加分明。为确保数据安全,乌克兰政府必须修订法律,取消数据本地化的要求。在俄罗斯入侵期间,乌克兰的基础设施遭到攻击,乌克兰政府将数据迁移到云端,从而保护数据并轻松转移到欧洲其他地区的安全地带。同样,Cloudflare 的全球网络在帮助维持乌克兰境内的互联网访问方面发挥了重要作用。乌克兰的网站有时会遭到严重的 DDoS 攻击,甚至在基础设施面临物理攻击毁坏的情况下。由于带宽有限,必须确保乌克兰境内传输的流量是有用流量,而非攻击流量。Cloudflare 的全球网络不是允许攻击流量进入乌克兰境内,而是识别攻击流量,并在攻击发起地便将其拒绝。如果不能检查并拒绝乌克兰境外的流量,攻击流量将进一步堵塞乌克兰境内的网络,限制战争期间关键通信的网络容量。
虽然乌克兰局势反映了该国的战时态势,但 Cloudflare 的全球网络为我们所有客户提供了同等安全优势。我们使用我们的整个网络来提供 DDoS 缓解,网络容量超过 172 Tbps,客户即使面对最大型的攻击也能保持在线。这种保护客户免受攻击的巨大能力源自 Cloudflare 网络的全球性,以及将攻击流量限制在发起地的能力。而且,保持在线的网络不太可能需要解决网络入侵和数据丢失问题,这些问题往往与成功的 DDoS 攻击有关。
企业网络的 Zero Trust 安全
近年来,一些大型数据泄露事件的起因往往非常简单:攻击者使用钓鱼邮件或社会工程学,诱惑公司员工访问某网站,使其电脑感染恶意软件,或在一个虚假网站上输入他们的凭证,然后不良行为者便可获取其凭证,并利用凭证冒充员工,登录公司的系统。根据被泄露的信息类型,此类数据泄露可能对个人隐私产生巨大影响。为此,Cloudflare 投资了许多种技术,旨在保护企业网络和企业网络上的个人数据。
我们在最近的 CIO Week 中亦指出,联邦调查局最新的《互联网犯罪报告》显示,企业电子邮件泄露和电子邮件帐户泄露(恶意网络钓鱼活动的一个子集)成本最高,美国企业因此损失近 24 亿美元。Cloudflare 投资了一些 Zero Trust 解决方案,旨在帮助解决这一问题:
链接隔离是指,员工点击电子邮件中的链接时,将使用 Cloudflare 的远程浏览器隔离技术自动打开。该技术可隔离潜在的风险链接、下载或其他零日攻击,防止其影响用户的计算机和整个企业网络。
利用我们的数据丢失预防工具,企业可以识别并阻止数据外泄。
我们的 Area 1 解决方案可以识别网络钓鱼企图、含有恶意代码的电子邮件和含有勒索软件有效负载的电子邮件,并防止它们进入毫无戒备的员工的收件箱中。
2022 年 7 月和 8 月,在一起针对 130 多家公司的短信钓鱼攻击中,这些 Zero Trust 工具以及使用硬件密钥进行多因素身份验证是 Cloudflare 防止泄漏的关键。其中许多公司报告说,由于员工成为此次短信钓鱼攻击的受害者,客户的个人信息遭到泄露。
还记得我们前面提到过的 Atlassian Confluence 的 RCE 漏洞吗?Cloudflare 仍然受到保护,这不仅是因为我们迅速更新了 WAF 规则,还因为我们使用自己的 Cloudflare Access 解决方案(我们的 Zero Trust 套件的组成部分),以确保只有拥有 Cloudflare 凭证的个人能够访问我们的内部系统。Cloudflare Access 会验证向 Confluence 应用程序发出的每一个请求,确保请求来自通过了身份验证的用户。
所有这些 Zero Trust 解决方案都需要复杂的机器学习来检测恶意活动的模式,都不需要将数据存储在某个特定位置来保证数据安全。遏制这类安全威胁不仅对保护组织内部网络免于入侵至关重要,对保持大规模数据集的私密性、保护数百万个人的隐私也很关键。
尖端技术
利用 Cloudflare 的安全服务,我们的客户能够在网络安全风险进入客户的内部网络之前,在 Cloudflare 网络上筛选这些风险。这有助于保护我们的客户和客户的数据免于各种网络威胁。最终,Cloudflare 的服务实质上是在执行自身的隐私增强功能。我们从一开始就构建了自己的系统来确保数据的隐私性,甚至对我们自己也保密,我们就保护数据的私密性和安全性制定了公共策略和合同承诺。但是,除了为客户利益而保护我们的网络外,我们还大力投资新技术,旨在保护通信不受不良行为者的影响;不受 ISP 或其他中间机器的窥探,这些机器可能会为广告目的而发现您感兴趣的互联网通信内容;或政府实体可能想打击行使言论自由权利的个人。
例如,Cloudflare 运营着 Apple 的 iCloud 私人中继系统的部分组件,该系统确保处理用户数据的任何一方都不会拥有关于用户是谁、试图访问什么内容的完整信息。相反,用户的原始 IP 地址对接入网络(例如您所在的咖啡厅,或您的家庭互联网服务提供商)和第一个中继(由 Apple 运营)可见,但服务器或网站名称是加密的,对两者都不可见。第一个中继将加密数据交给第二个中转(例如 Cloudflare),但无法看到传往 Cloudflare 的流量“内部”。而 Cloudflare 运营的中继只知道它在接收来自私人中继用户的流量,但不知道具体是谁,也不知道客户端 IP 地址。然后,Cloudflare 中继将流量转发给目的地服务器。
当然,如果不提 Cloudflare 隐私至上的 1.1.1.1 公共解析器,任何关于安全措施如何更好地保障数据隐私性的文章都有失严谨。通过使用 1.1.1.1,个人可以在互联网上搜索,而 ISP 不会知道他们浏览了什么内容。与大多数 DNS 解析器不同,1.1.1.1 不会向广告商出售用户数据。
总而言之,上述技术和安全措施共同确保个人数据的隐私性,免遭行为广告、中间人攻击、恶意代码等各类隐私威胁。在 2023 年数据隐私日来临之际,我们督促监管者认识到,目前强调的数据本地化措施可能操之过激,而且还排除了跨境数据传输可能给数据安全以及数据隐私带来的诸多益处。