马斯克宣称要“对所有人进行身份验证”并打赢Twitter垃圾邮件爬虫反击战,此举或可刺激网络安全技术创新,催生更多围绕身份、多因素身份验证和僵尸网络检测的新型安全产品。
马斯克突然收购Twitter的举动在某些方面引燃了乐观情绪,其“验证所有人”和击败垃圾邮件爬虫的使命或许会刺激Twitter这家历来深陷网络安全泥潭的公司投入技术创新。
4月25日达成440亿美元Twitter收购交易后,马斯克公开宣称这是为了在管理着世界数字市镇广场的公司尝试保护言论自由,但行业观察家更重视马斯克在安全技术创新方面的远大目标。
马斯克对自己的目的毫不掩饰:“我还想通过开发新功能增强产品、开源算法增加信任、挫败垃圾邮件爬虫,以及对所有人进行身份验证,从而使Twitter变得比以往任何时候都好。”
Twitter的工程工作集中在一系列古怪的功能上(例如NFT个人资料图片、2.99美元的Twitter Blue订阅和针对内容创作者的Super Follows功能),导致爬虫驱动的虚假信息活动管理不力、直接消息无法加密,还难以让用户采用多因素身份验证保护。
更糟糕的是,这家公司连安全领导层都混乱不堪,安全策略毫无延续性,甚至在民族国家对手采用计算机生成的虚假信息扰乱Twitter庞大用户群的时候都还在频繁换血CISO。
Twitter高举打击俄罗斯和伊朗黑客国家队虚假信息散布活动的大旗,但事实证明,在对付使用该社交媒体平台干扰各国选举的高级持续性威胁(APT)组织方面,要精准掌控响应范围还是很难的。
4月26日,一位著名CISO在接受安全媒体SecurityWeek采访时称:“即使你不喜欢这个家伙,你也不得不支持Twitter来对抗爬虫。我觉得我们都会从Twitter创建的安全功能上获益。”
ExtraHop高级技术经理Jamie Moles表示,马斯克这个爬虫清除任务可能会给整个行业带来附带利益。“尽管这个任务看起来像是永无休止,但如果他成功了,Twitter用来清除爬虫的方法可能会催生新的技术,可以改善垃圾邮件、垃圾帖子和其他恶意入侵尝试的检测和识别。”
如果马斯克和他的团队能够训练人工智能,使其能够更有效地应对爬虫问题,那世界各地的安全从业者都能受益。
因与Twitter有安全相关业务往来而要求匿名的一位CISO表示:“我预计身份会是有所发展的一个领域。不仅仅是更好地检测爬虫和垃圾邮件,Twitter在人机识别方面也会做得更好。这个领域有很多事情亟待改善。”
行业观察人士还希望看到Twitter提升其庞大用户群的多因素身份验证(MFA)采用率。Twitter今年1月发布的透明度报告显示,活跃Twitter账户中只有2.3%启用了至少一种双因素身份验证方法。而就在这区区2.3%启用了密码验证功能的用户中,还有80%用的是基于短信的弱身份验证。众所周知,这种身份验证方式非常容易遭到网络钓鱼和SIM劫持攻击。
Twitter已公开承认这是整个行业的重大问题,指出MFA采用率不高是“整个行业令人遗憾的挑战”。但该公司在向非技术最终用户推广此类工具方面做得很差。
安全专家也在呼吁重视Twitter直接消息(DM)端到端加密缺失的问题,DM端到端加密是个有助于缓解窃听和内部人攻击的亟需功能。这是Twitter又一有待创新的领域,可为这家社交媒体平台赢得隐私权倡导者的信任。长期以来,隐私权倡导者一直认为公共平台上的私人通信应该远离窥探。
如果Twitter能够建立起可靠的安全平台,采用新的方法辨别流量是源自人类还是爬虫,并采用新型MFA和加密方式,那整个行业和全球用户都可能会受益良多。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。