近日,一個“美股網(wǎng)絡(luò)券商史考特證券承認被黑,460萬客戶受影響”的新聞被廣泛報道,這是近一周內(nèi)繼眾籌網(wǎng)站Patreon被黑數(shù)據(jù)泄露以及千萬級T-Mobile客戶資料被盜事件之后的第三起被媒體廣泛報道的美國網(wǎng)絡(luò)攻擊事件。
值得一提的是,事實上這幾起網(wǎng)絡(luò)被攻陷而導致泄密的事件并不是最近才發(fā)生,而是早在兩年前就已發(fā)生。對于T-Mobile服務(wù)器被黑事件,其首席執(zhí)行官John Legere承認“黑客攻陷益佰利公司電腦已長達2年”,而在史考特公司泄密事件中,史考特公司負責人也承認其兩年前曾淪為網(wǎng)絡(luò)攻擊的犧牲品。兩年前網(wǎng)站遭受攻擊為他們埋下的定時炸彈,兩年后終于響了,受泄密事件的影響,T-mobile股價下跌了1.7%,而史考特公司更是名譽受損,在數(shù)據(jù)泄露報道發(fā)出僅數(shù)小時后,網(wǎng)絡(luò)就出現(xiàn)了律師廣告:
“消費者有權(quán)利與保障信息安全的公司來往,一旦客戶數(shù)據(jù)被盜便會導致身份盜竊以及欺詐等犯罪行為。"
"近500萬史考特客戶數(shù)據(jù)可能被盜,如果你的個人信息在此次事件中被泄露,如果你想要對你擁有的權(quán)利有更多了解,趕快聯(lián)系我們吧!”
美國的這幾起網(wǎng)絡(luò)安全事件恰恰為國內(nèi)那些經(jīng)常在漏洞眾測平臺上"榜上有名"的公司和網(wǎng)站拉起了警鐘——也許現(xiàn)在還風平浪靜,指不定就已經(jīng)埋下了定時炸彈,如果好好處理網(wǎng)絡(luò)安全問題,最終炸彈將會被引爆。只可惜,國內(nèi)大部分公司對面網(wǎng)絡(luò)安全問題都仍處于”亡羊補牢”狀態(tài),認為問題不爆而不是網(wǎng)絡(luò)安全事件發(fā),網(wǎng)絡(luò)安全隱患永遠都只是隱患,對問題的處理往往是一拖再拖,甚至當問題被曝光時,只要不是涉及到公司的直接經(jīng)濟利益,往往都是當做公關(guān)事件來處理。
但事實上,企業(yè)發(fā)生信息泄露事件會導致企業(yè)在公眾中的威望和信任度下降,而直接改變客戶原有選擇傾向。一旦信息泄露事件出現(xiàn),很可能就使企業(yè)失去一大批現(xiàn)有或潛在客戶。因此數(shù)據(jù)信息的安全問題是關(guān)乎企業(yè)聲譽、公眾信任、甚至生死存亡的問題。一般來說,在考慮跟某家公司合作時,如果客戶得知這家企業(yè)出現(xiàn)過信息泄密事件,都會疑慮“自己的信息能不能得到保障?企業(yè)信息安全機制不完善是不是間接反映了整體管理體系的不完善?信息泄密事件是否會直接影響到公司將來的發(fā)展和業(yè)績?” ,正是在這一系列疑慮的“光暈效應(yīng)”下,企業(yè)千辛萬苦建立起來的聲譽,公眾和合作方對企業(yè)的信任感大大降低。
究其原因,還是在于缺乏對網(wǎng)絡(luò)安全的正確認識,從個人層面上舉個例子,我們每個人都擁有幾個到幾十個賬號密碼,許多人在不同網(wǎng)絡(luò)場合用的是同一個密碼,覺得只要不涉及資金,即時被盜也沒有關(guān)系。但其實黑客拿到用戶的賬號密碼能用來做的事太多了:直接售賣給偽造證件者、犯罪組織、垃圾郵件發(fā)送商、僵尸網(wǎng)絡(luò)運營商,而后者則利用這些信息來發(fā)送釣魚郵件、實施詐騙、發(fā)送垃圾郵件等方式來獲取更多利益,或是通過拖庫、撞庫、社工等手段不斷挖掘用戶其他賬號中任何有價值的信息和資料。犯罪分子之間通過交換他們獲取的用戶信息,能夠得到某些用戶更完整的信息,對一個人了解越多,就越有可能造成更大的傷害。史考特證券公司在此次泄露事件發(fā)表聲明中表示,攻擊者的目標是“客戶姓名與街道地址的列表”。那么我們是否能猜想,當這些客戶姓名和地址的數(shù)據(jù)到了犯罪分子的手中,會造成怎樣的危害呢?細思極恐。
對于企業(yè),單從弱口令問題就足以看出企業(yè)網(wǎng)絡(luò)安全管理水平,很多企業(yè)中充斥著不安全的密碼使用習慣,員工在內(nèi)網(wǎng)系統(tǒng)中使用極其簡單的密碼甚至直接使用初始密碼,這些都是網(wǎng)絡(luò)安全意識不足的表現(xiàn)。各個漏洞眾測平臺每天都曝光著弱口令的問題,但我們都知道那只是冰山一角。盡管如此,大部分企業(yè)的主要負責人對此問題并沒有意識,一些單位的老總自己都在使用弱密碼,在許多企業(yè)中有不少年紀較大的人,對他們硬性要求使用強密碼非常難,太復(fù)雜了確實記不住,網(wǎng)絡(luò)管理部門又沒資格對其采取什么措施,最終只能維持現(xiàn)狀。這種情況只有當安全隱患變成問題徹底爆發(fā),各部門才紛紛出來充當“救火隊員”,但這時,信息泄露對企業(yè)的損害已經(jīng)無可挽回。
值得慶幸的是,隨著生物識別技術(shù)的發(fā)展和普及,原本那些看似只能從管理層面解決的問題,如今都已經(jīng)可以通過技術(shù)手段得以解決。“用人臉、聲音、指紋等生物特征來替代密碼用來登錄企業(yè)內(nèi)部各個系統(tǒng)”,這一設(shè)想已隨著洋蔥令牌的問世而成為現(xiàn)實。不少企業(yè)通過在內(nèi)網(wǎng)部署洋蔥令牌,使得內(nèi)網(wǎng)系統(tǒng)的所有登錄環(huán)節(jié)全部使用生物特征進行驗證,整個環(huán)節(jié)中不使用密碼,從根本上杜絕了泄露的發(fā)生。
從長遠看來,生物特征識別必定是會取代現(xiàn)在的密碼體系,但在大部分的企業(yè)仍使用單一賬號密碼體系的今天,短時間內(nèi)要改變現(xiàn)狀,盡可能消除安全隱患的唯一辦法仍只有加大安全投入,對于防范外部攻擊,合理部署防入侵系統(tǒng),做好入侵檢測等;對于內(nèi)部員工不當?shù)拿艽a使用習慣,除了加強制度的管理和安全培訓外,定期掃描弱口令、通過堡壘機做登陸線上服務(wù)器權(quán)限的控制等方式都可以起到不少的作用。當然企業(yè)也可以直接嘗試在內(nèi)網(wǎng)部署洋蔥令牌。這些措施其實真正實施起來,并不需要投入多少成本,但是卻能大幅降低企業(yè)的網(wǎng)絡(luò)安全風險,創(chuàng)造潛在的價值。
網(wǎng)絡(luò)攻防永遠是一個場拉鋸戰(zhàn),是攻擊成本和防御成本的較量,作為防御方,企業(yè)能做的是在安全成本有限的情況下盡可能提高入侵者的攻擊成本,而對于普通網(wǎng)民來說,養(yǎng)成一個好的網(wǎng)絡(luò)使用習慣是有必要的,因為無論是企業(yè)還是個人,攻擊者永遠都是"挑軟的捏”。