任何從事網(wǎng)絡(luò)安全的技術(shù)人員、管理人員以及供應(yīng)商一定都已閱讀并熟悉了美國參議院發(fā)布的“2013年Target數(shù)據(jù)泄露的殺傷鏈分析報告”。報告闡述了Target事件是如何發(fā)起、如何進行的，并列出Target應(yīng)在每個階段做些什么來預(yù)防、檢測和響應(yīng)事件。

報告列出了整個Target事件過程，從最初的入侵、破壞到2013年12月19日Target發(fā)布公告。此外， 2014年3月26日，Target首席財務(wù)官約翰•穆里根在美國參議院商業(yè)、科學(xué)、和運輸委員會作證詞時，更新了Target數(shù)據(jù)泄露事件的前因后果。

報告指出了網(wǎng)絡(luò)安全技術(shù)人員、管理過程等方面的一些基本常識錯誤。這些問題是證據(jù)確鑿的，所以毋庸贅述。在此，筆者有一些額外的想法：

1 網(wǎng)絡(luò)安全技能短缺影響了Target

環(huán)境、社會和治理研究報告(ESG)數(shù)據(jù)顯示，39%的企業(yè)組織表示，其最大的事件響應(yīng)挑戰(zhàn)是“缺乏足夠的員工”，28%的企業(yè)聲稱其在事件響應(yīng)和檢測上最大的挑戰(zhàn)是“缺乏足夠的技能”?！渡虡I(yè)周刊》的文章顯示，Target的安全操作中心(SOC)經(jīng)理在10月離開了公司，正值數(shù)據(jù)泄露的前夕。其他SOC人員對其經(jīng)理的技能過于依賴，因而網(wǎng)絡(luò)攻擊者恰恰趁機擊中目標。ESG報告還假定網(wǎng)絡(luò)罪犯能夠提前使用一個默認的BMC軟件產(chǎn)品的管理員密碼。當然，也有可能僅僅是因為一個工作過度的IT安全和操作團隊錯過了這個明顯的漏洞。最后，當FireEye反惡意軟件系統(tǒng)及其在印度支持網(wǎng)絡(luò)安全的人員發(fā)出警報時，Target的網(wǎng)絡(luò)安全負責人卻沒有及時采取行動。顯然，F(xiàn)ireEye和印度團隊已經(jīng)各司其職，但這些警告后仍然需要Target的安全團隊對于事件做進一步調(diào)查。

2 網(wǎng)絡(luò)邊界的概念是古代歷史

10年前耶利哥早已警告過“消除邊界”的必要性。自那時以來，盡管百般謹慎，卻仍然難免事故。Target數(shù)據(jù)泄露事件始于其零售商之一，網(wǎng)絡(luò)邊界外的一個小的供熱與空調(diào)公司。這只是盲目的猜測，但必須相信此公司不是由前NSA網(wǎng)絡(luò)安全專家經(jīng)營的。當然，第三方供應(yīng)商、業(yè)務(wù)合作伙伴和客戶都需要訪問網(wǎng)絡(luò)，但Target讓這些所謂的外界人士只需提供基本的用戶名和密碼進行身份驗證即可訪問網(wǎng)絡(luò)。所以Target在沒有用適當方式管理網(wǎng)絡(luò)供應(yīng)鏈風險的情況下，武斷地向外界開放了網(wǎng)絡(luò)，犯了常識性錯誤。

3 事件響應(yīng)已成為網(wǎng)絡(luò)安全的瓶頸

信息安全很多最佳實踐重視事故預(yù)防，包括硬件系統(tǒng)的配置、訪問控制、殺毒軟件等。2010年前后發(fā)生的APT[注]攻擊事件證明，狡猾的攻擊者都很善于規(guī)避現(xiàn)有的安全控制，所以安全行業(yè)將注意力轉(zhuǎn)向各種事件檢測和分析的工具。我們現(xiàn)在把三分之二的時間和精力放在攻擊過程，但是事件響應(yīng)呢?不幸的是，很難解決這一困境，因為事件響應(yīng)是高度專業(yè)化的，需要精確的網(wǎng)絡(luò)設(shè)備的詳細信息，包括流量模式、歷史記錄、系統(tǒng)配置等。當Target SOC團隊收到來自FireEye和印度的警報時，他有一個選擇：調(diào)查警報，即當警報發(fā)生時，系統(tǒng)是如何被影響的，IP地址怎樣做了妥協(xié)，是什么改變了網(wǎng)絡(luò)系統(tǒng)等等，通過調(diào)查來剔除假的警報。這種調(diào)查過程需要花費時間、技能和高度的嚴謹。安全分析可以起作用，但是仍然需要專業(yè)的技術(shù)人員。Target團隊未能做這些必要的工作，反而將賭注押在“假攻擊”和真正數(shù)據(jù)泄露上。

4 基本的攻防手段仍然很重要

網(wǎng)絡(luò)安全已成為一個對先進的技術(shù)技能要求頗高的行業(yè)，這已成為共識。Target可以在其POS系統(tǒng)上安裝應(yīng)用程序控制軟件，以阻止安裝所有未經(jīng)許可的軟件。最后，Target應(yīng)該改變BMC軟件上的默認密碼，需要對管理員進行多重身份驗證并監(jiān)視所有特權(quán)用戶活動。這是網(wǎng)絡(luò)安全最基本的手段，也是最必要的。

隨著越來越多的細節(jié)出來，顯然Target會遭到些許調(diào)侃，但確定的是，從經(jīng)驗和上述研究分析的大量結(jié)論來看，參議院的報告遠比大多數(shù)人想象的情況普通得多。在下一個大的數(shù)據(jù)泄露事件爆發(fā)時，對Target的關(guān)注很可能會很快消退。鑒于網(wǎng)絡(luò)安全的狀態(tài)，攻擊是隨時可能會發(fā)生的。