我們應(yīng)當(dāng)從最近四次安全事故中吸取哪些經(jīng)驗(yàn)教訓(xùn)

美國(guó)人事管理辦公室(簡(jiǎn)稱OPM)主任Katherine Archuleta在用揉眼的方式舒緩壓力——這是她在數(shù)據(jù)違反監(jiān)管與政府改革委員會(huì)進(jìn)行的OPM計(jì)算機(jī)數(shù)據(jù)泄露聽證會(huì)上作證時(shí)的狀況，時(shí)間為2015年6月16日，地點(diǎn)在華盛頓國(guó)會(huì)山。

媒體與公眾終于開始意識(shí)到一個(gè)殘酷的現(xiàn)實(shí)，任何組織機(jī)構(gòu)都處于遭受惡意攻擊的風(fēng)險(xiǎn)當(dāng)中。通過對(duì)最近幾次高曝光率安全事故的分析，我們希望幫助大家成功防止自己所在的企業(yè)遭遇到同樣的打擊。

對(duì)于IT安全管理者而言，搶在攻擊者之前解決潛在風(fēng)險(xiǎn)絕非易事。惡意人士可資利用的伎倆、花招以及邪惡技術(shù)可謂層出不窮，看起來企業(yè)根本不可能成功應(yīng)對(duì)一切安全威脅。網(wǎng)絡(luò)犯罪活動(dòng)明顯處于上升趨勢(shì)，而CIO們則因此而背負(fù)著沉重的壓力。

最近高調(diào)曝光的四起網(wǎng)絡(luò)犯罪活動(dòng)值得我們給予關(guān)注，其中包括侵入網(wǎng)絡(luò)、竊取數(shù)據(jù)以及利用社交工程手段欺騙企業(yè)員工。我們就這些狀況向多位安全專家征求了意見，例如此類事故是如何發(fā)生的、CIO們又該怎樣降低出現(xiàn)類似事故的可能性。提示：?jiǎn)渭儼惭b新型防火墻并嚴(yán)格要求員工使用殺毒軟件還遠(yuǎn)遠(yuǎn)不夠。

1. OPM數(shù)據(jù)泄露事故

此次數(shù)據(jù)泄露之所以令人不安，是因?yàn)槠鋬?nèi)容涉及美國(guó)人力管理辦公室(簡(jiǎn)稱OPM)針對(duì)聯(lián)邦政府員工作出的安全檢查與背景信息統(tǒng)計(jì)。根據(jù)最新調(diào)查結(jié)果，共有2150萬名政府雇員的個(gè)人記錄被惡意人士所竊取。相關(guān)報(bào)告已經(jīng)證明，此次數(shù)據(jù)泄露的主要原因是由于OPM方面缺乏最基本的安全基礎(chǔ)設(shè)施部署舉措。根據(jù)數(shù)據(jù)安全專家Alan Kessler的分析以及事故公開聽證會(huì)上得出的結(jié)論，某位前分包商在背景調(diào)查過程中竊取了這些數(shù)據(jù)。

數(shù)據(jù)安全企業(yè)Vormetric公司CEO Kessler表示，OPM長(zhǎng)久以來一直依賴于傳統(tǒng)系統(tǒng)，而且沒能及時(shí)在安全基礎(chǔ)設(shè)施方面進(jìn)行投資。根據(jù)IBM公司安全事務(wù)副總裁Caleb Barlow的說法，CIO們應(yīng)當(dāng)從中學(xué)習(xí)到重要的經(jīng)驗(yàn)教訓(xùn)，即避免在安全領(lǐng)域一味追求新興技術(shù)。某些CIO熱衷于采納創(chuàng)新成功或者最新技術(shù)方案，但卻忽視了安全保障工作的基本要素。“最為基本的安全需求，例如補(bǔ)丁安裝、監(jiān)控使用者訪問權(quán)限、識(shí)別風(fēng)險(xiǎn)以及明確組織關(guān)鍵性數(shù)據(jù)的存儲(chǔ)位置等，應(yīng)當(dāng)擁有最高的實(shí)施優(yōu)先級(jí)，”他指出。

企業(yè)級(jí)文件共享廠商Accellion公司CEO Yorgen Edholm則表示，OPM數(shù)據(jù)泄露事故給CIO們敲響了警鐘，這意味著攻擊者們所垂涎的絕不僅僅是銀行中的信用卡號(hào)碼或者其它財(cái)務(wù)信息。數(shù)據(jù)竊取活動(dòng)已經(jīng)開始將矛頭指向社保號(hào)碼、醫(yī)療記錄甚至是保存在數(shù)據(jù)庫當(dāng)中的指紋信息。CIO們需要找到更多能夠?qū)θ肯到y(tǒng)加以保護(hù)的方案，而不能繼續(xù)依賴于只以財(cái)務(wù)數(shù)據(jù)為保護(hù)對(duì)象的傳統(tǒng)機(jī)制。

2.圣路易紅雀隊(duì)向休士頓太空人隊(duì)發(fā)起攻擊

在這一剛剛發(fā)生的安全事故當(dāng)中，某位雇員(或者多位雇員)竊取到了來自對(duì)手球隊(duì)的球員評(píng)估及個(gè)人狀態(tài)等敏感數(shù)據(jù)。其實(shí)這類某個(gè)組織機(jī)構(gòu)著手攻擊其它同業(yè)機(jī)構(gòu)(與相對(duì)模糊的境外網(wǎng)絡(luò)犯罪活動(dòng)不同)的行為并不罕見。此次事故讓CIO們意識(shí)到，攻擊很有可能發(fā)生在自家蕭墻之內(nèi)。

目前效力于VMware公司的知名創(chuàng)業(yè)者M(jìn)att Suiche指出，企業(yè)應(yīng)當(dāng)盡可能提高數(shù)據(jù)保護(hù)力度，以避免其受到員工、分包商乃至第三方合作伙伴的窺探。他同時(shí)表示，當(dāng)下的攻擊活動(dòng)可謂全方位來襲，因此單純利用防火墻或者殺毒軟件來抵御外部滲透已經(jīng)遠(yuǎn)遠(yuǎn)不夠。最好的辦法是實(shí)施一套多因素安全方案，從而全面阻止網(wǎng)絡(luò)犯罪活動(dòng)的發(fā)生。

“企業(yè)經(jīng)常會(huì)任用來自競(jìng)爭(zhēng)對(duì)手公司的員工，而這部分員工又往往習(xí)慣在新舊兩家公司內(nèi)使用同樣的密碼內(nèi)容——這很可能造成潛在安全風(fēng)險(xiǎn)，”安全廠商KnowBe4公司CEO Stu Sjouwerman指出。“密碼管理與創(chuàng)建高強(qiáng)度密碼已經(jīng)成為當(dāng)下的必要要求，但我們還應(yīng)當(dāng)部署其它更為強(qiáng)大的驗(yàn)證機(jī)制，例如雙因素驗(yàn)證以及/或者指紋及面部識(shí)別等生物驗(yàn)證技術(shù)。”

“有時(shí)候，最大的安全風(fēng)險(xiǎn)并非由間諜機(jī)構(gòu)、集團(tuán)犯罪組織或者高水平黑客所造成，而完全出自前任員工乃至競(jìng)爭(zhēng)對(duì)手，”Accellion公司的Edholm強(qiáng)調(diào)稱。他同時(shí)表示，企業(yè)應(yīng)當(dāng)保護(hù)系統(tǒng)免受流氓員工的侵?jǐn)_，具體包括使用惟一且高復(fù)雜度密碼來管理員工訪問，持有并追蹤全部密鑰，同時(shí)以培訓(xùn)方式幫助員工掌握并踐行最佳實(shí)踐。

3.借簡(jiǎn)歷附件進(jìn)行網(wǎng)絡(luò)釣魚

這種堪稱巧妙的攻擊手段可以融入許多變化，但其本質(zhì)方式就是向某位雇員發(fā)送包含惡意內(nèi)容的簡(jiǎn)歷壓縮文件。員工在開啟該文件的同時(shí)，被觸發(fā)的惡意應(yīng)用即會(huì)對(duì)當(dāng)前設(shè)備的硬盤乃至各共享式網(wǎng)絡(luò)驅(qū)動(dòng)器進(jìn)行加密。黑客隨后會(huì)要求受害者支付數(shù)額不等的款項(xiàng)以移除惡意軟件并恢復(fù)各磁盤驅(qū)動(dòng)器。就在不久之前，有攻擊者鎖定了新聞發(fā)布稿當(dāng)中的財(cái)務(wù)信息……而后借此進(jìn)行敲詐勒索。

此類案例當(dāng)中最令人發(fā)指的就是去年澳大利亞某媒體新聞?lì)l道遭黑客利用Cryptolocker入侵，對(duì)方要求媒體方面支付贖金以解鎖數(shù)據(jù)。在大多數(shù)情況下，支付的資金必須以無法追蹤的比特幣作為載體。

KnowBe4公司的Sjouwerman表示，這類欺詐活動(dòng)的可怕之處在于其成功率相當(dāng)高。在該公司組織的測(cè)試當(dāng)中，某家銀行約有六成左右員工打開了郵件當(dāng)中發(fā)來的簡(jiǎn)歷附件。他強(qiáng)調(diào)稱，目前大部分攻擊活動(dòng)都會(huì)使用虛構(gòu)的女性求職者姓名。

IBM公司的Barlow指出，應(yīng)對(duì)釣魚攻擊的終極手段就是幫助員工培養(yǎng)起良好的安全意識(shí)。新型攻擊方式總在不斷出現(xiàn)，而安全培訓(xùn)應(yīng)該將釣魚測(cè)試納入其中，幫助員工在高危情況下作出正確選擇(例如不要點(diǎn)擊可疑鏈接或者不要回復(fù)任何內(nèi)容)。如果員工未能通過測(cè)試，那么相關(guān)企業(yè)需要組織有針對(duì)性的指導(dǎo)流程。

4. CEO轉(zhuǎn)賬欺詐活動(dòng)

這最后一種安全隱患確實(shí)極具破壞性，因?yàn)樗槍?duì)的是大型企業(yè)中的高管團(tuán)隊(duì)。這類惡意活動(dòng)基本可劃歸為社交工程：犯罪分子首先取得高管成員的電子郵箱訪問權(quán)限，例如通過暴力破解方式獲取密碼或者運(yùn)行密碼生成器。他們會(huì)利用高管的賬戶要求財(cái)會(huì)部門進(jìn)行資金轉(zhuǎn)移。之所以成功率極高，是因?yàn)樨?cái)會(huì)部門會(huì)下意識(shí)地認(rèn)為來自高層管理者的郵件不存在問題。

KnowBe4公司的Sjouwerman指出，國(guó)際雜志出版商Bonnier Group就曾經(jīng)遭遇過此類攻擊活動(dòng)，而且轉(zhuǎn)賬金額至少達(dá)到150萬美元。攻擊者利用前任CEO David Freygang的電子郵箱發(fā)出了一條緊急且需要保密的資金轉(zhuǎn)移要求。而就在最近，知名一夜情網(wǎng)站Ashley Madison也遇到了同類攻擊，但有所區(qū)別的是這次其要求獲取客戶的詳細(xì)個(gè)人信息。

根據(jù)IBM公司發(fā)布的《2015年第二季度X-Force威脅情報(bào)調(diào)查》，目前約有25%的網(wǎng)絡(luò)攻擊活動(dòng)針對(duì)某一特定員工。這相當(dāng)于直接繞過了各類傳統(tǒng)安全保障措施，例如加密機(jī)制、防火墻以及反惡意軟件。在IBM公司的Barlow看來，這甚至不能算是什么技術(shù)性攻擊，因?yàn)楹诳托枰龅目赡軆H僅是猜出企業(yè)中某位高管的賬戶密碼。

他強(qiáng)調(diào)稱，解決此類問題的最佳辦法就是進(jìn)行協(xié)作。釣魚攻擊應(yīng)當(dāng)經(jīng)過分類、歸檔與討論——類似于黑客們?cè)贒ark Web上商議計(jì)劃并分享信息的過程。“‘好人們’也需要同樣的協(xié)作平臺(tái)，并以此建立統(tǒng)一戰(zhàn)線共同抵御入侵，”他建議道。

原文標(biāo)題：What can be learned about security threats from 4 recent hacks