任何從事網(wǎng)絡(luò)安全的技術(shù)人員、管理人員以及供應(yīng)商一定都已閱讀并熟悉了美國(guó)參議院發(fā)布的“2013年Target數(shù)據(jù)泄露的殺傷鏈分析報(bào)告”。報(bào)告闡述了Target事件是如何發(fā)起、如何進(jìn)行的，并列出Target應(yīng)在每個(gè)階段做些什么來(lái)預(yù)防、檢測(cè)和響應(yīng)事件。

報(bào)告列出了整個(gè)Target事件過(guò)程，從最初的入侵、破壞到2013年12月19日Target發(fā)布公告。此外， 2014年3月26日，Target首席財(cái)務(wù)官約翰•穆里根在美國(guó)參議院商業(yè)、科學(xué)、和運(yùn)輸委員會(huì)作證詞時(shí)，更新了Target數(shù)據(jù)泄露事件的前因后果。

報(bào)告指出了網(wǎng)絡(luò)安全技術(shù)人員、管理過(guò)程等方面的一些基本常識(shí)錯(cuò)誤。這些問(wèn)題是證據(jù)確鑿的，所以毋庸贅述。在此，筆者有一些額外的想法：

1 網(wǎng)絡(luò)安全技能短缺影響了Target

環(huán)境、社會(huì)和治理研究報(bào)告(ESG)數(shù)據(jù)顯示，39%的企業(yè)組織表示，其最大的事件響應(yīng)挑戰(zhàn)是“缺乏足夠的員工”，28%的企業(yè)聲稱其在事件響應(yīng)和檢測(cè)上最大的挑戰(zhàn)是“缺乏足夠的技能”。《商業(yè)周刊》的文章顯示，Target的安全操作中心(SOC)經(jīng)理在10月離開(kāi)了公司，正值數(shù)據(jù)泄露的前夕。其他SOC人員對(duì)其經(jīng)理的技能過(guò)于依賴，因而網(wǎng)絡(luò)攻擊者恰恰趁機(jī)擊中目標(biāo)。ESG報(bào)告還假定網(wǎng)絡(luò)罪犯能夠提前使用一個(gè)默認(rèn)的BMC軟件產(chǎn)品的管理員密碼。當(dāng)然，也有可能僅僅是因?yàn)橐粋€(gè)工作過(guò)度的IT安全和操作團(tuán)隊(duì)錯(cuò)過(guò)了這個(gè)明顯的漏洞。最后，當(dāng)FireEye反惡意軟件系統(tǒng)及其在印度支持網(wǎng)絡(luò)安全的人員發(fā)出警報(bào)時(shí)，Target的網(wǎng)絡(luò)安全負(fù)責(zé)人卻沒(méi)有及時(shí)采取行動(dòng)。顯然，F(xiàn)ireEye和印度團(tuán)隊(duì)已經(jīng)各司其職，但這些警告后仍然需要Target的安全團(tuán)隊(duì)對(duì)于事件做進(jìn)一步調(diào)查。

2 網(wǎng)絡(luò)邊界的概念是古代歷史

10年前耶利哥早已警告過(guò)“消除邊界”的必要性。自那時(shí)以來(lái)，盡管百般謹(jǐn)慎，卻仍然難免事故。Target數(shù)據(jù)泄露事件始于其零售商之一，網(wǎng)絡(luò)邊界外的一個(gè)小的供熱與空調(diào)公司。這只是盲目的猜測(cè)，但必須相信此公司不是由前NSA網(wǎng)絡(luò)安全專家經(jīng)營(yíng)的。當(dāng)然，第三方供應(yīng)商、業(yè)務(wù)合作伙伴和客戶都需要訪問(wèn)網(wǎng)絡(luò)，但Target讓這些所謂的外界人士只需提供基本的用戶名和密碼進(jìn)行身份驗(yàn)證即可訪問(wèn)網(wǎng)絡(luò)。所以Target在沒(méi)有用適當(dāng)方式管理網(wǎng)絡(luò)供應(yīng)鏈風(fēng)險(xiǎn)的情況下，武斷地向外界開(kāi)放了網(wǎng)絡(luò)，犯了常識(shí)性錯(cuò)誤。

3 事件響應(yīng)已成為網(wǎng)絡(luò)安全的瓶頸

信息安全很多最佳實(shí)踐重視事故預(yù)防，包括硬件系統(tǒng)的配置、訪問(wèn)控制、殺毒軟件等。2010年前后發(fā)生的APT[注]攻擊事件證明，狡猾的攻擊者都很善于規(guī)避現(xiàn)有的安全控制，所以安全行業(yè)將注意力轉(zhuǎn)向各種事件檢測(cè)和分析的工具。我們現(xiàn)在把三分之二的時(shí)間和精力放在攻擊過(guò)程，但是事件響應(yīng)呢?不幸的是，很難解決這一困境，因?yàn)槭录憫?yīng)是高度專業(yè)化的，需要精確的網(wǎng)絡(luò)設(shè)備的詳細(xì)信息，包括流量模式、歷史記錄、系統(tǒng)配置等。當(dāng)Target SOC團(tuán)隊(duì)收到來(lái)自FireEye和印度的警報(bào)時(shí)，他有一個(gè)選擇：調(diào)查警報(bào)，即當(dāng)警報(bào)發(fā)生時(shí)，系統(tǒng)是如何被影響的，IP地址怎樣做了妥協(xié)，是什么改變了網(wǎng)絡(luò)系統(tǒng)等等，通過(guò)調(diào)查來(lái)剔除假的警報(bào)。這種調(diào)查過(guò)程需要花費(fèi)時(shí)間、技能和高度的嚴(yán)謹(jǐn)。安全分析可以起作用，但是仍然需要專業(yè)的技術(shù)人員。Target團(tuán)隊(duì)未能做這些必要的工作，反而將賭注押在“假攻擊”和真正數(shù)據(jù)泄露上。

4 基本的攻防手段仍然很重要

網(wǎng)絡(luò)安全已成為一個(gè)對(duì)先進(jìn)的技術(shù)技能要求頗高的行業(yè)，這已成為共識(shí)。Target可以在其POS系統(tǒng)上安裝應(yīng)用程序控制軟件，以阻止安裝所有未經(jīng)許可的軟件。最后，Target應(yīng)該改變BMC軟件上的默認(rèn)密碼，需要對(duì)管理員進(jìn)行多重身份驗(yàn)證并監(jiān)視所有特權(quán)用戶活動(dòng)。這是網(wǎng)絡(luò)安全最基本的手段，也是最必要的。

隨著越來(lái)越多的細(xì)節(jié)出來(lái)，顯然Target會(huì)遭到些許調(diào)侃，但確定的是，從經(jīng)驗(yàn)和上述研究分析的大量結(jié)論來(lái)看，參議院的報(bào)告遠(yuǎn)比大多數(shù)人想象的情況普通得多。在下一個(gè)大的數(shù)據(jù)泄露事件爆發(fā)時(shí)，對(duì)Target的關(guān)注很可能會(huì)很快消退。鑒于網(wǎng)絡(luò)安全的狀態(tài)，攻擊是隨時(shí)可能會(huì)發(fā)生的。