我們應(yīng)當(dāng)從最近四次安全事故中吸取哪些經(jīng)驗教訓(xùn)

美國人事管理辦公室(簡稱OPM)主任Katherine Archuleta在用揉眼的方式舒緩壓力——這是她在數(shù)據(jù)違反監(jiān)管與政府改革委員會進(jìn)行的OPM計算機(jī)數(shù)據(jù)泄露聽證會上作證時的狀況，時間為2015年6月16日，地點(diǎn)在華盛頓國會山。

媒體與公眾終于開始意識到一個殘酷的現(xiàn)實(shí)，任何組織機(jī)構(gòu)都處于遭受惡意攻擊的風(fēng)險當(dāng)中。通過對最近幾次高曝光率安全事故的分析，我們希望幫助大家成功防止自己所在的企業(yè)遭遇到同樣的打擊。

對于IT安全管理者而言，搶在攻擊者之前解決潛在風(fēng)險絕非易事。惡意人士可資利用的伎倆、花招以及邪惡技術(shù)可謂層出不窮，看起來企業(yè)根本不可能成功應(yīng)對一切安全威脅。網(wǎng)絡(luò)犯罪活動明顯處于上升趨勢，而CIO們則因此而背負(fù)著沉重的壓力。

最近高調(diào)曝光的四起網(wǎng)絡(luò)犯罪活動值得我們給予關(guān)注，其中包括侵入網(wǎng)絡(luò)、竊取數(shù)據(jù)以及利用社交工程手段欺騙企業(yè)員工。我們就這些狀況向多位安全專家征求了意見，例如此類事故是如何發(fā)生的、CIO們又該怎樣降低出現(xiàn)類似事故的可能性。提示：單純安裝新型防火墻并嚴(yán)格要求員工使用殺毒軟件還遠(yuǎn)遠(yuǎn)不夠。

1. OPM數(shù)據(jù)泄露事故

此次數(shù)據(jù)泄露之所以令人不安，是因為其內(nèi)容涉及美國人力管理辦公室(簡稱OPM)針對聯(lián)邦政府員工作出的安全檢查與背景信息統(tǒng)計。根據(jù)最新調(diào)查結(jié)果，共有2150萬名政府雇員的個人記錄被惡意人士所竊取。相關(guān)報告已經(jīng)證明，此次數(shù)據(jù)泄露的主要原因是由于OPM方面缺乏最基本的安全基礎(chǔ)設(shè)施部署舉措。根據(jù)數(shù)據(jù)安全專家Alan Kessler的分析以及事故公開聽證會上得出的結(jié)論，某位前分包商在背景調(diào)查過程中竊取了這些數(shù)據(jù)。

數(shù)據(jù)安全企業(yè)Vormetric公司CEO Kessler表示，OPM長久以來一直依賴于傳統(tǒng)系統(tǒng)，而且沒能及時在安全基礎(chǔ)設(shè)施方面進(jìn)行投資。根據(jù)IBM公司安全事務(wù)副總裁Caleb Barlow的說法，CIO們應(yīng)當(dāng)從中學(xué)習(xí)到重要的經(jīng)驗教訓(xùn)，即避免在安全領(lǐng)域一味追求新興技術(shù)。某些CIO熱衷于采納創(chuàng)新成功或者最新技術(shù)方案，但卻忽視了安全保障工作的基本要素。“最為基本的安全需求，例如補(bǔ)丁安裝、監(jiān)控使用者訪問權(quán)限、識別風(fēng)險以及明確組織關(guān)鍵性數(shù)據(jù)的存儲位置等，應(yīng)當(dāng)擁有最高的實(shí)施優(yōu)先級，”他指出。

企業(yè)級文件共享廠商Accellion公司CEO Yorgen Edholm則表示，OPM數(shù)據(jù)泄露事故給CIO們敲響了警鐘，這意味著攻擊者們所垂涎的絕不僅僅是銀行中的信用卡號碼或者其它財務(wù)信息。數(shù)據(jù)竊取活動已經(jīng)開始將矛頭指向社保號碼、醫(yī)療記錄甚至是保存在數(shù)據(jù)庫當(dāng)中的指紋信息。CIO們需要找到更多能夠?qū)θ肯到y(tǒng)加以保護(hù)的方案，而不能繼續(xù)依賴于只以財務(wù)數(shù)據(jù)為保護(hù)對象的傳統(tǒng)機(jī)制。

2.圣路易紅雀隊向休士頓太空人隊發(fā)起攻擊

在這一剛剛發(fā)生的安全事故當(dāng)中，某位雇員(或者多位雇員)竊取到了來自對手球隊的球員評估及個人狀態(tài)等敏感數(shù)據(jù)。其實(shí)這類某個組織機(jī)構(gòu)著手攻擊其它同業(yè)機(jī)構(gòu)(與相對模糊的境外網(wǎng)絡(luò)犯罪活動不同)的行為并不罕見。此次事故讓CIO們意識到，攻擊很有可能發(fā)生在自家蕭墻之內(nèi)。

目前效力于VMware公司的知名創(chuàng)業(yè)者M(jìn)att Suiche指出，企業(yè)應(yīng)當(dāng)盡可能提高數(shù)據(jù)保護(hù)力度，以避免其受到員工、分包商乃至第三方合作伙伴的窺探。他同時表示，當(dāng)下的攻擊活動可謂全方位來襲，因此單純利用防火墻或者殺毒軟件來抵御外部滲透已經(jīng)遠(yuǎn)遠(yuǎn)不夠。最好的辦法是實(shí)施一套多因素安全方案，從而全面阻止網(wǎng)絡(luò)犯罪活動的發(fā)生。

“企業(yè)經(jīng)常會任用來自競爭對手公司的員工，而這部分員工又往往習(xí)慣在新舊兩家公司內(nèi)使用同樣的密碼內(nèi)容——這很可能造成潛在安全風(fēng)險，”安全廠商KnowBe4公司CEO Stu Sjouwerman指出。“密碼管理與創(chuàng)建高強(qiáng)度密碼已經(jīng)成為當(dāng)下的必要要求，但我們還應(yīng)當(dāng)部署其它更為強(qiáng)大的驗證機(jī)制，例如雙因素驗證以及/或者指紋及面部識別等生物驗證技術(shù)。”

“有時候，最大的安全風(fēng)險并非由間諜機(jī)構(gòu)、集團(tuán)犯罪組織或者高水平黑客所造成，而完全出自前任員工乃至競爭對手，”Accellion公司的Edholm強(qiáng)調(diào)稱。他同時表示，企業(yè)應(yīng)當(dāng)保護(hù)系統(tǒng)免受流氓員工的侵?jǐn)_，具體包括使用惟一且高復(fù)雜度密碼來管理員工訪問，持有并追蹤全部密鑰，同時以培訓(xùn)方式幫助員工掌握并踐行最佳實(shí)踐。

3.借簡歷附件進(jìn)行網(wǎng)絡(luò)釣魚

這種堪稱巧妙的攻擊手段可以融入許多變化，但其本質(zhì)方式就是向某位雇員發(fā)送包含惡意內(nèi)容的簡歷壓縮文件。員工在開啟該文件的同時，被觸發(fā)的惡意應(yīng)用即會對當(dāng)前設(shè)備的硬盤乃至各共享式網(wǎng)絡(luò)驅(qū)動器進(jìn)行加密。黑客隨后會要求受害者支付數(shù)額不等的款項以移除惡意軟件并恢復(fù)各磁盤驅(qū)動器。就在不久之前，有攻擊者鎖定了新聞發(fā)布稿當(dāng)中的財務(wù)信息……而后借此進(jìn)行敲詐勒索。

此類案例當(dāng)中最令人發(fā)指的就是去年澳大利亞某媒體新聞頻道遭黑客利用Cryptolocker入侵，對方要求媒體方面支付贖金以解鎖數(shù)據(jù)。在大多數(shù)情況下，支付的資金必須以無法追蹤的比特幣作為載體。

KnowBe4公司的Sjouwerman表示，這類欺詐活動的可怕之處在于其成功率相當(dāng)高。在該公司組織的測試當(dāng)中，某家銀行約有六成左右員工打開了郵件當(dāng)中發(fā)來的簡歷附件。他強(qiáng)調(diào)稱，目前大部分攻擊活動都會使用虛構(gòu)的女性求職者姓名。

IBM公司的Barlow指出，應(yīng)對釣魚攻擊的終極手段就是幫助員工培養(yǎng)起良好的安全意識。新型攻擊方式總在不斷出現(xiàn)，而安全培訓(xùn)應(yīng)該將釣魚測試納入其中，幫助員工在高危情況下作出正確選擇(例如不要點(diǎn)擊可疑鏈接或者不要回復(fù)任何內(nèi)容)。如果員工未能通過測試，那么相關(guān)企業(yè)需要組織有針對性的指導(dǎo)流程。

4. CEO轉(zhuǎn)賬欺詐活動

這最后一種安全隱患確實(shí)極具破壞性，因為它針對的是大型企業(yè)中的高管團(tuán)隊。這類惡意活動基本可劃歸為社交工程：犯罪分子首先取得高管成員的電子郵箱訪問權(quán)限，例如通過暴力破解方式獲取密碼或者運(yùn)行密碼生成器。他們會利用高管的賬戶要求財會部門進(jìn)行資金轉(zhuǎn)移。之所以成功率極高，是因為財會部門會下意識地認(rèn)為來自高層管理者的郵件不存在問題。

KnowBe4公司的Sjouwerman指出，國際雜志出版商Bonnier Group就曾經(jīng)遭遇過此類攻擊活動，而且轉(zhuǎn)賬金額至少達(dá)到150萬美元。攻擊者利用前任CEO David Freygang的電子郵箱發(fā)出了一條緊急且需要保密的資金轉(zhuǎn)移要求。而就在最近，知名一夜情網(wǎng)站Ashley Madison也遇到了同類攻擊，但有所區(qū)別的是這次其要求獲取客戶的詳細(xì)個人信息。

根據(jù)IBM公司發(fā)布的《2015年第二季度X-Force威脅情報調(diào)查》，目前約有25%的網(wǎng)絡(luò)攻擊活動針對某一特定員工。這相當(dāng)于直接繞過了各類傳統(tǒng)安全保障措施，例如加密機(jī)制、防火墻以及反惡意軟件。在IBM公司的Barlow看來，這甚至不能算是什么技術(shù)性攻擊，因為黑客需要做的可能僅僅是猜出企業(yè)中某位高管的賬戶密碼。

他強(qiáng)調(diào)稱，解決此類問題的最佳辦法就是進(jìn)行協(xié)作。釣魚攻擊應(yīng)當(dāng)經(jīng)過分類、歸檔與討論——類似于黑客們在Dark Web上商議計劃并分享信息的過程。“‘好人們’也需要同樣的協(xié)作平臺，并以此建立統(tǒng)一戰(zhàn)線共同抵御入侵，”他建議道。

原文標(biāo)題：What can be learned about security threats from 4 recent hacks