近期，紐約金融服務(wù)管理局發(fā)布了7月15日推特安全事件的調(diào)查報(bào)告，全面還原黑客攻擊的細(xì)節(jié)與全過(guò)程。毫無(wú)復(fù)雜技術(shù)的攻擊手段爆出推特平臺(tái)存在的驚人安全缺陷。

[[349102]]

1. 事件概要

2020年7月15日，一名17歲的黑客及其同伙入侵了推特(Twitter)網(wǎng)絡(luò)，控制了幾十個(gè)大V用戶推特賬戶的控制權(quán)。全世界圍觀了這次公開(kāi)的網(wǎng)絡(luò)攻擊：幾個(gè)小時(shí)內(nèi)，黑客接管了多個(gè)政客、名人和企業(yè)家的推特賬戶，包括貝拉克·奧巴馬、金·卡戴珊·韋斯特、杰夫·貝佐斯和埃隆·馬斯克，以及紐約州金融服務(wù)管理局監(jiān)管的數(shù)家加密貨幣公司，在推特上發(fā)出 "讓你的比特幣翻倍 "的騙局。面對(duì)黑客入侵，推特似乎無(wú)能為力。

從貨幣價(jià)值上看，黑客竊取了價(jià)值超過(guò)11.8萬(wàn)美元的比特幣。但更重要的是，安全事件暴露了全球社交媒體平臺(tái)的脆弱性——推特平臺(tái)的月活用戶總數(shù)超過(guò)3.3億，日活用戶超過(guò)1.86億，其中，美國(guó)用戶超過(guò)3600萬(wàn)(20%)。簡(jiǎn)而言之，推特在我們的溝通交流和新聞傳播方面扮演著核心角色。超過(guò)一半的美國(guó)成年人 "經(jīng)常 "或 "有時(shí) "從社交媒體獲取新聞。

推特作為一家市值370億美元的上市科技公司，其網(wǎng)絡(luò)卻能被黑客輕松地侵入并獲得內(nèi)部工具的訪問(wèn)權(quán)限，從而可以接管任何推特用戶的帳戶。

值得注意的是，攻擊推特的黑客并沒(méi)有采用網(wǎng)絡(luò)攻擊中經(jīng)常利用的高科技或復(fù)雜技術(shù)——沒(méi)有惡意軟件，沒(méi)有漏洞利用，也沒(méi)有放置后門(mén)。黑客使用的基本技巧更類(lèi)似于傳統(tǒng)的詐騙藝術(shù)：打電話假裝是推特信息技術(shù)部門(mén)的人。黑客通過(guò)這種簡(jiǎn)單的伎倆獲得了非同尋常的訪問(wèn)權(quán)限，這凸顯了推特網(wǎng)絡(luò)安全方面的漏洞和潛在的破壞性后果。

推特入侵事件的影響遠(yuǎn)遠(yuǎn)超出了欺詐行為本身：社交媒體被用來(lái)操縱市場(chǎng)和干預(yù)選舉，只需使用一個(gè)被入侵的賬戶或一組假賬戶就可以了。若危險(xiǎn)的"黑客 "獲得同樣的訪問(wèn)權(quán)(有權(quán)控制任何推特用戶的賬戶)可能會(huì)造成更大的危害。

推特安全事件表明，我們需要部署強(qiáng)有力的網(wǎng)絡(luò)安全措施，遏制主要社交媒體平臺(tái)成為潛在的攻擊利器，但面對(duì)社交媒體帶來(lái)的新挑戰(zhàn)，監(jiān)管機(jī)構(gòu)顯然還沒(méi)有做好準(zhǔn)備。

政策制定者關(guān)注大型社交媒體公司的反壟斷和內(nèi)容審核問(wèn)題，對(duì)于具有系統(tǒng)重要性的大型社交媒體公司來(lái)說(shuō)，網(wǎng)絡(luò)安全也應(yīng)當(dāng)是必備的能力。

2. 推特平臺(tái)

從2006年7月起，推特開(kāi)始運(yùn)營(yíng)www.twitter.com。作為社交網(wǎng)絡(luò)和微博網(wǎng)站，用戶可以通過(guò)電子郵件和文字向"粉絲"(即注冊(cè)接收博文的用戶)發(fā)送 "推文”——不超過(guò)280個(gè)字(之前是140個(gè)字)的簡(jiǎn)短博文。推特用戶通過(guò)網(wǎng)站或移動(dòng)應(yīng)用可以關(guān)注其他個(gè)人，商業(yè)、媒體、政府或非營(yíng)利性實(shí)體。

推特負(fù)責(zé)維護(hù)內(nèi)部賬戶管理工具，以管理與推特用戶賬戶有關(guān)的各種問(wèn)題。推特向獲得授權(quán)的員工發(fā)放用戶名和密碼，用于訪問(wèn)內(nèi)部賬戶管理工具。7月15日發(fā)布在推特上的截圖顯示了黑客訪問(wèn)的內(nèi)部工具 。

一些內(nèi)部工具含有所有推特用戶賬戶的非公開(kāi)信息，包括賬戶相關(guān)的電子郵件、電話號(hào)碼以及用戶登錄位置的互聯(lián)網(wǎng)協(xié)議("IP")地址。根據(jù)用戶的請(qǐng)求，授權(quán)推特員工會(huì)使用內(nèi)部工具更新電子郵件地址，重置遺忘或過(guò)期密碼，啟用或禁用多因素身份認(rèn)證("MFA")——這是一種額外的安全保護(hù)，需要依賴自動(dòng)生成的號(hào)碼訪問(wèn)賬戶。

推特員工還使用內(nèi)部工具，禁止或限制特定推文內(nèi)容或特定用戶賬號(hào)發(fā)布推文。這種限制可以是為了滿足某些國(guó)家當(dāng)?shù)胤傻囊?，或者是為了懲戒那些違反推特規(guī)則的用戶行為。

3. 還原入侵事件真相

攻擊者利用欺詐手段進(jìn)入推特的網(wǎng)絡(luò)和內(nèi)部應(yīng)用。

2020年7月14日和15日，黑客攻擊了推特。安全事件分為三個(gè)階段：第一階段，通過(guò)社會(huì)工程學(xué)攻擊獲得推特網(wǎng)絡(luò)的訪問(wèn)權(quán);第二階段，接管具備理想用戶名的賬戶，并出售這些賬戶的權(quán)限;第三階段，接管幾十個(gè)高知名度的推特賬戶，并試圖誘騙人們給黑客發(fā)送比特幣。

所有這一切都在大約24小時(shí)內(nèi)發(fā)生。

第一階段：通過(guò)社會(huì)工程學(xué)竊取證書(shū)

推特入侵事件始于2020年7月14日下午。當(dāng)時(shí)，至少一名黑客致電了多個(gè)推特員工，自稱是推特 IT部門(mén)的服務(wù)人員。黑客聲稱致電來(lái)幫助解決推特的虛擬專用網(wǎng)絡(luò)遇到的問(wèn)題。

自從切換為遠(yuǎn)程工作后，虛擬專用網(wǎng)絡(luò)問(wèn)題在推特員工中就很常見(jiàn)。隨后，黑客嘗試把該員工引導(dǎo)到釣魚(yú)網(wǎng)站，該網(wǎng)站看起來(lái)與合法的推特虛擬專用網(wǎng)絡(luò)網(wǎng)站一模一樣，域名也極其相似。員工在釣魚(yú)網(wǎng)站輸入他們的賬號(hào)密碼時(shí)，黑客會(huì)同時(shí)把這些信息輸入到真正的推特網(wǎng)站。這種假冒登錄產(chǎn)生了MFA(多因子驗(yàn)證)通知，要求員工進(jìn)行身份驗(yàn)證，部分員工也進(jìn)行了驗(yàn)證。

在調(diào)查中，紐約州金融服務(wù)管理局沒(méi)有發(fā)現(xiàn)任何推特員工蓄意協(xié)助黑客的證據(jù)。相反，黑客利用員工的個(gè)人信息令其相信自己是正當(dāng)且可信的。一些員工向推特內(nèi)部的欺詐監(jiān)控團(tuán)隊(duì)報(bào)告了這些電話，但至少有一名員工相信了黑客的謊言。

第一個(gè)被黑客入侵賬戶的推特員工無(wú)權(quán)使用內(nèi)部工具來(lái)接管推特用戶賬戶。黑客只好利用這個(gè)最初的受害者賬戶來(lái)瀏覽推特的內(nèi)部網(wǎng)站，從而掌握更多推特信息系統(tǒng)的情報(bào)。黑客查看了推特的內(nèi)部網(wǎng)站，其中包含了如何訪問(wèn)其他內(nèi)部應(yīng)用程序的信息。

7月15日，黑客將目標(biāo)鎖定在能夠訪問(wèn)內(nèi)部工具的推特員工身上。他們中的一些人屬于負(fù)責(zé)全球法律請(qǐng)求的響應(yīng)部門(mén)，例如法院命令或內(nèi)容刪除請(qǐng)求，以及負(fù)責(zé)制定和執(zhí)行關(guān)于防止濫用網(wǎng)絡(luò)行為的政策。

第二階段：盜取推特元老賬號(hào)

在獲得接管推特用戶賬號(hào)的能力后，黑客首先關(guān)注的是所謂的推特元老("original gangster“ OG)賬號(hào)，這些賬號(hào)名通常由單個(gè)單詞、字母或數(shù)字組成，屬于推特的早期用戶。作為讓后續(xù)用戶垂涎的網(wǎng)絡(luò)信譽(yù)標(biāo)志，任何人只要成功劫持一個(gè)元老賬號(hào)，就能以數(shù)千美元的價(jià)格將它出售。

在2020年7月15日凌晨3點(diǎn)至10點(diǎn)左右，黑客通過(guò)在線聊天討論了接管和出售推特元老用戶名以換取比特幣的問(wèn)題，推特證實(shí)了多個(gè)賬戶被攻破。

然而很快，黑客就開(kāi)始以更多的公開(kāi)手段來(lái)證明已經(jīng)成功滲透了推特的內(nèi)部系統(tǒng)。7月15日下午2點(diǎn)前，黑客劫持了更多推特元老賬號(hào)，并在推特上將部分賬號(hào)的內(nèi)部工具截圖發(fā)給了對(duì)應(yīng)賬號(hào)的粉絲。

第三階段：高調(diào)的比特幣騙局

經(jīng)過(guò)最初的滲透，黑客擴(kuò)大了入侵推特的行動(dòng)。

值得注意的是，在這一階段，黑客將攻擊目標(biāo)鎖定在“大V”賬戶上，也就是推特定義的 "公共利益賬戶"，通常 "由音樂(lè)、演藝、時(shí)尚、政府、政治、宗教、新聞、媒體、體育、商業(yè)和其他關(guān)鍵利益領(lǐng)域的用戶維護(hù)"。

大V賬戶通過(guò)藍(lán)色的驗(yàn)證徽章來(lái)區(qū)分，"讓人們知道公共利益賬戶是真實(shí)的。"作為網(wǎng)絡(luò)社交媒體平臺(tái)的精明用戶，黑客可能知道，大V賬戶的推文會(huì)讓他們的比特幣詐騙顯得更加正當(dāng)。

黑客首先操縱了與知名加密貨幣公司和個(gè)人有關(guān)的推特賬戶。

下午2點(diǎn)16分左右，黑客劫持了加密貨幣交易商"@AngeloBTC "的賬戶，并在推特上發(fā)布了以下要求提供比特幣的公告 。

隨后，黑客通過(guò)"@AngeloBTC "賬戶向多名推特用戶發(fā)送了數(shù)條私信，其中包含比特幣錢(qián)包的支付鏈接。

黑客升級(jí)推特攻擊行動(dòng)，改變了詐騙方案，直接轉(zhuǎn)發(fā)被攻陷加密貨幣公司的推文，包含支付請(qǐng)求。 下午3:18左右，黑客攻陷了加密貨幣交易所Binance的賬戶，并發(fā)送了包含比特幣詐騙地址鏈接的推文。

下午3點(diǎn)26分至4點(diǎn)12分左右，黑客劫持了10個(gè)與加密貨幣相關(guān)的賬戶(包括政府監(jiān)管的實(shí)體Coinbase、Gemini Trust Company和Square公司)并發(fā)送了不同版本的信息。

接下來(lái)，攻擊者孤注一擲，將目標(biāo)鎖定在擁有數(shù)百萬(wàn)粉絲的大V 推特賬戶上。下午4:17至6:05之間，黑客使用知名人士和著名公司的被入侵賬戶發(fā)送推文，如特斯拉公司的首席執(zhí)行官埃隆•馬斯克、微軟公司的聯(lián)合創(chuàng)始人比爾•蓋茨，說(shuō)唱歌手和企業(yè)家坎耶•韋斯特(Kanye West)以及媒體人士，企業(yè)家金•卡戴珊•韋斯特，民主黨總統(tǒng)候選人小約瑟夫•拜登，伯克希爾-哈撒韋公司CEO沃倫•巴菲特，不敗職業(yè)拳擊手小弗洛伊德•梅威瑟，以及Uber公司、蘋(píng)果公司。黑客還利用一些被入侵賬戶多次重發(fā)相同的比特幣詐騙推文。

考慮到每個(gè)高知名度用戶賬戶的粉絲數(shù)量，這些詐騙推文覆蓋了全球數(shù)百萬(wàn)潛在受害者。黑客通過(guò)推特入侵行動(dòng)竊取了價(jià)值約11.8萬(wàn)美元的比特幣。

4. 用戶的非公開(kāi)信息被曝光

在推特入侵事件中，有130個(gè)推特用戶賬戶被盜。其中有45個(gè)賬戶被用于發(fā)送推文。

對(duì)于其中7個(gè)涉案的推特賬戶，黑客還通過(guò)推特的 "你的推特?cái)?shù)據(jù)"(YTD)工具下載了賬戶信息，該工具提供了一個(gè)推特賬戶的詳細(xì)信息和活動(dòng)摘要。YTD中的信息包括用戶的個(gè)人資料信息、推文、私信、媒體(包括圖片、視頻和附加在推文和私信上的GIF)、賬戶的粉絲列表、用戶關(guān)注的賬戶列表、用戶的通訊錄、推特推斷出的關(guān)于用戶的人口統(tǒng)計(jì)信息、用戶在推特上看到或參與的廣告信息等。用戶可以通過(guò)登錄賬戶、輸入賬戶密碼、然后提出申請(qǐng)，從而獲取YTD。

黑客利用內(nèi)部工具為7個(gè)賬戶申請(qǐng)YTD并下載了數(shù)據(jù)，另有52個(gè)賬戶的數(shù)據(jù)被申請(qǐng)但并沒(méi)有被下載。推特證實(shí)，它直接與所有被下載YTD的賬戶所有者取得了聯(lián)系。這7個(gè)賬戶都不是大V賬戶。

推特認(rèn)為，在130個(gè)目標(biāo)賬戶中，有多達(dá)36個(gè)賬戶的私信收件箱被黑客訪問(wèn)，包括荷蘭一名民選官員的大V賬戶。在推特黑客事件發(fā)生后的一周內(nèi)，荷蘭政治家Geert Wilders向多個(gè)新聞來(lái)源證實(shí)，未經(jīng)授權(quán)的私信是從其推特賬戶發(fā)出的。據(jù)推特稱，沒(méi)有其他前任或現(xiàn)任民選官員賬戶的私信收件箱被訪問(wèn)。

5. 推特的回應(yīng)

7月15日上午，幾名員工報(bào)告了可疑的登錄和電話，推特才首次意識(shí)遭到攻擊。下午3點(diǎn)18分左右，加密貨幣公司的賬戶被接管，推特的內(nèi)部事件響應(yīng)團(tuán)隊(duì)還在調(diào)查這些可疑電話。他們緊急做出了回應(yīng)，但花了數(shù)小時(shí)才將黑客從系統(tǒng)中驅(qū)逐。

推特入侵事件在光天化日下發(fā)生，但推特并沒(méi)有公開(kāi)報(bào)告任何實(shí)時(shí)進(jìn)展。相反，在7月15日的大部分時(shí)間里，推特唯一的公開(kāi)承認(rèn)是刪除了揭示了其內(nèi)部工具截圖以及與騙局有關(guān)的推文。

下午5點(diǎn)45分左右，推特在發(fā)推稱，它 "意識(shí)到發(fā)生了影響推特賬戶的安全事件"，并正在 "采取措施進(jìn)行修復(fù)" 。

不幸的是，推特在下午6點(diǎn)18分才向用戶證實(shí)了上述采取的措施：包括阻止許多大V賬戶發(fā)推特或更改密碼，并對(duì)事發(fā)前30天內(nèi)更改過(guò)密碼的賬戶進(jìn)行鎖定。這直接導(dǎo)致多個(gè)公共機(jī)構(gòu)無(wú)法訪問(wèn)自己的賬戶，例如，國(guó)家氣象局無(wú)法在推特上發(fā)布龍卷風(fēng)警報(bào)，連金融服務(wù)管理局的推特賬戶也有幾個(gè)小時(shí)無(wú)法使用。

在內(nèi)部，推特采取了疾風(fēng)驟雨般的措施，以阻止推特入侵事件帶來(lái)的破壞。為了防止黑客進(jìn)一步滲透其系統(tǒng)或個(gè)人賬戶，它嚴(yán)格限制或撤銷(xiāo)了員工對(duì)其內(nèi)部系統(tǒng)的訪問(wèn)權(quán)限，導(dǎo)致用戶維護(hù)請(qǐng)求的響應(yīng)時(shí)間過(guò)長(zhǎng)。它還制定了激進(jìn)的驗(yàn)證流程：每位推特員工(從CEO杰克•多西開(kāi)始)都必須在視頻會(huì)議監(jiān)督下手動(dòng)更改賬號(hào)密碼。

晚上8點(diǎn)41分，即在官宣被入侵后大約三個(gè)小時(shí)，大多數(shù)賬戶可以恢復(fù)發(fā)推了。

6. 安全缺陷助推黑客成功

推特被黑事件警示我們：即使是初出茅廬的網(wǎng)絡(luò)犯罪分子也會(huì)造成難以估量的破壞。黑客的成功在很大程度上是源于推特內(nèi)部網(wǎng)絡(luò)安全協(xié)議的缺陷。

問(wèn)題是從高層開(kāi)始的。自2019年12月以來(lái)，即入侵事件發(fā)生前7個(gè)月，推特就沒(méi)有設(shè)立首席信息安全官("CISO")職位。缺乏強(qiáng)有力的組織領(lǐng)導(dǎo)及高層參與是網(wǎng)絡(luò)安全薄弱的常見(jiàn)根源。COVID-19大流行給IT和網(wǎng)絡(luò)安全帶來(lái)了一系列新的挑戰(zhàn)，2020年尤其需要強(qiáng)有力的領(lǐng)導(dǎo)。與許多機(jī)構(gòu)一樣， 推特在3月份因新冠疫情而轉(zhuǎn)到遠(yuǎn)程辦公。這種轉(zhuǎn)變使推特更容易受到網(wǎng)絡(luò)攻擊，放大了現(xiàn)有的弱點(diǎn)。

黑客直接利用了推特向遠(yuǎn)程辦公的轉(zhuǎn)變。2020年3月，全面推行遠(yuǎn)程辦公的升溫給推特的技術(shù)基礎(chǔ)設(shè)施帶來(lái)了壓力，員工在連接虛擬專用網(wǎng)絡(luò)時(shí)經(jīng)常出現(xiàn)問(wèn)題。黑客利用這些問(wèn)題，假裝從推特的IT部門(mén)打來(lái)電話詢問(wèn)虛擬專用網(wǎng)絡(luò)問(wèn)題，然后勸說(shuō)員工將自身憑證輸入到近似的假冒虛擬專用網(wǎng)絡(luò)登錄網(wǎng)站。黑客的說(shuō)法更加可信，并最終成功了，因?yàn)橥铺氐膯T工都使用虛擬專用網(wǎng)絡(luò)進(jìn)行工作連接，經(jīng)常遇到需要IT部門(mén)協(xié)助的虛擬專用網(wǎng)絡(luò)問(wèn)題，。

黑客依靠簡(jiǎn)單策略侵入推特：社會(huì)工程。社會(huì)工程是指利用欺騙手段誘使個(gè)人泄露機(jī)密或個(gè)人信息，這些信息隨后用于欺詐。最著名的社會(huì)工程攻擊類(lèi)型也許是網(wǎng)絡(luò)釣魚(yú)--使用欺騙性的電子郵件來(lái)誘騙收件人，例如，打開(kāi)惡意附件或提供他們的用戶名和密碼。本次黑客使用的是 "電話釣魚(yú)"，即通過(guò)電話進(jìn)行的社會(huì)工程。網(wǎng)絡(luò)釣魚(yú)和電話釣魚(yú)是黑客進(jìn)入網(wǎng)絡(luò)最常用的方法之一。例如，在2020年1月至7月期間，向金融服務(wù)管理局提交的重大網(wǎng)絡(luò)安全事件通知中，約有三分之一涉及網(wǎng)絡(luò)釣魚(yú)或電話釣魚(yú)。

黑客依靠推特及其員工的基本信息使欺騙行為更加可信。黑客似乎進(jìn)行了研究，以確定推特員工的基本職能和頭銜，這樣就可以更好地冒充推特的IT部門(mén)，電話釣魚(yú)中的對(duì)話本身也可以提供更多關(guān)于推特內(nèi)部運(yùn)作的信息。掌握了這些個(gè)人信息，黑客成功地讓幾名推特員工相信自己來(lái)自推特的IT部門(mén)，并竊取他們的身份憑證。

2020年3月之后，推特沒(méi)有實(shí)施任何重大的補(bǔ)償性控制措施來(lái)減輕遠(yuǎn)程辦公的高度風(fēng)險(xiǎn)，而黑客正是利用了這一點(diǎn)。推特現(xiàn)在正在實(shí)施額外的安全控制措施以防止將來(lái)發(fā)生類(lèi)似的攻擊，例如改進(jìn)MFA、增加網(wǎng)絡(luò)安全意識(shí)培訓(xùn)，并于2020年9月底宣布聘請(qǐng)了一名新的CISO。

推特入侵事件的后果表明，推特和其他社交媒體公司應(yīng)當(dāng)在遭遇網(wǎng)絡(luò)事件之前就未雨綢繆，實(shí)施強(qiáng)有力的控制措施，而不是事后亡羊補(bǔ)牢。

7. 事件凸顯社交媒體平臺(tái)的安全風(fēng)險(xiǎn)

推特和其他大型社交媒體公司深受歡迎，提供了有價(jià)值的服務(wù)。通過(guò)推特，消費(fèi)者可以收到來(lái)自朋友和熟人的最新近況、來(lái)自媒體機(jī)構(gòu)的突發(fā)新聞，以及來(lái)自政府當(dāng)局的公共安全和緊急通知。在許多情況下，推文會(huì)邀請(qǐng)用戶點(diǎn)擊指向其他可能用來(lái)購(gòu)買(mǎi)商品或服務(wù)的網(wǎng)站鏈接。

推特入侵事件凸顯了推特等社交媒體平臺(tái)的相關(guān)風(fēng)險(xiǎn)。一個(gè)少年及其年輕同伙就可以輕松黑掉推特，并劫持了世界上最知名人士和組織的賬戶。本次的黑客團(tuán)伙還局限于傳統(tǒng)的欺詐活動(dòng)，如果是由資源充足的敵人發(fā)起這樣的入侵攻擊，就會(huì)通過(guò)操縱公眾對(duì)市場(chǎng)、選舉等的看法造成更大的破壞。

近年來(lái)，推特和其他社交媒體平臺(tái)被用來(lái)影響金融市場(chǎng)，并造成了破壞性的后果。例如，2013年，在黑客接管美聯(lián)社的推特賬號(hào)，并發(fā)推文謊稱白宮的兩起爆炸事件傷害了總統(tǒng)奧巴馬，導(dǎo)致標(biāo)普500指數(shù)在幾分鐘內(nèi)損失了1365億美元的價(jià)值。金融犯罪分子利用社交媒體進(jìn)行 "拉高出貨 "套路，通過(guò)虛假或誤導(dǎo)性的推文暫時(shí)抬高股票價(jià)格;當(dāng)他們賣(mài)出股票并停止宣傳時(shí)，導(dǎo)致股價(jià)暴跌會(huì)傷害毫無(wú)戒心的投資者。多項(xiàng)研究表明，無(wú)論推文內(nèi)容是真是假，都會(huì)影響交易量和未來(lái)的市場(chǎng)活動(dòng)。

社交媒體也可能擾亂選舉和公共機(jī)構(gòu)。2020年7月，國(guó)家情報(bào)局局長(zhǎng)辦公室宣布，俄羅斯和伊朗等國(guó)利用社交媒體和傳統(tǒng)媒體的影響措施，干預(yù)民主進(jìn)程。這與參議院最近的一份情報(bào)相符，該報(bào)告發(fā)現(xiàn)，俄羅斯在2016年大選期間發(fā)起網(wǎng)絡(luò)影響力行動(dòng)，旨在破壞民眾對(duì)民主機(jī)構(gòu)的信心并挑起社會(huì)的不和諧。

之所以可能產(chǎn)生這種影響，很大程度上是源于美國(guó)人對(duì)社交媒體的依賴。2019年初，推特平均月活躍用戶超過(guò)3.3億人，到2020年中期，推特平均日活躍用戶超過(guò)1.86億人，其中近20%(3600萬(wàn))在美國(guó)，超過(guò)一半的美國(guó)成年人 "經(jīng)常 "或 "有時(shí) "從社交媒體獲取新聞。2020年，社交媒體是美國(guó)人僅次于新聞應(yīng)用和網(wǎng)站的首要新聞來(lái)源之一，尤其是50歲以下的人群。與此同時(shí)，公眾對(duì)更廣泛的媒體生態(tài)系統(tǒng)的信任度也在下降：2019-2020年的一項(xiàng)調(diào)查發(fā)現(xiàn)，"公眾對(duì)國(guó)家兩極分化的媒體環(huán)境的信任度很低"，這為錯(cuò)誤信息的滋生創(chuàng)造了可能。

鑒于社交媒體平臺(tái)在全球交流中的重要性以及以往的攻擊歷史，類(lèi)似推特入侵的事件暴露了社交平臺(tái)對(duì)于選舉、金融市場(chǎng)以及國(guó)家安全穩(wěn)定性和完整性的風(fēng)險(xiǎn)。

8. 網(wǎng)絡(luò)安全優(yōu)秀實(shí)踐減輕風(fēng)險(xiǎn)

正如推特入侵事件所示，網(wǎng)絡(luò)安全缺陷會(huì)造成嚴(yán)重后果。下面的做法可以幫助保護(hù)消費(fèi)者和相關(guān)行業(yè)免受類(lèi)似的黑客攻擊，并將大大降低推特入侵事件發(fā)生的可能性。

1. 領(lǐng)導(dǎo)力

鑒于網(wǎng)絡(luò)安全的重要性，需要從高層開(kāi)始定調(diào)。領(lǐng)導(dǎo)力至關(guān)重要，執(zhí)行層的領(lǐng)導(dǎo)應(yīng)當(dāng)對(duì)網(wǎng)絡(luò)安全負(fù)責(zé)。金融服務(wù)管理局的網(wǎng)絡(luò)安全法規(guī)要求公司必須設(shè)立CISO，這是有充分理由的。CISO應(yīng)該有足夠的獨(dú)立性來(lái)推動(dòng)網(wǎng)絡(luò)安全協(xié)議的改進(jìn)。此外，對(duì)于獲得來(lái)自高級(jí)管理層和整個(gè)組織對(duì)網(wǎng)絡(luò)安全措施的認(rèn)同方面，CISO發(fā)揮著重要作用。若不設(shè)立CISO，則會(huì)顯得高層領(lǐng)導(dǎo)并不重視網(wǎng)絡(luò)安全。

2. 訪問(wèn)管理和身份驗(yàn)證

推特的訪問(wèn)管理和身份驗(yàn)證未能阻止初出茅廬的黑客獲取強(qiáng)大的內(nèi)部工具。訪問(wèn)控制是限制誰(shuí)可以訪問(wèn)或使用資源的安全技術(shù)或措施。根據(jù)最佳實(shí)踐，金融服務(wù)管理局的網(wǎng)絡(luò)安全法規(guī)要求每個(gè)用戶只能訪問(wèn)其工作所需的系統(tǒng)和應(yīng)用程序。為適應(yīng)角色和職責(zé)的變化，應(yīng)當(dāng)對(duì)訪問(wèn)定期重新認(rèn)證，。

推特確實(shí)有一些訪問(wèn)控制措施，但還不足以阻止入侵事件的發(fā)生。推特限制了對(duì)內(nèi)部工具的訪問(wèn)權(quán)限，但仍有超過(guò)1000名推特員工使用這些工具來(lái)履行工作職能和職責(zé)，如推特用戶賬戶維護(hù)和支持、內(nèi)容審查以及對(duì)違反推特規(guī)則的報(bào)告做出回應(yīng)。在入侵事件發(fā)生后，推特立即減少了可使用內(nèi)部工具的員工數(shù)量。

認(rèn)證需求也應(yīng)根據(jù)風(fēng)險(xiǎn)進(jìn)行校正。例如，對(duì)于高風(fēng)險(xiǎn)的應(yīng)用和功能(如推特的內(nèi)部工具)，認(rèn)證要求應(yīng)當(dāng)更加嚴(yán)格。對(duì)關(guān)鍵功能的訪問(wèn)應(yīng)該要求MFA。對(duì)于高風(fēng)險(xiǎn)功能的另一個(gè)可能的控制措施是，要求在完成操作之前必須由另一名員工進(jìn)行認(rèn)證或批準(zhǔn)。如果攻擊者只攻破了一名員工的訪問(wèn)權(quán)限，上述要求可以減少損失。

MFA至關(guān)重要，但并非所有的MFA方法都生而平等。推特使用了基于應(yīng)用的MFA，它向員工的智能手機(jī)發(fā)送認(rèn)證請(qǐng)求。這是一種常見(jiàn)的MFA形式，但是可以被規(guī)避。在推特入侵事件中，黑客在登錄時(shí)通過(guò)說(shuō)服推特員工進(jìn)行基于應(yīng)用的MFA認(rèn)證，從而繞過(guò)了MFA。最安全的MFA形式是物理安全密鑰，或者說(shuō)是硬件MFA，即使用插入電腦的USB密鑰來(lái)認(rèn)證用戶。這種類(lèi)型的硬件MFA可以阻止黑客，推特現(xiàn)在正在實(shí)施它來(lái)代替基于應(yīng)用的MFA。

3. 員工教育和培訓(xùn)

黑客通過(guò)社會(huì)工程學(xué)攻擊愚弄推特員工從而獲得成功。這類(lèi)攻擊可以針對(duì)組織中任何部門(mén)的員工，而第一道防線是確保所有員工意識(shí)到威脅，包括旨在利用遠(yuǎn)程工作這種新常態(tài)的社會(huì)工程技術(shù)。例如，金融服務(wù)管理局的網(wǎng)絡(luò)安全法規(guī)要求所有員工進(jìn)行定期的網(wǎng)絡(luò)安全意識(shí)培訓(xùn)。除了為培訓(xùn)設(shè)立指標(biāo)，機(jī)構(gòu)還應(yīng)該定期進(jìn)行網(wǎng)絡(luò)釣魚(yú)和電話釣魚(yú)演習(xí)，以測(cè)試應(yīng)對(duì)此類(lèi)攻擊的應(yīng)對(duì)能力。

組織應(yīng)進(jìn)一步建立統(tǒng)一的標(biāo)準(zhǔn)，用于信息溝通和對(duì)員工進(jìn)行相關(guān)教育。例如，制定測(cè)試金融機(jī)構(gòu)安全和健全性監(jiān)管標(biāo)準(zhǔn)的聯(lián)邦金融機(jī)構(gòu)考試委員會(huì)，推薦在客戶上網(wǎng)獲取產(chǎn)品和服務(wù)時(shí)，開(kāi)展網(wǎng)絡(luò)安全衛(wèi)生教育。

以下這些原則也適用于員工，特別是當(dāng)其訪問(wèn)雇主的虛擬專用網(wǎng)絡(luò)時(shí)或使用自己的設(shè)備而不是雇主發(fā)放的設(shè)備時(shí)。

• 以簡(jiǎn)潔易懂的方式解釋公司將如何與員工進(jìn)行聯(lián)系，來(lái)調(diào)查可疑的賬戶活動(dòng)(例如，公司不會(huì)要求員工通過(guò)電話或電子郵件提供其登錄憑證)。
• 員工在使用機(jī)構(gòu)的遠(yuǎn)程訪問(wèn)服務(wù)時(shí)應(yīng)采取的建議措施和謹(jǐn)慎做法。
• 為減輕詐騙詭計(jì)帶來(lái)的風(fēng)險(xiǎn)，技術(shù)和業(yè)務(wù)方面可行的建議措施。
• 提供當(dāng)雇員發(fā)現(xiàn)可疑的賬戶活動(dòng)時(shí)與機(jī)構(gòu)聯(lián)系的方法。

4. 安全監(jiān)控

除了確保正確的人在正確的時(shí)間有正確的訪問(wèn)權(quán)之外，最佳實(shí)踐是始終記錄和監(jiān)測(cè)其使用情況。安全信息和事件管理(SIEM)系統(tǒng)不僅記錄使用情況，而且收集、匯總、分析和關(guān)聯(lián)來(lái)自離散系統(tǒng)和應(yīng)用程序的信息，并利用這些信息來(lái)識(shí)別異?；顒?dòng)，包括內(nèi)部威脅和惡意行為者。

如果推特?fù)碛袕?qiáng)大的安全監(jiān)控程序，它就能近乎實(shí)時(shí)地檢測(cè)到異?；顒?dòng)，并迅速做出響應(yīng)(或根據(jù)風(fēng)險(xiǎn)主動(dòng)終止會(huì)話)。安全團(tuán)隊(duì)?wèi)?yīng)該使用SIEM系統(tǒng)來(lái)監(jiān)控網(wǎng)絡(luò)活動(dòng)，并對(duì)威脅警報(bào)進(jìn)行跟蹤。

無(wú)論采用哪種日志管理方法，機(jī)構(gòu)都應(yīng)該制定流程來(lái)收集、匯總、分析和關(guān)聯(lián)安全信息。安全策略應(yīng)該定義安全和操作日志的保留期限。機(jī)構(gòu)維護(hù)事件日志以了解安全事件或網(wǎng)絡(luò)事件。監(jiān)測(cè)這些事件日志，發(fā)現(xiàn)是否存在異常，并將這些信息與其他信息源進(jìn)行比較，可以增強(qiáng)機(jī)構(gòu)掌握趨勢(shì)、快速應(yīng)對(duì)威脅和改進(jìn)報(bào)告的能力。