美國網路券商約 500 萬客戶數據洩露,駭客與企業如何攻防?

首圖來源:techbang

近期,一個「美股網路券商史考特證券承認被駭,460 萬客戶受影響」的新聞被廣泛報導,這是最近繼眾籌網站 Patreon 被駭數據洩露以及千萬級 T-Mobile 客戶資料被盜事件之後的第三起被媒體廣泛報導的美國網路攻擊事件。

值得一提的是,這幾起網路安全事件早在兩年前就已發生。對於 T-Mobile 伺服器被駭事件,其首席執行長 John Legere 承認「駭客攻陷益佰利公司電腦已長達 2 年」,而在史考特公司洩密事件中,史考特公司負責人也承認其兩年前曾淪為網路攻擊的犧牲品。兩年前網站遭受攻擊為他們埋下的定時炸彈,兩年後終於響了。

受洩密事件的影響,T-mobile 股價下跌了 1.7%,而史考特公司更是名譽受損,在數據洩露報導發出僅數小時後,網路就出現了律師廣告:

「消費者有權利與保障訊息安全的公司來往,一旦客戶數據被盜便會導致身分盜竊及詐欺等犯罪行為。」近 500 萬史考特客戶數據可能被盜,如果你的個人資訊在此次事件中被洩露,如果想要對你擁有的權利有更多瞭解,趕快聯繫我們吧!」

美國的這幾起網路安全事件恰恰為中國那些經常在漏洞眾測平台上「榜上有名」 的公司和網站拉起了警鐘——也許現在還風平浪靜,說不定已經埋下了定時炸彈,如果不好好處理網路安全問題,最終炸彈將會被引爆。

只可惜,中國大部份公司對面網路安全問題都仍處於「亡羊補牢」狀態。認為問題曝出而不是網路安全事件發生,網路安全隱患永遠都只是隱患,對問題的處理往往是一拖再拖,甚至當問題被曝光時,只要不是涉及到公司的直接經濟利益,往往都是當做公關事件來處理。

Bomb_leiphone1008

(image source :leiphone)

 

事實上,企業發生資訊洩露事件會導致企業在公眾中的威望和信任度下降,而直接改變客戶原有選擇傾向。一旦資訊洩露事件出現,很可能就使企業失去一大批現有或潛在客戶。因此數據訊息的安全問題是關乎企業聲譽、公眾信任、甚至生死存亡的問題。

一般來說,在考慮跟某家公司合作時,如果客戶得知這家企業出現過訊息洩密事件,都會疑慮「自己的資訊能不能得到保障?企業訊息安全機制不完善是不是間接反映了整體管理體系的不完善?訊息洩密事件是否會直接影響到公司將來的發展和業績?」,正是在這一系列疑慮的「光暈效應」下,企業千辛萬苦建立起來的聲譽,公眾和合作方對企業的信任感大大降低。

究其原因,還是在於缺乏對網路安全的正確認識,從個人層面上舉個例子,我們每個人都擁有幾個到幾十個帳號密碼,許多人在不同網路場合用的是同一個密碼,覺得只要不涉及資金,即時被盜也沒有關係。

但其實駭客拿到用戶的帳號密碼能用來做的事太多了:

直接賣給偽造證件者、犯罪組織、垃圾郵件發送商、殭屍網路運營商。而後者則利用這些資訊來發送釣魚郵件、實施詐騙、發送垃圾郵件等方式來獲取更多利益,或是透過入侵網站等手段不斷挖掘用戶其他帳號中任何有價值的資訊和資料。犯罪份子之間透過交換他們獲取的用戶資訊,能夠得到某些用戶更完整的訊息,對一個人瞭解越多,就越有可能造成更大的傷害。

史考特證券公司在此次洩露事件發表聲明中表示,攻擊者的目標是「客戶姓名與街道地址的列表」。那麼我們是否能猜想,當這些客戶姓名和地址的數據到了犯罪份子的手中,會造成怎樣的危害呢?細思極恐。

對於企業,單從弱口令問題就足以看出企業網路安全管理水平,很多企業中充斥著不安全的密碼使用習慣,員工在內網系統中使用極其簡單的密碼甚至直接使用初始密碼,這些都是網路安全意識不足的表現。各個漏洞眾測平台每天都曝光著漏洞的問題,但我們都知道那只是冰山一角。

儘管如此,大部份企業的主要負責人對此問題並沒有意識,一些單位的老總自己都在使用弱密碼,在許多企業中有不少年紀較大的人,對他們硬性要求使用強密碼非常難,太複雜了確實記不住,網路管理部門又沒資格對其採取什麼措施,最終只能維持現狀。這種情況只有當安全隱患變成問題徹底爆發,各部門才紛紛出來充當「救火隊員」,但這時,訊息洩露對企業的損害已經無可挽回。

值得慶幸的是,隨著生物辨識技術的發展和普及,原本那些看似只能從管理層面解決的問題,如今都已經可以透過技術手段得以解決。「用人臉、聲音、指紋等生物特徵來替代密碼用來登錄企業內部各個系統」,這一設想已隨著「洋蔥令牌」的問世而成真。透過在內網部署「洋蔥令牌」可以使得內網系統的所有登錄環節全部使用生物特徵進行驗證,整個環節中不使用密碼,從根本上杜絕洩露的發生。

從長遠看來,生物特徵辨識必定會取代現在的密碼體系,但在大部份的企業仍使用單一帳號密碼體系的今天,短時間內要改變現狀,儘可能消除安全隱患的唯一辦法仍只有加大安全投入:對於防範外部攻擊,合理部署防入侵系統,做好入侵檢測等;對於內部員工不當的密碼使用習慣,除了加強制度的管理和安全培訓外,定期掃瞄弱口令、控制登陸線上伺服器權限的等方式都可以發揮不少作用。

當然企業也可以直接嘗試在內網部署類似「洋蔥令牌」這樣的生物特徵驗證。這些措施真正實施起來,並不需要投入多少成本,但是卻能大幅降低企業的網路安全風險,創造潛在的價值。

網路攻防永遠是一個場拉鋸戰,是攻擊成本和防禦成本的較量,做為防禦方,企業能做的是在安全成本有限的情況下盡可能提高入侵者的攻擊成本。而對於普通網友來說,養成一個好的網路使用習慣是有必要的,因為無論是企業還是個人,攻擊者永遠都是「柿子挑軟的吃」。

 

本文轉載自雷鋒網

文章內容屬作者個人觀點,不代表本站立場

大數聚

透過數據,我們聚集各領域的專家,檢視時下重要議題及產業趨勢。當我們聚在一起,用數據說話,說出有意義、有價值的新觀點。歡迎加入我們,一起用數據看世界。