美股约500万客户数据泄露,黑客与企业如何攻防?
近期,一个“美股网络券商史考特证券承认被黑,460万客户受影响”的新闻被广泛报道,这是近一周内继
众筹
网站Patreon被黑数据泄露以及千万级T-Mobile客户资料被盗事件之后的第三起被媒体广泛报道的美国网络攻击事件。
值得一提的是,这几起网络安全事件 早在两年前就已发生 。对于T-Mobile服务器被黑事件,其首席执行官John Legere承认“黑客攻陷益佰利公司电脑已长达2年”,而在史考特公司泄密事件中,史考特公司负责人也承认其两年前曾沦为网络攻击的牺牲品。两年前网站遭受攻击为他们埋下的定时炸弹,两年后终于响了。
受泄密事件的影响,T-mobile股价下跌了1.7%,而史考特公司更是名誉受损,在数据泄露报道发出仅数小时后,网络就出现了律师广告:
“消费者有权利与保障信息安全的公司来往,一旦客户数据被盗便会导致身份盗窃及欺诈等犯罪为。”
"近500万史考特客户数据可能被盗,如果你的个人信息在此次事件中被泄露,如果想要对你拥有的权利有更多了解,赶快联系我们吧!”
美国的这几起网络安全事件恰恰为国内那些经常在漏洞众测平台上"榜上有名"的公司和网站拉起了警钟——也许现在还风平浪静,指不定就已经埋下了定时炸弹,如果好好处理网络安全问题,最终炸弹将会被引爆。
只可惜, 国内大部分公司对面网络安全问题都仍处于”亡羊补牢”状态 。认为问题曝出而不是网络安全事件发生,网络安全隐患永远都只是隐患,对问题的处理往往是一拖再拖,甚至当问题被曝光时,只要不是涉及到公司的直接经济利益,往往都是当做公关事件来处理。
事实上,企业发生信息泄露事件会导致企业在公众中的威望和信任度下降,而直接改变客户原有选择倾向。一旦信息泄露事件出现,很可能就使企业失去一大批现有或潜在客户。因此数据信息的安全问题是关乎企业声誉、公众信任、甚至生死存亡的问题。
一般来说,在考虑跟某家公司合作时,如果客户得知这家企业出现过信息泄密事件,都会疑虑“自己的信息能不能得到保障?企业信息安全机制不完善是不是间接反映了整体管理体系的不完善?信息泄密事件是否会直接影响到公司将来的发展和业绩?”,正是在这一系列疑虑的“光晕效应”下,企业千辛万苦建立起来的声誉,公众和合作方对企业的信任感大大降低。
究其原因,还是在于缺乏对网络安全的正确认识, 从个人层面上举个例子,我们每个人都拥有几个到几十个账号密码,许多人在不同网络场合用的是同一个密码,觉得只要不涉及资金,即时被盗也没有关系。
但其实黑客拿到用户的账号密码能用来做的事太多了:
直接售卖给伪造证件者、犯罪组织、垃圾邮件发送商、僵尸网络运营商。而后者则利用这些信息来发送钓鱼邮件、实施诈骗、发送垃圾邮件等方式来获取更多利益,或是通过拖库、撞库、社工等手段不断挖掘用户其他账号中任何有价值的信息和资料。
犯罪分子之间通过交换他们获取的用户信息,能够得到某些用户更完整的信息,对一个人了解越多,就越有可能造成更大的伤害。
史考特证券公司在此次泄露事件发表声明中表示,攻击者的目标是“客户姓名与街道地址的列表”。那么我们是否能猜想,当这些客户姓名和地址的数据到了犯罪分子的手中,会造成怎样的危害呢?细思极恐。
对于企业,单从弱口令问题就足以看出企业网络安全管理水平,很多企业中充斥着不安全的密码使用习惯,员工在内网系统中使用极其简单的密码甚至直接使用初始密码,这些都是网络安全意识不足的表现。各个漏洞众测平台每天都曝光着弱口令的问题,但我们都知道那只是冰山一角。
尽管如此,大部分企业的主要负责人对此问题并没有意识,一些单位的老总自己都在使用弱密码,在许多企业中有不少年纪较大的人,对他们硬性要求使用强密码非常难,太复杂了确实记不住,网络管理部门又没资格对其采取什么措施,最终只能维持现状。这种情况只有当安全隐患变成问题彻底爆发,各部门才纷纷出来充当“救火队员”,但这时,信息泄露对企业的损害已经无可挽回。
值得庆幸的是,随着生物识别技术的发展和普及,原本那些看似只能从管理层面解决的问题,如今都已经可以通过技术手段得以解决。“用人脸、声音、指纹等生物特征来替代密码用来登录企业内部各个系统”,这一设想已随着"洋葱令牌"的问世而成为现实。通过在内网部署"洋葱令牌"可以使得内网系统的所有登录环节全部使用生物特征进行验证,整个环节中不使用密码,从根本上杜绝了泄露的发生。
从长远看来,生物特征识别必定是会取代现在的密码体系,但在大部分的企业仍使用单一账号密码体系的今天,短时间内要改变现状,尽可能消除安全隐患的唯一办法仍只有加大安全投入:
对于防范外部攻击,合理部署防入侵系统,做好入侵检测等;
对于内部员工不当的密码使用习惯,除了加强制度的管理和安全培训外,定期扫描弱口令、通过堡垒机做登陆线上服务器权限的控制等方式都可以起到不少的作用。
当然企业也可以直接尝试在内网部署类似”洋葱令牌“这样的生物特征验证。这些措施其实真正实施起来,并不需要投入多少成本,但是却能大幅降低企业的网络安全风险,创造潜在的价值。
网络攻防永远是一个场拉锯战,是攻击成本和防御成本的较量,作为防御方,企业能做的是在安全成本有限的情况下尽可能提高入侵者的攻击成本。
而对于普通网民来说,养成一个好的网络使用习惯是有必要的,因为 无论是企业还是个人,攻击者永远都是"挑软的捏”。