鳳凰網(wǎng)科技訊 北京時(shí)間9月26日消息，科技公司以技術(shù)著稱，本應(yīng)該最懂得如何對(duì)抗黑客。但是一連串的黑客攻擊事件表明，就連這些科技大廠也存在薄弱環(huán)節(jié)，尤其是人。

就在最近，打車巨頭Uber和《盜獵車手6》游戲開發(fā)商Rockstar Games都披露了影響其運(yùn)營的重大黑客攻擊事件。今年，已經(jīng)有多家公司成為了黑客攻擊的受害者，其中包括目前世界上一些最擅長技術(shù)的公司，例如芯片巨頭英偉達(dá)、身份驗(yàn)證公司okta。

薄弱的“護(hù)城河”

傳統(tǒng)上，企業(yè)采用的是一種“城堡與護(hù)城河”的網(wǎng)絡(luò)安全模型。網(wǎng)絡(luò)外的任何人都無法訪問內(nèi)部數(shù)據(jù)，但網(wǎng)絡(luò)內(nèi)的每個(gè)人都可以。企業(yè)的內(nèi)部網(wǎng)絡(luò)可以想象成城堡，網(wǎng)絡(luò)邊界可以想象成護(hù)城河。一旦吊橋被降低且有人穿過它，他們就可以在城堡內(nèi)自由行動(dòng)。

“我們只是在城堡周圍建了一條巨大的護(hù)城河。一旦你突破了護(hù)城河，你就進(jìn)去了。”高盛前首席技術(shù)官鮑伊哈特曼(Boe Hartman)表示。他在高盛領(lǐng)導(dǎo)的團(tuán)隊(duì)建立了消費(fèi)者銀行基礎(chǔ)設(shè)施，使得蘋果的信用卡及其引以為自豪的隱私功能成為可能。

當(dāng)企業(yè)網(wǎng)絡(luò)主要由物理連接在辦公大樓里的個(gè)人電腦組成時(shí)，這種外圍安全是有意義的。但是如今，從個(gè)人移動(dòng)設(shè)備、家用電腦到云服務(wù)和物聯(lián)網(wǎng)設(shè)備，各種各樣的設(shè)備、員工和外部合同工以越來越多的方式連接到企業(yè)系統(tǒng)。僅僅依靠保護(hù)每一個(gè)可能連接到公司系統(tǒng)的設(shè)備和賬戶不僅困難，而且往往是災(zāi)難性的，因?yàn)楣粽咧恍韫テ埔粋€(gè)門就能進(jìn)入整個(gè)系統(tǒng)。

以Uber為例，攻擊者使用被霸占的合同工賬戶進(jìn)入了內(nèi)部系統(tǒng)，在一個(gè)全公司使用的Slack頻道上發(fā)布消息，并接管了一個(gè)用于與安全研究人員溝通的賬戶。Uber不得不暫時(shí)中斷對(duì)內(nèi)部通信系統(tǒng)的訪問。Uber在上周一發(fā)表的聲明中稱，公司沒有發(fā)現(xiàn)任何跡象表明黑客訪問了用戶賬戶或Uber用于存儲(chǔ)敏感用戶信息的數(shù)據(jù)庫。

這些黑客攻擊的共同點(diǎn)在于，他們通過欺騙目標(biāo)公司內(nèi)部人員或與目標(biāo)公司關(guān)系密切的人，讓他們交出網(wǎng)絡(luò)接入證書或其他關(guān)鍵信息，這種技術(shù)被稱為“社會(huì)工程”。以Uber為例，該公司表示，黑客觸發(fā)了自動(dòng)生成的訪問請(qǐng)求，導(dǎo)致一名合同工的手機(jī)受到了垃圾郵件的騷擾，最終批準(zhǔn)了一項(xiàng)請(qǐng)求。其他例子還包括偽造的“網(wǎng)絡(luò)釣魚”電子郵件，誘騙員工將登錄憑證發(fā)送給攻擊者。

零信任

現(xiàn)在，科技公司得出了一個(gè)引人注意的結(jié)論：自特洛伊戰(zhàn)爭以來，安全領(lǐng)域最薄弱的環(huán)節(jié)就是人類。他們?cè)絹碓蕉嗟夭扇×艘环N新的安全方法：不相信任何人。

這種理念被稱為“零信任架構(gòu)”，假定無論一家企業(yè)的外部防御系統(tǒng)多么強(qiáng)大，黑客都能侵入。因此，企業(yè)需要確保即使是網(wǎng)絡(luò)內(nèi)的用戶也不會(huì)造成嚴(yán)重破壞。

美國及全球每周平均遭到的網(wǎng)絡(luò)攻擊數(shù)量

其實(shí)，許多指導(dǎo)工程師構(gòu)建零信任系統(tǒng)的設(shè)計(jì)原則都很容易理解。如果你發(fā)現(xiàn)自己最近不得不更頻繁地登錄公司系統(tǒng)或銀行網(wǎng)站，這就是一種“零信任”策略，即定期“輪換”證書，從而允許人和電腦訪問其他系統(tǒng)。其理念是，即使攻擊者進(jìn)入了你的賬戶，他們也只有有限的時(shí)間進(jìn)行破壞。

另一個(gè)被稱為“行為分析”的零信任原則是，軟件應(yīng)該監(jiān)控網(wǎng)絡(luò)上人們的行為，并標(biāo)記出任何做了不尋常事情的人，比如試圖從銀行取一大筆錢。例如，當(dāng)你去一個(gè)新城市旅行時(shí)，如果發(fā)生了一筆不符合你一貫風(fēng)格的信用卡購物，銀行就會(huì)給你發(fā)短信，這也是基于同樣的分析。

谷歌超前部署

雖然許多企業(yè)現(xiàn)在才采用真正的零信任系統(tǒng)，但安全行業(yè)對(duì)信任問題的討論已經(jīng)持續(xù)了十多年。

其中一家公司很早就意識(shí)到城墻和護(hù)城河已無法提供足夠的保護(hù)，它就是谷歌。在2009年吸取了網(wǎng)絡(luò)安全教訓(xùn)后，谷歌開始部署自主版本的零信任系統(tǒng)，并將其稱為BeyondCorp。

谷歌發(fā)言人說，該公司的防御方法適用于IT系統(tǒng)的所有部分：用戶、設(shè)備、應(yīng)用和服務(wù)，不考慮所有權(quán)、物理或網(wǎng)絡(luò)位置。所有這些因素都會(huì)被以同樣固有的懷疑態(tài)度對(duì)待。自然地，谷歌也把它變成了一種產(chǎn)品，供那些為其云服務(wù)付費(fèi)的公司使用。

弊端

哈特曼稱，為一家公司現(xiàn)有的IT基礎(chǔ)設(shè)施創(chuàng)建一個(gè)從上到下的零信任架構(gòu)需要公司最高層領(lǐng)導(dǎo)的承諾，最終可能需要對(duì)其系統(tǒng)進(jìn)行本質(zhì)上的內(nèi)部改造。哈特曼目前是醫(yī)療創(chuàng)業(yè)公司Nomi Health的聯(lián)合創(chuàng)始人。

在遭到攻擊的幾個(gè)月前，美國市值最高的半導(dǎo)體公司英偉達(dá)發(fā)布了一款名為Morpheus的數(shù)字指紋工具，可在英偉達(dá)的硬件上運(yùn)行。它使用人工智能每周分析數(shù)千億的用戶行為，并在用戶似乎在做一些不尋常的和潛在高風(fēng)險(xiǎn)的事情時(shí)標(biāo)記實(shí)例。例如：一個(gè)通常使用Microsoft Office的用戶突然試圖訪問公司源代碼所在的工具和存儲(chǔ)庫。

因此，英偉達(dá)對(duì)“零信任”是略知一二的。然而，今年3月，它的系統(tǒng)還是遭到了攻擊。在這之后，英偉達(dá)CEO黃仁勛(Jensen Huang)表示，這一事件給英偉達(dá)敲響了警鐘，并誓言要加速擁抱零信任架構(gòu)。

然而，推出“零信任”系統(tǒng)并非沒有缺點(diǎn)，包括它可能會(huì)限制工程師的工作效率，因?yàn)樗麄兌枷Ｍ@得盡可能多的訪問系統(tǒng)。英偉達(dá)企業(yè)計(jì)算副總裁賈斯汀博伊坦諾(Justin Boitano)表示，要在安全和可訪問性之間取得平衡，就意味著安全團(tuán)隊(duì)和他們服務(wù)的員工之間要不斷進(jìn)行對(duì)話。他補(bǔ)充說，這是有幫助的，其CEO黃仁勛在3月的攻擊后直言不諱地點(diǎn)出了網(wǎng)絡(luò)安全問題，“員工們似乎明白了，我們現(xiàn)在生活在一個(gè)新世界里，你的網(wǎng)絡(luò)中可能有壞人”。

哈特曼指出，這種變化的廣度意味著重建舊系統(tǒng)的公司需要設(shè)定優(yōu)先級(jí)，首先要保護(hù)他們的掌上明珠：源代碼、其他知識(shí)產(chǎn)權(quán)、客戶信息等等。在這之后，他們可以通過系統(tǒng)的其他部分進(jìn)行工作。微軟企業(yè)安全副總裁瓦蘇賈卡爾(Vasu Jakkal)指出，這種挑戰(zhàn)的規(guī)模從一定程度上解釋了為什么只有22%的公司實(shí)施了多重認(rèn)證，盡管這是最好的一線網(wǎng)絡(luò)訪問防御措施之一。

就連“零信任”的支持者也承認(rèn)，“零信任”不是靈丹妙藥，這在很大程度上是因?yàn)樗枰ㄙM(fèi)大量的時(shí)間和努力才能做到。但是在一個(gè)監(jiān)管機(jī)構(gòu)、股東和客戶都準(zhǔn)備讓企業(yè)及其領(lǐng)導(dǎo)者為黑客攻擊和數(shù)據(jù)泄露負(fù)責(zé)，攻擊者比以往任何時(shí)候都更機(jī)智、更激進(jìn)的世界里，企業(yè)可能沒有太多選擇，他們必須致力于讓自己變得不那么脆弱。

“在新的世界里，你必須假設(shè)你的網(wǎng)絡(luò)上總是會(huì)有壞人，”英偉達(dá)的博伊坦諾表示，“問題是你如何保護(hù)你的資源和公司的知識(shí)產(chǎn)權(quán)?！?/p>

（舉報(bào)）