技術上最牛,科技大廠為何也難逃“被黑”的命運?

語言: CN / TW / HK

北京時間 9 月 26 日訊息,科技公司以技術著稱,本應該最懂得如何對抗黑客。但是一連串的黑客攻擊事件表明, 就連這些科技大廠也存在薄弱環節,尤其是人

▲ 人成為黑客攻擊的薄弱環節

就在最近,打車巨頭 Uber 和《GTA6》遊戲開發商 Rockstar Games 都披露了影響其運營的重大黑客攻擊事件。今年,已經有多家公司成為了黑客攻擊的受害者, 其中包括目前世界上一些最擅長技術的公司 ,例如晶片巨頭英偉達、身份驗證公司 okta。

薄弱的“護城河”

傳統上,企業採用的是一種“城堡與護城河”的網路安全模型。網路外的任何人都無法訪問內部資料,但網路內的每個人都可以。企業的內部網路可以想象成城堡,網路邊界可以想象成護城河。一旦吊橋被降低且有人穿過它,他們就可以在城堡內自由行動。

我們只是在城堡周圍建了一條巨大的護城河。一旦你突破了護城河,你就進去了 。”高盛前首席技術官鮑伊・哈特曼 (Boe Hartman) 表示。他在高盛領導的團隊建立了消費者銀行基礎設施,使得蘋果的信用卡及其引以為自豪的隱私功能成為可能。

當企業網路主要由物理連線在辦公大樓裡的個人電腦組成時,這種外圍安全是有意義的。但是如今,從個人移動裝置、家用電腦到雲服務和物聯網裝置,各種各樣的裝置、員工和外部合同工以越來越多的方式連線到企業系統。僅僅依靠保護每一個可能連線到公司系統的裝置和賬戶不僅困難,而且往往是災難性的,因為攻擊者只需攻破一個門就能進入整個系統。

▲ Uber 遭到網路攻擊

以 Uber 為例, 攻擊者使用被霸佔的合同工賬戶進入了內部系統 ,在一個全公司使用的 Slack 頻道上釋出訊息,並接管了一個用於與安全研究人員溝通的賬戶。Uber 不得不暫時中斷對內部通訊系統的訪問。Uber 在上週一發表的宣告中稱,公司沒有發現任何跡象表明黑客訪問了使用者賬戶或 Uber 用於儲存敏感使用者資訊的資料庫。

這些黑客攻擊的共同點在於, 他們通過欺騙目標公司內部人員或與目標公司關係密切的人,讓他們交出網路接入證書或其他關鍵資訊 ,這種技術被稱為“社會工程”。以 Uber 為例,該公司表示,黑客觸發了自動生成的訪問請求,導致一名合同工的手機受到了垃圾郵件的騷擾,最終批准了一項請求。其他例子還包括偽造的“網路釣魚”電子郵件,誘騙員工將登入憑證傳送給攻擊者。

零信任

現在,科技公司得出了一個引人注意的結論: 自特洛伊戰爭以來,安全領域最薄弱的環節就是人類 。他們越來越多地採取了一種新的安全方法: 不相信任何人

這種理念被稱為“零信任架構”,假定無論一家企業的外部防禦系統多麼強大,黑客都能侵入。因此,企業需要確保即使是網路內的使用者也不會造成嚴重破壞。

▲ 美國及全球每週平均遭到的網路攻擊數量

其實,許多指導工程師構建零信任系統的設計原則都很容易理解。如果你發現自己最近不得不更頻繁地登入公司系統或銀行網站,這就是一種“零信任”策略,即定期“輪換”證書,從而允許人和電腦訪問其他系統。其理念是,即使攻擊者進入了你的賬戶,他們也只有有限的時間進行破壞。

另一個被稱為“行為分析”的零信任原則是,軟體應該監控網路上人們的行為,並標記出任何做了不尋常事情的人,比如試圖從銀行取一大筆錢。例如,當你去一個新城市旅行時,如果發生了一筆不符合你一貫風格的信用卡購物,銀行就會給你發簡訊,這也是基於同樣的分析。

谷歌超前部署

雖然許多企業現在才採用真正的零信任系統,但安全行業對信任問題的討論已經持續了十多年。

其中一家公司很早就意識到城牆和護城河已無法提供足夠的保護,它就是谷歌。在 2009 年吸取了網路安全教訓後, 谷歌開始部署自主版本的零信任系統,並將其稱為 BeyondCorp

▲ 谷歌很早就部署“零信任”系統

谷歌發言人說,該公司的防禦方法適用於 IT 系統的所有部分:使用者、裝置、應用和服務,不考慮所有權、物理或網路位置。所有這些因素都會被以同樣固有的懷疑態度對待。自然地,谷歌也把它變成了一種產品,供那些為其雲服務付費的公司使用。

弊端

哈特曼稱,為一家公司現有的 IT 基礎設施建立一個從上到下的零信任架構需要公司最高層領導的承諾, 最終可能需要對其系統進行本質上的內部改造 。哈特曼目前是醫療創業公司 Nomi Health 的聯合創始人。

在遭到攻擊的幾個月前,美國市值最高的半導體公司英偉達釋出了一款名為 Morpheus 的數字指紋工具,可在英偉達的硬體上執行。它使用人工智慧每週分析數千億的使用者行為,並在使用者似乎在做一些不尋常的和潛在高風險的事情時標記例項。例如:一個通常使用 Microsoft Office 的使用者突然試圖訪問公司原始碼所在的工具和儲存庫。

因此,英偉達對“零信任”是略知一二的。然而,今年 3 月,它的系統還是遭到了攻擊。在這之後,英偉達 CEO 黃仁勳 (Jensen Huang) 表示, 這一事件給英偉達敲響了警鐘,並誓言要加速擁抱零信任架構

▲ 黃仁勳稱攻擊事件敲醒警鐘

然而,推出“零信任”系統並非沒有缺點, 包括它可能會限制工程師的工作效率 ,因為他們都希望獲得儘可能多的訪問系統。英偉達企業計算副總裁賈斯汀・博伊坦諾 (Justin Boitano) 表示,要在安全和可訪問性之間取得平衡,就意味著安全團隊和他們服務的員工之間要不斷進行對話。他補充說,這是有幫助的,其 CEO 黃仁勳在 3 月的攻擊後直言不諱地點出了網路安全問題,“員工們似乎明白了,我們現在生活在一個新世界裡,你的網路中可能有壞人”。

哈特曼指出,這種變化的廣度意味著重建舊系統的公司需要設定優先順序,首先要保護他們的掌上明珠: 原始碼、其他智慧財產權、客戶資訊等等 。在這之後,他們可以通過系統的其他部分進行工作。微軟企業安全副總裁瓦蘇・賈卡爾 (Vasu Jakkal) 指出,這種挑戰的規模從一定程度上解釋了為什麼只有 22% 的公司實施了多重認證,儘管這是最好的一線網路訪問防禦措施之一。

就連“零信任”的支持者也承認,“零信任”不是靈丹妙藥,這在很大程度上是因為它需要花費大量的時間和努力才能做到。但是在一個監管機構、股東和客戶都準備讓企業及其領導者為黑客攻擊和資料洩露負責,攻擊者比以往任何時候都更機智、更激進的世界裡,企業可能沒有太多選擇,他們必須致力於讓自己變得不那麼脆弱。

“在新的世界裡,你必須假設你的網路上總是會有壞人,”英偉達的博伊坦諾表示,“問題是你如何保護你的資源和公司的智慧財產權。”

「其他文章」