近期，一個“美股網(wǎng)絡(luò)券商史考特證券承認(rèn)被黑，460萬客戶受影響”的新聞被廣泛報(bào)道，這是近一周內(nèi)繼眾籌網(wǎng)站Patreon被黑數(shù)據(jù)泄露以及千萬級T-Mobile客戶資料被盜事件之后的第三起被媒體廣泛報(bào)道的美國網(wǎng)絡(luò)攻擊事件。

值得一提的是，這幾起網(wǎng)絡(luò)安全事件早在兩年前就已發(fā)生。對于T-Mobile服務(wù)器被黑事件，其首席執(zhí)行官John Legere承認(rèn)“黑客攻陷益佰利公司電腦已長達(dá)2年”，而在史考特公司泄密事件中，史考特公司負(fù)責(zé)人也承認(rèn)其兩年前曾淪為網(wǎng)絡(luò)攻擊的犧牲品。兩年前網(wǎng)站遭受攻擊為他們埋下的定時(shí)炸彈，兩年后終于響了。

受泄密事件的影響，T-mobile股價(jià)下跌了1.7%，而史考特公司更是名譽(yù)受損，在數(shù)據(jù)泄露報(bào)道發(fā)出僅數(shù)小時(shí)后，網(wǎng)絡(luò)就出現(xiàn)了律師廣告：

“消費(fèi)者有權(quán)利與保障信息安全的公司來往，一旦客戶數(shù)據(jù)被盜便會導(dǎo)致身份盜竊及欺詐等犯罪為?！?/span>

"近500萬史考特客戶數(shù)據(jù)可能被盜，如果你的個人信息在此次事件中被泄露，如果想要對你擁有的權(quán)利有更多了解，趕快聯(lián)系我們吧！”

美國的這幾起網(wǎng)絡(luò)安全事件恰恰為國內(nèi)那些經(jīng)常在漏洞眾測平臺上"榜上有名"的公司和網(wǎng)站拉起了警鐘——也許現(xiàn)在還風(fēng)平浪靜，指不定就已經(jīng)埋下了定時(shí)炸彈，如果好好處理網(wǎng)絡(luò)安全問題，最終炸彈將會被引爆。

只可惜，國內(nèi)大部分公司對面網(wǎng)絡(luò)安全問題都仍處于”亡羊補(bǔ)牢”狀態(tài)。認(rèn)為問題曝出而不是網(wǎng)絡(luò)安全事件發(fā)生，網(wǎng)絡(luò)安全隱患永遠(yuǎn)都只是隱患，對問題的處理往往是一拖再拖，甚至當(dāng)問題被曝光時(shí)，只要不是涉及到公司的直接經(jīng)濟(jì)利益，往往都是當(dāng)做公關(guān)事件來處理。

事實(shí)上，企業(yè)發(fā)生信息泄露事件會導(dǎo)致企業(yè)在公眾中的威望和信任度下降，而直接改變客戶原有選擇傾向。一旦信息泄露事件出現(xiàn)，很可能就使企業(yè)失去一大批現(xiàn)有或潛在客戶。因此數(shù)據(jù)信息的安全問題是關(guān)乎企業(yè)聲譽(yù)、公眾信任、甚至生死存亡的問題。

一般來說，在考慮跟某家公司合作時(shí)，如果客戶得知這家企業(yè)出現(xiàn)過信息泄密事件，都會疑慮“自己的信息能不能得到保障？企業(yè)信息安全機(jī)制不完善是不是間接反映了整體管理體系的不完善？信息泄密事件是否會直接影響到公司將來的發(fā)展和業(yè)績？”，正是在這一系列疑慮的“光暈效應(yīng)”下，企業(yè)千辛萬苦建立起來的聲譽(yù)，公眾和合作方對企業(yè)的信任感大大降低。

究其原因，還是在于缺乏對網(wǎng)絡(luò)安全的正確認(rèn)識，從個人層面上舉個例子，我們每個人都擁有幾個到幾十個賬號密碼，許多人在不同網(wǎng)絡(luò)場合用的是同一個密碼，覺得只要不涉及資金，即時(shí)被盜也沒有關(guān)系。

但其實(shí)黑客拿到用戶的賬號密碼能用來做的事太多了：

直接售賣給偽造證件者、犯罪組織、垃圾郵件發(fā)送商、僵尸網(wǎng)絡(luò)運(yùn)營商。而后者則利用這些信息來發(fā)送釣魚郵件、實(shí)施詐騙、發(fā)送垃圾郵件等方式來獲取更多利益，或是通過拖庫、撞庫、社工等手段不斷挖掘用戶其他賬號中任何有價(jià)值的信息和資料。

犯罪分子之間通過交換他們獲取的用戶信息，能夠得到某些用戶更完整的信息，對一個人了解越多，就越有可能造成更大的傷害。

史考特證券公司在此次泄露事件發(fā)表聲明中表示，攻擊者的目標(biāo)是“客戶姓名與街道地址的列表”。那么我們是否能猜想，當(dāng)這些客戶姓名和地址的數(shù)據(jù)到了犯罪分子的手中，會造成怎樣的危害呢？細(xì)思極恐。

對于企業(yè)，單從弱口令問題就足以看出企業(yè)網(wǎng)絡(luò)安全管理水平，很多企業(yè)中充斥著不安全的密碼使用習(xí)慣，員工在內(nèi)網(wǎng)系統(tǒng)中使用極其簡單的密碼甚至直接使用初始密碼，這些都是網(wǎng)絡(luò)安全意識不足的表現(xiàn)。各個漏洞眾測平臺每天都曝光著弱口令的問題，但我們都知道那只是冰山一角。

盡管如此，大部分企業(yè)的主要負(fù)責(zé)人對此問題并沒有意識，一些單位的老總自己都在使用弱密碼，在許多企業(yè)中有不少年紀(jì)較大的人，對他們硬性要求使用強(qiáng)密碼非常難，太復(fù)雜了確實(shí)記不住，網(wǎng)絡(luò)管理部門又沒資格對其采取什么措施，最終只能維持現(xiàn)狀。這種情況只有當(dāng)安全隱患變成問題徹底爆發(fā)，各部門才紛紛出來充當(dāng)“救火隊(duì)員”，但這時(shí)，信息泄露對企業(yè)的損害已經(jīng)無可挽回。

值得慶幸的是，隨著生物識別技術(shù)的發(fā)展和普及，原本那些看似只能從管理層面解決的問題，如今都已經(jīng)可以通過技術(shù)手段得以解決。“用人臉、聲音、指紋等生物特征來替代密碼用來登錄企業(yè)內(nèi)部各個系統(tǒng)”，這一設(shè)想已隨著"洋蔥令牌"的問世而成為現(xiàn)實(shí)。通過在內(nèi)網(wǎng)部署"洋蔥令牌"可以使得內(nèi)網(wǎng)系統(tǒng)的所有登錄環(huán)節(jié)全部使用生物特征進(jìn)行驗(yàn)證，整個環(huán)節(jié)中不使用密碼，從根本上杜絕了泄露的發(fā)生。

從長遠(yuǎn)看來，生物特征識別必定是會取代現(xiàn)在的密碼體系，但在大部分的企業(yè)仍使用單一賬號密碼體系的今天，短時(shí)間內(nèi)要改變現(xiàn)狀，盡可能消除安全隱患的唯一辦法仍只有加大安全投入：

對于防范外部攻擊，合理部署防入侵系統(tǒng)，做好入侵檢測等；

對于內(nèi)部員工不當(dāng)?shù)拿艽a使用習(xí)慣，除了加強(qiáng)制度的管理和安全培訓(xùn)外，定期掃描弱口令、通過堡壘機(jī)做登陸線上服務(wù)器權(quán)限的控制等方式都可以起到不少的作用。

當(dāng)然企業(yè)也可以直接嘗試在內(nèi)網(wǎng)部署類似”洋蔥令牌“這樣的生物特征驗(yàn)證。這些措施其實(shí)真正實(shí)施起來，并不需要投入多少成本，但是卻能大幅降低企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，創(chuàng)造潛在的價(jià)值。

網(wǎng)絡(luò)攻防永遠(yuǎn)是一個場拉鋸戰(zhàn)，是攻擊成本和防御成本的較量，作為防御方，企業(yè)能做的是在安全成本有限的情況下盡可能提高入侵者的攻擊成本。

而對于普通網(wǎng)民來說，養(yǎng)成一個好的網(wǎng)絡(luò)使用習(xí)慣是有必要的，因?yàn)?/span>無論是企業(yè)還是個人，攻擊者永遠(yuǎn)都是"挑軟的捏”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。