技術上最牛,科技大廠卻為何也難逃“被黑”的命運?
科技公司以技術著稱,本應該最懂得如何對抗黑客。但是一連串的黑客攻擊事件表明,就連這些科技大廠也存在薄弱環節,尤其是人。就在最近,打車巨頭Uber和《盜獵車手6》遊戲開發商Rockstar Games都披露了影響其運營的重大黑客攻擊事件。今年,已經有多家公司成為了黑客攻擊的受害者,其中包括目前世界上一些最擅長技術的公司,例如芯片巨頭英偉達、身份驗證公司okta。
薄弱的“護城河”
傳統上,企業採用的是一種“城堡與護城河”的網絡安全模型。網絡外的任何人都無法訪問內部數據,但網絡內的每個人都可以。企業的內部網絡可以想像成城堡,網絡邊界可以想像成護城河。一旦吊橋被降低且有人穿過它,他們就可以在城堡內自由行動。
“我們只是在城堡周圍建了一條巨大的護城河。一旦你突破了護城河,你就進去了。”高盛前首席技術官鮑伊·哈特曼(Boe Hartman)表示。他在高盛領導的團隊建立了消費者銀行基礎設施,使得蘋果的信用卡及其引以為自豪的隱私功能成為可能。
當企業網絡主要由物理連接在辦公大樓裡的個人電腦組成時,這種外圍安全是有意義的。但是如今,從個人移動設備、家用電腦到雲服務和物聯網設備,各種各樣的設備、員工和外部合同工以越來越多的方式連接到企業系統。僅僅依靠保護每一個可能連接到公司係統的設備和賬戶不僅困難,而且往往是災難性的,因為攻擊者只需攻破一個門就能進入整個系統。
以Uber為例,攻擊者使用被霸占的合同工賬戶進入了內部系統,在一個全公司使用的Slack頻道上發布消息,並接管了一個用於與安全研究人員溝通的賬戶。Uber不得不暫時中斷對內部通信系統的訪問。Uber在上週一發表的聲明中稱,公司沒有發現任何跡象表明黑客訪問了用戶賬戶或Uber用於存儲敏感用戶信息的數據庫。
這些黑客攻擊的共同點在於,他們通過欺騙目標公司內部人員或與目標公司關係密切的人,讓他們交出網絡接入證書或其他關鍵信息,這種技術被稱為“社會工程”。以Uber為例,該公司表示,黑客觸發了自動生成的訪問請求,導致一名合同工的手機受到了垃圾郵件的騷擾,最終批准了一項請求。其他例子還包括偽造的“網絡釣魚”電子郵件,誘騙員工將登錄憑證發送給攻擊者。
零信任
現在,科技公司得出了一個引人注意的結論:自特洛伊戰爭以來,安全領域最薄弱的環節就是人類。他們越來越多地採取了一種新的安全方法:不相信任何人。
這種理念被稱為“零信任架構”,假定無論一家企業的外部防禦系統多麼強大,黑客都能侵入。因此,企業需要確保即使是網絡內的用戶也不會造成嚴重破壞。
美國及全球每周平均遭到的網絡攻擊數量
其實,許多指導工程師構建零信任系統的設計原則都很容易理解。如果你發現自己最近不得不更頻繁地登錄公司係統或銀行網站,這就是一種“零信任”策略,即定期“輪換”證書,從而允許人和電腦訪問其他系統。其理念是,即使攻擊者進入了你的賬戶,他們也只有有限的時間進行破壞。
另一個被稱為“行為分析”的零信任原則是,軟件應該監控網絡上人們的行為,並標記出任何做了不尋常事情的人,比如試圖從銀行取一大筆錢。例如,當你去一個新城市旅行時,如果發生了一筆不符合你一貫風格的信用卡購物,銀行就會給你發短信,這也是基於同樣的分析。
Google超前部署
雖然許多企業現在才採用真正的零信任系統,但安全行業對信任問題的討論已經持續了十多年。
其中一家公司很早就意識到城牆和護城河已無法提供足夠的保護,它就是Google。在2009年吸取了網絡安全教訓後,Google開始部署自主版本的零信任系統,並將其稱為BeyondCorp。
Google發言人說,該公司的防禦方法適用於IT系統的所有部分:用戶、設備、應用和服務,不考慮所有權、物理或網絡位置。所有這些因素都會被以同樣固有的懷疑態度對待。自然地,Google也把它變成了一種產品,供那些為其云服務付費的公司使用。
弊端
哈特曼稱,為一家公司現有的IT基礎設施創建一個從上到下的零信任架構需要公司最高層領導的承諾,最終可能需要對其係統進行本質上的內部改造。哈特曼目前是醫療創業公司Nomi Health的聯合創始人。
在遭到攻擊的幾個月前,美國市值最高的半導體公司英偉達發布了一款名為Morpheus的數字指紋工具,可在英偉達的硬件上運行。它使用人工智能每週分析數千億的用戶行為,並在用戶似乎在做一些不尋常的和潛在高風險的事情時標記實例。例如:一個通常使用Microsoft Office的用戶突然試圖訪問公司源代碼所在的工具和存儲庫。
因此,英偉達對“零信任”是略知一二的。然而,今年3月,它的系統還是遭到了攻擊。在這之後,英偉達CEO黃仁勳(Jensen Huang)表示,這一事件給英偉達敲響了警鐘,並誓言要加速擁抱零信任架構。
黃仁勳稱攻擊事件敲醒警鐘
然而,推出“零信任”系統並非沒有缺點,包括它可能會限制工程師的工作效率,因為他們都希望獲得盡可能多的訪問系統。英偉達企業計算副總裁賈斯汀·博伊坦諾(Justin Boitano)表示,要在安全和可訪問性之間取得平衡,就意味著安全團隊和他們服務的員工之間要不斷進行對話。他補充說,這是有幫助的,其CEO黃仁勳在3月的攻擊後直言不諱地點出了網絡安全問題,“員工們似乎明白了,我們現在生活在一個新世界裡,你的網絡中可能有壞人”。
哈特曼指出,這種變化的廣度意味著重建舊系統的公司需要設定優先級,首先要保護他們的掌上明珠:源代碼、其他知識產權、客戶信息等等。在這之後,他們可以通過系統的其他部分進行工作。微軟企業安全副總裁瓦蘇·賈卡爾(Vasu Jakkal)指出,這種挑戰的規模從一定程度上解釋了為什麼只有22%的公司實施了多重認證,儘管這是最好的一線網絡訪問防禦措施之一。
就連“零信任”的支持者也承認,“零信任”不是靈丹妙藥,這在很大程度上是因為它需要花費大量的時間和努力才能做到。但是在一個監管機構、股東和客戶都準備讓企業及其領導者為黑客攻擊和數據洩露負責,攻擊者比以往任何時候都更機智、更激進的世界裡,企業可能沒有太多選擇,他們必須致力於讓自己變得不那麼脆弱。
“在新的世界裡,你必須假設你的網絡上總是會有壞人,”英偉達的博伊坦諾表示,“問題是你如何保護你的資源和公司的知識產權。”