美股約500萬客戶數據泄露，黑客與企業如何攻防？

近期，一個“美股網絡券商史考特證券承認被黑，460萬客戶受影響”的新聞被廣泛報道，這是近一周內繼眾籌網站Patreon被黑數據泄露以及千萬級T-Mobile客戶資料被盜事件之后的第三起被媒體廣泛報道的美國網絡攻擊事件。

值得一提的是，這幾起網絡安全事件早在兩年前就已發生。對于T-Mobile服務器被黑事件，其首席執行官John Legere承認“黑客攻陷益佰利公司電腦已長達2年”，而在史考特公司泄密事件中，史考特公司負責人也承認其兩年前曾淪為網絡攻擊的犧牲品。兩年前網站遭受攻擊為他們埋下的定時炸彈，兩年后終于響了。

受泄密事件的影響，T-mobile股價下跌了1.7%，而史考特公司更是名譽受損，在數據泄露報道發出僅數小時后，網絡就出現了律師廣告：

“消費者有權利與保障信息安全的公司來往，一旦客戶數據被盜便會導致身份盜竊及欺詐等犯罪為。”

"近500萬史考特客戶數據可能被盜，如果你的個人信息在此次事件中被泄露，如果想要對你擁有的權利有更多了解，趕快聯系我們吧！”

美國的這幾起網絡安全事件恰恰為國內那些經常在漏洞眾測平臺上"榜上有名"的公司和網站拉起了警鐘——也許現在還風平浪靜，指不定就已經埋下了定時炸彈，如果好好處理網絡安全問題，最終炸彈將會被引爆。

只可惜，國內大部分公司對面網絡安全問題都仍處于”亡羊補牢”狀態。認為問題曝出而不是網絡安全事件發生，網絡安全隱患永遠都只是隱患，對問題的處理往往是一拖再拖，甚至當問題被曝光時，只要不是涉及到公司的直接經濟利益，往往都是當做公關事件來處理。

事實上，企業發生信息泄露事件會導致企業在公眾中的威望和信任度下降，而直接改變客戶原有選擇傾向。一旦信息泄露事件出現，很可能就使企業失去一大批現有或潛在客戶。因此數據信息的安全問題是關乎企業聲譽、公眾信任、甚至生死存亡的問題。

一般來說，在考慮跟某家公司合作時，如果客戶得知這家企業出現過信息泄密事件，都會疑慮“自己的信息能不能得到保障？企業信息安全機制不完善是不是間接反映了整體管理體系的不完善？信息泄密事件是否會直接影響到公司將來的發展和業績？”，正是在這一系列疑慮的“光暈效應”下，企業千辛萬苦建立起來的聲譽，公眾和合作方對企業的信任感大大降低。

究其原因，還是在于缺乏對網絡安全的正確認識，從個人層面上舉個例子，我們每個人都擁有幾個到幾十個賬號密碼，許多人在不同網絡場合用的是同一個密碼，覺得只要不涉及資金，即時被盜也沒有關系。

但其實黑客拿到用戶的賬號密碼能用來做的事太多了：

直接售賣給偽造證件者、犯罪組織、垃圾郵件發送商、僵尸網絡運營商。而后者則利用這些信息來發送釣魚郵件、實施詐騙、發送垃圾郵件等方式來獲取更多利益，或是通過拖庫、撞庫、社工等手段不斷挖掘用戶其他賬號中任何有價值的信息和資料。

犯罪分子之間通過交換他們獲取的用戶信息，能夠得到某些用戶更完整的信息，對一個人了解越多，就越有可能造成更大的傷害。

史考特證券公司在此次泄露事件發表聲明中表示，攻擊者的目標是“客戶姓名與街道地址的列表”。那么我們是否能猜想，當這些客戶姓名和地址的數據到了犯罪分子的手中，會造成怎樣的危害呢？細思極恐。

對于企業，單從弱口令問題就足以看出企業網絡安全管理水平，很多企業中充斥著不安全的密碼使用習慣，員工在內網系統中使用極其簡單的密碼甚至直接使用初始密碼，這些都是網絡安全意識不足的表現。各個漏洞眾測平臺每天都曝光著弱口令的問題，但我們都知道那只是冰山一角。

盡管如此，大部分企業的主要負責人對此問題并沒有意識，一些單位的老總自己都在使用弱密碼，在許多企業中有不少年紀較大的人，對他們硬性要求使用強密碼非常難，太復雜了確實記不住，網絡管理部門又沒資格對其采取什么措施，最終只能維持現狀。這種情況只有當安全隱患變成問題徹底爆發，各部門才紛紛出來充當“救火隊員”，但這時，信息泄露對企業的損害已經無可挽回。

值得慶幸的是，隨著生物識別技術的發展和普及，原本那些看似只能從管理層面解決的問題，如今都已經可以通過技術手段得以解決。“用人臉、聲音、指紋等生物特征來替代密碼用來登錄企業內部各個系統”，這一設想已隨著"洋蔥令牌"的問世而成為現實。通過在內網部署"洋蔥令牌"可以使得內網系統的所有登錄環節全部使用生物特征進行驗證，整個環節中不使用密碼，從根本上杜絕了泄露的發生。

從長遠看來，生物特征識別必定是會取代現在的密碼體系，但在大部分的企業仍使用單一賬號密碼體系的今天，短時間內要改變現狀，盡可能消除安全隱患的唯一辦法仍只有加大安全投入：

對于防范外部攻擊，合理部署防入侵系統，做好入侵檢測等；

對于內部員工不當的密碼使用習慣，除了加強制度的管理和安全培訓外，定期掃描弱口令、通過堡壘機做登陸線上服務器權限的控制等方式都可以起到不少的作用。

當然企業也可以直接嘗試在內網部署類似”洋蔥令牌“這樣的生物特征驗證。這些措施其實真正實施起來，并不需要投入多少成本，但是卻能大幅降低企業的網絡安全風險，創造潛在的價值。

網絡攻防永遠是一個場拉鋸戰，是攻擊成本和防御成本的較量，作為防御方，企業能做的是在安全成本有限的情況下盡可能提高入侵者的攻擊成本。

而對于普通網民來說，養成一個好的網絡使用習慣是有必要的，因為無論是企業還是個人，攻擊者永遠都是"挑軟的捏”。

雷峰網原創文章，未經授權禁止轉載。詳情見轉載須知。