面臨黑客攻擊，我們只能自求多福？

• 生活總是美好的，即便是虛假的美好；
• 無處不在的網(wǎng)絡(luò)，讓我們在無拘無束的網(wǎng)絡(luò)世界中隨時隨地暢游；
• 但你的一舉一動、一言一行也同時被監(jiān)視著、記錄著，甚至交易著……
• 黑客攻擊、服務(wù)停滯、數(shù)據(jù)失竊，是無數(shù)企業(yè)難以言說的痛；
• 信息安全問題，是牌匾上凌厲的“生人勿近”；
• 一旦遭遇，企業(yè)就只能自求多福？！

　　恐怖片里，兇手作案的地點可以是Party、電影院、馬路上，但更多的時間，兇案往往發(fā)生在被害者家中；現(xiàn)實世界中，企業(yè)面臨的安全威脅種類繁多，但真正的危險，是企業(yè)以為自己本身足夠安全，殊不知威脅早已滲入內(nèi)部，伺機而動。

　　全球最大的婚外戀網(wǎng)站Ashely Madison被黑，多國政客及許多世界頂級公司的高管也名列其中，隨后他們相繼離職，雖是一時的心猿意馬，但信息安全問題使他們身敗名裂。

　　美國零售商巨頭Target 2013年才剛在九月拿到PCI-DSS合規(guī)認(rèn)證，但在11月就被攻擊，并在兩個月內(nèi)約有1.1億用戶數(shù)據(jù)遭到泄露，其中不僅包括用戶個人信息，甚至連神秘的卡后三位數(shù)字也昭然若揭，買賣信息及盜刷一時點燃了整個黑市的熱情，最終Target CEO引咎辭職，但企業(yè)數(shù)據(jù)泄漏對用戶的影響還在持續(xù)。

　　也不是只有普通的企業(yè)表示對信息安全問題很是無奈，就連”黑市“也上演著一幕幕黑吃黑的戲碼。意大利Hacking Team 雖以黑客專家自稱，但也不慎反遭同行黑入數(shù)據(jù)庫，導(dǎo)致大量軍火數(shù)據(jù)外泄，這次信息安全問題是否會照入現(xiàn)實引起戰(zhàn)爭浩劫，讓人不敢深思。

　　每年IBM X-Force報告都會總結(jié)出最新的安全趨勢和威脅信息，而在2015年度前兩個季度發(fā)布的報告來看，企業(yè)現(xiàn)階段面臨的信息安全問題無非就是來自外部和內(nèi)部，雖然源頭不同，表現(xiàn)形式不一，但對企業(yè)來說，同樣致命。

　　外部——危機重重：

　　從IBM X-Force第一季度的報告可以看出，企業(yè)正處在一個水深火熱的網(wǎng)絡(luò)世界之中，2014年大部分的安全事件活動主要都圍繞三個領(lǐng)域展開：數(shù)字世界隱私、基礎(chǔ)漏洞和安全基礎(chǔ)知識缺乏。

　　數(shù)字世界隱私：企業(yè)在某種程度上信任通信和數(shù)據(jù)儲存服務(wù)供應(yīng)商，認(rèn)為他們已經(jīng)采取了足夠的安全防護來保障隱私。但是2014年頻發(fā)的安全事件卻證實，盡管主要安全入口點已得到妥善保護，但外部攻擊者依然會設(shè)法尋找其他方法進行攻擊。例如：用戶儲存在云上的敏感照片遭受曝光。單純的用戶總是善良地用簡單強關(guān)聯(lián)的字符作為登陸網(wǎng)站的密碼，而躲在暗處的黑客洞悉這一切后，通過暴力破解可輕松盜取照片，大庭廣眾之下“曬成就”。

　　基礎(chǔ)漏洞：互聯(lián)網(wǎng)上有超過10億個網(wǎng)站，這一數(shù)字還在逐日遞增。但大多數(shù)網(wǎng)站都依賴相同的操作系統(tǒng)、開源庫和內(nèi)容管理系統(tǒng)（CMS）軟件，這將企業(yè)曝露在戰(zhàn)火之中，因為一旦有安全漏洞披露，這影響的不僅是一個基礎(chǔ)系統(tǒng)，而是千千萬萬個，導(dǎo)致大量網(wǎng)站遭到利用。對幾乎所有的網(wǎng)站而言，外部攻擊者都可以利用基礎(chǔ)漏洞，發(fā)布惡意軟件或僵尸程序，大規(guī)模感染企業(yè)服務(wù)器。

　　安全基礎(chǔ)知識缺乏：密碼是獲取信息的通關(guān)密語，同樣也是遭受攻擊的軟肋。至今為止，密碼還是導(dǎo)致企業(yè)數(shù)據(jù)泄漏的一個主要因素。無論是可預(yù)測的弱密碼，還是反復(fù)在多個站點使用的重復(fù)密碼都讓外部攻擊這有機可乘。當(dāng)然，還有部分企業(yè)中仍在使用默認(rèn)密碼，去年大批零售企業(yè)信息的泄漏就是攻擊者通過遠(yuǎn)程方式訪問銷售點的POS機，輕松截取信息�？梢钥闯�，更改默認(rèn)賬戶密碼等基本安全措施仍未得到充分實施。

　　內(nèi)部——防不勝防：

　　不管是無心之過還是蓄意而為，內(nèi)部威脅都有可能會對企業(yè)最具價值的資產(chǎn)造成巨大的破壞。

　　近幾年垃圾電子郵件逐漸成為破壞者傳播惡意軟件的渠道，并開始嘗試?yán)�用惡意軟件入侵機器。企業(yè)內(nèi)部危險意識不強的員工，可能在有意無意間點開網(wǎng)絡(luò)釣魚電子郵件中發(fā)送的惡意鏈接，而間接幫了攻擊者的忙；

　　對于大部分企業(yè)來說，“內(nèi)部威脅”曾經(jīng)意味著心懷不滿或粗心大意的員工對公司的物理或電子資產(chǎn)造成的傷害。 隨著過去十年間企業(yè)間諜活動不斷升級，現(xiàn)在要保護資產(chǎn)的安全，還需要考慮到各種各樣的情況。比如當(dāng)有情緒的員工離職后很可能出現(xiàn)嚴(yán)重的數(shù)據(jù)外泄事件，離職員工在離開公司前可能已建好了“后門”，一旦他進入了新公司就可能會啟用這個后門，從外部訪問隱藏的賬戶或敏感數(shù)據(jù)。

　　當(dāng)然，還有那些“準(zhǔn)公司內(nèi)部人員”，像受信任的第三方承包商也極有可能成為安全事件的罪魁禍?zhǔn)�。這些人員并不固定，比如電工、建筑工人、電話維修人員等。Target數(shù)據(jù)泄漏事件的原因就是因為濫用了這種第三方訪問權(quán)限，使得攻擊者有機會常常盜取憑據(jù)并得以訪問網(wǎng)絡(luò)。

　　無論是事件發(fā)生頻率及數(shù)量的急速增長，還是企業(yè)內(nèi)外威脅交加，信息安全問題已是各企業(yè)現(xiàn)在面臨的最為嚴(yán)重的疫情，如同2003年的SARS悄無聲息卻致命地迅速在企業(yè)間蔓延。那么，這場疫情的特效藥是什么？

　　確定企業(yè)的核心資產(chǎn)并加強保護+提升企業(yè)全面的安全架構(gòu)能力

　　核心資產(chǎn)的確定需要因行業(yè)與企業(yè)特性不同，而在安全架構(gòu)能力提升方面，以下建議或許對企業(yè)有幫助：IBM X-Force研究與開發(fā)團隊于日前公布的2012年至2014年安全事件回顧報告提到了惡意份子的攻擊手法與對象已從早期的金融詐欺轉(zhuǎn)變?yōu)椴环中袠I(yè)的進階持續(xù)性滲透(Advanced Persistent Threat；APT)攻擊，因此，傳統(tǒng)的安全防護架構(gòu)將無法有效抵御、防堵安全威脅，建議企業(yè)從安全治理(Security Intelligence & GRC)、生命周期管理(Identify Lifecycle)、數(shù)據(jù)(Data)、應(yīng)用(Application)與基礎(chǔ)架構(gòu)(Infrastructure)等五個面向著手打造安事件管理平臺(Security Information Event Management；SIEM)，有效偵測與防堵各式安全威脅：

　　安全治理：透過整合IBM X-Force威脅分析服務(wù)(XFTAS)等多種功能服務(wù)的IBM QRadar落實風(fēng)險管理、弱點管理、配置管理、事件管理與可視化管理，有效防堵大型的分散式APT等攻擊；

　　權(quán)限生命周期管理：透過IBM Identity and Access Management定期為關(guān)鍵數(shù)據(jù)庫等系統(tǒng)更新密碼，以及依據(jù)員工自動調(diào)整帳號權(quán)限；

　　數(shù)據(jù)管理：以Guardium database安全及稽核工具結(jié)合IBM QRadar偵測并分析當(dāng)前活動是否涉及任何安全威脅；

　　應(yīng)用程序查漏：IBM AppScan檢測應(yīng)用程式原始碼與應(yīng)用程式框架安全性，并且針對Web應(yīng)用程式進行弱點掃描以及提供安全漏洞評估與安全建議；

　　基礎(chǔ)架構(gòu)保護：透過IBM Security Guardium確保數(shù)據(jù)庫的數(shù)據(jù)資料安全，并透過IBM Network and Endpoint Protection保障網(wǎng)路設(shè)備與終端設(shè)備的安全性。