上周披露的美國醫療保險商Anthem被入侵一事，可能是有史以來最大的一起醫療信息泄露事件。超過8000萬個人信息被盜，包括當前和以前的保險客戶和員工。

據美聯社報道，黑客至少利用了Anthem五名內部員工的系統口令。Anthem自己則聲稱，至少有一名管理員權限的賬戶被黑客入侵，因為該賬戶的所有者發現他的賬戶被用來查詢系統的數據庫。那么，黑客是有可能是從哪里開始入侵呢?

我們來看看職業社交網站LinkedIn上的情況。

在LinkedIn上查找Anthem，可迅速找到上百條其員工信息，包括高管、系統架構師和數據庫管理員，并可從中輕易發現Anthem使用的數據庫是TeraData，并且得到這些人員的個人信息包括郵件用做釣魚攻擊。

無論是通過瀏覽器漏洞，還是使用惡意軟件作為郵件附件，一旦釣魚攻擊成功，再進一步拿到受害者的系統賬號得以訪問內部數據庫就很簡單了。也許報道上所稱的“高端精密的惡意軟件”就是用來進釣魚攻擊的，因為針對受害者進行定制化攻擊，因此避開大多數防病毒軟件的檢測并不是件難事。

值得注意的是，黑客得以進入系統的關鍵點在于，Anthem并未設置額外的認證機制，僅憑一個登錄口令或一個Key就能夠以管理員權限訪問整個數據庫。客觀的說，Anthem最主要的安全失誤不是缺少數據加密，而是不正確的訪問控制。實際上用戶的數據也沒有加密，否則即便攻擊者拿到管理員權限的賬戶也無濟于事。要知道TeraData本身就提供了數種安全機制，包括加密和數據屏蔽功能。因此很可能，漏洞并不出在軟件本身，而是基于業務和運營需要所做的系統及訪問控制的安全策略問題。

訪問控制的懈怠是今天許多機構都普遍存在的問題，它不僅會增加外部釣魚攻擊的風險，同樣也是嚴重的內部威脅，高級別用戶的一些簡單錯誤就會引發。Anthem并非個例。

“過于強調來自外部的攻擊防御、以及服務器區的安全加強等，忽略入侵路徑載體之內網的各種終端、忽略業務及應用與載體的融合，是導致各種安全威脅不知不覺發生的一個重要因素。訪問控制需要增加來自終端的合法性、合規性的策略管理，在終端入網前把安全威脅降到最低。”--畫方科技CEO劉正海

還有一個因素也應當引起企業的重視，數據庫活動的監控。試想，如果管理員沒有發現他的登錄憑證被盜用，則泄露的數據會更多，造成的損失會更大，事件處理起來會更加困難。