《財富》(中文版)——遭到攻擊
2015年夏天,包括科瓦斯·斯懷恩·摩爾國際律師事務所和威嘉律師事務所在內的紐約幾家最受尊崇和信任的律師事務所都遭遇了黑客襲擊。三名黑客欺騙上述幾家律師事務所的合伙人透露其電子郵箱密碼,然后秘密潛入了律師事務所的計算機網絡。在進入合伙人的賬戶后,黑客們攫取了與即將啟動的合并案有關的高度機密文檔。就這樣,來自于半個地球以外的黑客利用非法盜取的信息在股票市場上大賺了400萬美元。
和大多數商業間諜活動的受害者一樣,上述律師事務所都對遭到黑客入侵一事保持沉默。他們害怕會激起其他網絡黑客的敵意,同時破壞自身作為客戶機密保護者的信譽。然而,新聞界后來報道了商業機密泄露的消息,隨后聯邦檢察官和律師事務所自身分別予以了證實。聯邦調查局官員公布了案情,并且宣布將把黑客繩之以法。“這起黑客泄密案應當給全世界的律師事務所敲響了警鐘。”時任駐曼哈頓聯邦檢察官普里特·巴拉拉表示。“一旦有人對你的信息感興趣,你就有可能成為黑客攻擊的目標。”
這起案件本應深深觸動整個美國司法體系,但卻只是再一次強調了企業CEO、董事和網絡安全專家們已經認可的嚴酷事實:今天企業面臨的黑客攻擊威脅遠超以往,并且問題的代價和嚴重性正在與日俱增。
最新的調查數據足以說明問題:思科公司稱,2016年,全球分布式拒絕服務攻擊—一種以垃圾網絡流量淹沒系統服務器的黑客攻擊手段—的數量激增了172%。思科公司預計,到2021年,這一數字還將增長2.5倍,達到每年310萬宗。的確,黑客攻擊的數量一直在穩步上升。互聯網安全公司Nexusguard發布報告稱,在2017年第一季度,DDoS攻擊的數量同比增長了380%。
隨著網絡攻擊的數量和規模不斷增長,企業因之遭受的損失也在日趨嚴重。IBM和Ponemon研究所聯合進行的研究證實,2014年,美國數據泄漏造成的平均損失為585萬美元。而到今年,這一數字預計猛增至735萬美元。公司險保險公司Hiscox今年早些時候發布的報告稱,2016年,網絡犯罪給全球經濟造成了超過4,500億美元的巨額損失。今年5月,WannaCry勒索病毒癱瘓了全球150多個國家的計算機。有人估算總共造成了40億美元損失。
黑客攻擊的受害企業正在逐漸意識到,他們對于可能的攻擊毫無還手之力,哪怕躲在半個地球之外的一個房間里的三名黑客都能夠對他們發起致命打擊。昂貴的數據安全系統和高價的信息安全咨詢服務并不能夠有效地阻絕今天的黑客。他們擁有相應的資源,會持續不斷地發起攻擊,直至攻破防線。例如,在上述紐約市律師事務所的案件中,檢察官稱黑客在7個多月的時間里對目標服務器發起了10多萬次攻擊。
事實已經非常明顯:沒有任何網絡是絕對安全的。企業曾經認為他們能夠抵御攻擊,但是現在他們已經認識到,單純的抵抗盡管不是毫無用處,但其重要性也比不上預先部署的、在攻擊發起時就對入侵黑客進行探測和遏制的計劃。
然而,即便企業對于黑客攻擊具有危機意識,他們的防控舉措也沒有跟上。IBM和Ponemon在去年秋季對2,400名安全和IT專業人士聯合開展了一項調查,調查發現,有多達75%的被調查者稱,他們所在的企業沒有建立正式的網絡安全事件響應計劃。同時,有66%的回復者對于其所在企業在遭受黑客襲擊后的恢復能力不抱信心。
出于同樣原因,網絡犯罪正在迅速蔓延。無論對于消費者和企業,在線服務都變得更加流行,相關技術也更加易得。由于網絡攻擊目標的數量在不斷增長,現成的商業化黑客軟件也在不斷擴散,黑客行為變得比以往更加容易。原本為了便利和利潤而建設起來的互聯網正在將其用戶暴露在新的威脅之下。
另外,這些黑客攻擊案例突出地反映了整個商業環境在數字化時代的變化趨勢。在大多數情況下,技術起到的作用已經遠遠超出了促進企業核心運營的范疇。對于一系列世界上最有價值的企業—從Alphabet到亞馬遜,從Facebook到Uber—其網絡資產實際上已經成為了核心運營本身。
沒有任何美國企業能夠安然置身事外。黑客們已經攻擊了尼曼百貨和家得寶等大型零售商的網絡,以求盜取信用卡和客戶信息,他們還把魔爪伸向了摩根大通等銀行。即便科技公司也似乎無法自保。雅虎在探測和抵御黑客方面表現很差,直接拉低了其將自身出售給威瑞森的售價。一名黑客最近欺騙谷歌和Facebook的會計為其電匯一筆超過1億美元的巨款。一家專業從事安全密碼管服務的新創企業OneLogin最近也被黑客盜取了客戶數據。
這些企業對于黑客攻擊并非毫無準備。據埃森哲估計,2015年,全球企業在防范網絡攻擊上一共付出了840億美元成本。這一數字表明,所有企業都需要保護其數字資產,首先應當了解那些不斷嘗試發起攻擊的黑客是何許人也,以及企業能夠采取的把損失降到最小的防范措施。
新型罪犯
對于那些不了解黑客的企業高管們,這些不懷好意的家伙很是煩人。他們是一群竊賊或者綁匪?當然。同時也可能是一些厚顏無恥的書呆子?CEO們經常很難理解這些黑客的動機。“當高管們發現遭到黑客入侵時,”從事網絡安全投資的風險投資家、前私募基金巨頭黑石公司的首席信息安全官杰伊·利克說,“我常常可以聽到他們大聲嚷道:‘剛才發生了什么?’你不必親自走進一家公司的辦公室就能夠竊取它的機密。”
利克所描述的“厚顏無恥”就是黑客們(盡管流行文化給他們披上了一層神秘的面紗)的真實寫照。實質上,他們和一般的匪徒—比如銀行劫匪—也沒有什么兩樣。然而,黑客的不同之處在于他們很少直接露面。他們生活在“黑暗網絡”(需要特殊瀏覽器才可進入的互聯網匿名空間)的在線論壇里。在這些論壇,黑客們進行著種種非法行徑:侵入企業數據庫、出售盜竊得來的社會安全號碼,或者從沒有節操的企業員工手里收購內部信息。
事實證明,網絡黑客非常善于將成功企業的經營策略為其所用。例如,最近出現了向新手黑客兜售各種黑客工具的趨勢。這很像是半導體公司將其技術授權給設備制造商的策略。安全軟件巨頭賽門鐵克發布的一份報告稱,黑客團伙目前已經開始提供“勒索病毒”許可,這種病毒可以讓計算機陷入癱瘓,從而迫使企業支付贖金,然后黑客團伙再從勒索到的贖金中分成。
這種明目張膽的違法犯罪行徑看上去很像是高效率的公司經營行為。“網絡黑客不再需要完成具體犯罪所需的所有技能,”曾經負責紐約南區復雜欺詐及網絡犯罪部門的前聯邦副檢察官妮科爾·弗里德蘭德表示。“他們開始在線雇傭具有這種技能的其他黑客,然后合伙犯罪。”在這種情況下,黑客已經成為了類似醫師或律師的服務供應商。弗里德蘭德于去年加入了Sullivan &Cromwell律師事務所的紐約分所。
然而,并非所有黑客都是自由職業者。事實上,當今某些最為危險的黑客組織是由國家機器所支持,或者至少由政府進行監管。其中包括據信于去年侵入民主黨全國委員會網絡的俄羅斯黑客,以及被指出于金錢目的散布WannaCry勒索病毒的朝鮮黑客團隊。
如何防御
今年3月初,共享出行巨頭Uber的信息安全團隊突然忙碌起來:一名Uber員工報告發現了一封可疑電子郵件后,整個公司上下都發現了如潮水般的可疑郵件。
Uber的數據庫中保存有世界各地千百萬用戶的電子郵箱地址和個人信息,因此這家公司對于數據安全十分重視,與此同時,這家公司還是敏感數據的保管者。2014年,Uber遭遇了一次導致數萬名駕駛員的保險和駕照信息外泄的黑客攻擊;這家巨型新創企業花費了好幾個月才完成了對事件的分析和調查,然后通知了所有駕駛員。
當3月警報響起的時候,Uber任命了“事件總指揮”對不斷發展的事態進行管理。事件總指揮的職責在于讓企業做好應對潛在黑客攻擊的準備。后來發現,這次攻擊的目標是谷歌公司的Gmail服務的用戶,而非Uber自身。但是,所有使用Gmail的用戶都有可能成為受害者。當天晚些時候,谷歌通過更新消除了Gmail服務的漏洞,Uber由此解除了緊急狀態。
此次Uber的響應是企業必須正確處理每日威脅的案例之一。前Facebook高管、現任Uber首席信息安全官的約翰·弗林表示,應對信息安全事件—他把信息安全事件定義為從數據竊取到筆記本電腦被盜的廣泛事件—的關鍵在于,必須要有一個清晰明確的溝通策略。“事件過程中,高管的任務在于提供支持,”弗林說。“這時候再糾結于誰來負責就太晚了。”
在他的權限以內,弗林擁有足夠強大的權利。首席信息安全官(或稱CISO)可能是目前最熱門的高管職位。在網絡犯罪極為猖獗的當下,這一之前少有人知,而且不受人歡迎的高管職位已經遠非昔比,甚至可以直接在董事會里占據一席。以前,CISO需要向負責采購并操作計算機、不必為信息安全發愁的首席信息官匯報。如果CISO發出黑客入侵的警報,他/她往往會因為需要取悅于高管而成為替罪羊。“我曾經的工作就是告訴老板,他的小孩長得很丑。”一位前信息安全高管哀嘆道。
當時,信息企業把黑客威脅看作是企業面臨的風險之一并進行規劃—其他風險還包括行業蕭條、恐怖襲擊和自然災害。CISO是一個讓企業時刻保持防范網絡犯罪的關鍵角色。“如果你是一家《財富》美國500強公司,你必然有響應計劃。”黑石公司的前高管利克表示。黑石投資的幾家公司也遭到了黑客的攻擊,其中包括藝術品零售商Michaels Stores。“但是當時人們沒有把信息安全提到足夠的高度,然后說:‘我們信心滿滿,要去做已經決定好的事情。’”
只有擁有清晰明確的權限結構和高效的行動計劃,企業才能夠打贏與黑客的戰斗。在某些情況下,企業必須通報警方,即聯邦調查局或美國特工處。兩家執法機關擁有足夠的覆蓋面和能力,使之能夠向外國黑客開戰。必要時,秘密潛伏于“黑暗網絡”中的美國執法部門會使用虛假交易引誘黑客上鉤,將其逮捕并引渡回美國受審。
然而,報警處理也有不利的一面。司法調查會讓受害企業遭受經濟和時間損失,也可能會把敏感信息暴露在大庭廣眾之下。因此,企業的最佳做法就是在第一時間避免發生會讓聯邦調查局介入的黑客入侵事件。由此,一個規模巨大的新產業應運而生。
新興產業
這臺視頻會議攝像頭看起來和普通的攝像頭沒有區別,但是,擁有它的企業并不知道的是,攝像頭已經進入了超時工作狀態:黑客已經遠程控制了麥克風,并且用它來竊聽在這間會議室里舉行的會議。在全球性網絡安全公司Darktrace的幫助下,這家不愿意具名的企業終于識破了這個竊聽陰謀。Darktrace采用人工智能手段探測客戶網絡中的異常活動。Darktrace的CEO妮科爾·伊根稱,她的公司發現這臺攝像頭產生了異常巨大的數據流,Darktrace由此提醒客戶威脅的存在。
Darktrace只是致力于打擊黑客的千百家企業其中的一家。網絡安全曾經只是企業軟件行業的一個偏門領域,現在卻已經成為了風險投資趨之若鶩的熱門市場。紐約研究企業CB Insights稱,去年,風投企業一共向404家安全新創企業投資了35億美元。2013年,相應的數字僅有279家和18億美元。
對于高管人士來說,所有的這些創業活動都最終演變為了琳瑯滿目的安全產品。例如,新創企業Tanium提供的服務可以讓企業知道有哪些人在其網絡上。上市公司Palo Alto Networks推出的智能防火墻采用機器學習技術來抵御黑客入侵。另外還有一系列專注于細分市場的安全企業,例如Area 1(專門抵御網絡仿冒詐騙)和Lookout(專注于智能手機安全服務)。那么,有了這么多安全盾牌的保護,為什么網絡犯罪仍然愈演愈烈?事實上,這些防御系統的防御能力并沒有廣告里的那么強大。有安全行業的從業者抱怨說,有很多企業欺騙客戶購買“假冒安全軟件”,貌似能夠填補客戶安全漏洞,但卻無法真正保護客戶的軟件。
然而,除了軟件以外,被吐槽的還有人。“安全的弱點不僅在于技術缺陷,還有低劣的流程執行或社會工程。”Greylock Partners的投資商、Palo Alto Networks的董事阿西姆·錢德納(Asheem Chandna)說。錢德納表示,大多數的黑客攻擊都是通過兩個渠道進行的,它們的技術水平都很低劣:一名員工在一封來自于她的老板的電子郵件里誤點擊釣魚鏈接或附件,或者有人偷走了員工的登錄秘鑰,并侵入公司網絡。
盡管網絡安全工具能夠阻止黑客攻擊,但是難免會有漏網之魚。人類是一種有好奇心的生物,在一家大公司里,總會有人點擊諸如“嗨,你看過這張公司聚會的照片嗎?”等鏈接。只值1美分的黑客工具足以穿透價值1美元的防御工具。因此,抵御黑客攻擊是一場永不停歇的漫長戰斗。
譯者:鄭立飛
全世界最危險的四大黑客組織
早期的黑客攻擊大多是頑皮少年躲在自家地下室,用電腦上網惡作劇,現在已經大不相同。如今,最大也最惡劣的黑客組織背后都有國家支持。黑客組織在網絡黑話中被稱為“高級持續威脅”簡稱APTs,從名字就能夠看出其最大也最根本的特點:兇猛。以下列出了幾個名聲最差,同時也最可怕的政府支持黑客集團。(對一些特定黑客推斷的根據為頂尖計算機證據收集公司。)
Robert Hackett奇幻熊/安逸熊
這兩只“熊”都來自于俄羅斯,因去年美國大選期間號稱突破了民主黨全國委員會的電腦系統為人關注。奇幻熊源自于俄羅斯軍方情報機構格勒烏,自從成立起就開始干涉歐洲的大選。安逸熊則代表俄羅斯聯邦安全局,也即前蘇聯時代的克格勃,主要攻擊目標是美國的智庫。
Lazarus Group [又名黑暗首爾、和平衛士]
Lazarus Group團伙作戰頑強,一般認為是朝鮮的黑客組織。2009年Lazarus初露面就對美國和韓國的網站發動了拒絕服務攻擊。五年后,Lazarus對索尼影業娛樂公司(Sony Pictures Entertainment)發動了大規模攻擊,2016年又從孟加拉國中央銀行和環球同業銀行金融電訊協會(SWIFT)盜得8,100萬美元。此外,今年5月肆虐全球的WannaCry勒索病毒據稱也與之有關。
方程式組織
俄羅斯殺毒軟件公司卡巴斯基(有一次發現了一個黑客團伙,給它起了這個名字。據稱該團伙與美國國家安全局有關,尤其是獲取特定情報行動辦公室,簡稱TAO。這些不是好人,是吧?倒也不是每個人都這么想。很多專家相信方程式組織曾經成功破解了伊朗的核項目。最近該組織的不少黑客工具被另外一個神秘的黑客集團Shadow Brokers(據稱跟俄羅斯有關系)盜取,還在網上公布,引發了不小的騷亂。
Sandworm
Sandworm因代碼中提到經典科幻小說《沙丘》而得名,人們相信該組織也與俄羅斯有關。Sandworm曾經攻擊與北約和烏克蘭政府相關人士,很可能是為了收集情報。此外,Sandworm還喜歡攻擊與關鍵基礎設施相關的公司。去年,這幫黑客關閉了烏克蘭的電網。
盤點史上最大的十起黑客攻擊企業事件
領英網(2012年)
2012年,領英網稱650萬個用戶賬戶遭到了黑客攻擊。2016年,事情變得更糟糕了,超過1.17億個賬戶的用戶名和密碼信息被黑客出售。
塔吉特公司(2013年)
2013年12月,1.1億名客戶的個人信息和財務信息被曝光。隨后,作為這一大型數據泄露事件所帶來的后果之一,首席執行官格雷格·斯泰因哈費爾宣布辭職。
摩根大通公司(2014年)
黑客們攻擊了摩根大通公司的一臺服務器,并且竊取了銀行數百萬賬戶的數據。據稱,這些賬戶被用于詐騙計劃,造成了約1億美元的損失。
家得寶公司(2014年)
黑客竊取了超過5,000萬名用戶的電子郵件和信用卡數據。這一數據泄露事件使這一連鎖零售店花費了至少1.79億美元與消費者和信用卡公司達成和解。
索尼公司(2014年)
為了報復索尼出品的電影模糊了朝鮮領導人金正恩的面容,被認為與朝鮮有關的黑客在索尼影業娛樂公司的服務器上肆意妄為了一番。
希爾頓酒店(2015年)
據報道,黑客入侵了該連鎖酒店的支付系統,并從全美各地的希爾頓酒店和喜達屋連鎖酒店竊取了客戶的信用卡數據。
兩家律師事務所(2015年)
黑客入侵了科瓦斯·斯懷恩·摩爾國際律師事務所和威嘉律師事務所的電子郵箱賬戶,掌握了即將進行的公司合并計劃。據稱,黑客通過出售這一消息賺取了400萬美元。
環球同業銀行金融電訊協會(2016年)
據報道,朝鮮黑客利用環球同業銀行金融電訊協會支付系統的漏洞,從孟加拉國中央銀行(Bangladesh Central Bank)的紐約聯邦儲備銀行賬戶中竊取了8,100萬美元。
樂購公司(2016年)
黑客攻擊了大型連鎖超市樂購旗下的樂購銀行,竊取了這家銀行9,000多個賬戶的總共約320萬美元的資金,樂購不得不向顧客賠償。
Chipotle公司(2017年)
據報道,一個東歐犯罪團伙利用網絡欺詐手段盜取了數百萬名Chipotle客戶的信用卡信息。這次事件是專門針對餐館的一系列騙局中的一個。(財富中文網)
京公網安備 11010502049343號