當(dāng)前位置：安全 → 企業(yè)動(dòng)態(tài) → 正文

網(wǎng)絡(luò)安全：Equihack公司的教訓(xùn)

責(zé)任編輯：editor007 |來(lái)源：企業(yè)網(wǎng)D1Net 2017-09-30 16:20:01 本文摘自：中國(guó)日?qǐng)?bào)網(wǎng)

中國(guó)日?qǐng)?bào)網(wǎng)9月30日電據(jù)英國(guó)《經(jīng)濟(jì)學(xué)人》報(bào)道，像所有的信用征集企業(yè)一樣，EQUIFAX用來(lái)賺錢(qián)的是處理敏感金融信息的能力。因此，有報(bào)道稱(chēng)這家公司成為了某一起大規(guī)模數(shù)據(jù)泄露的受害者，真是殘酷的諷刺。EQUIFAX承認(rèn)有1.43億多用戶(hù)會(huì)受到影響，其中大多是美國(guó)人。遭竊取的數(shù)據(jù)包括住址、信用卡信息還有社保賬號(hào)。信用卡賬號(hào)尤為重要，因?yàn)檫@是讓美國(guó)最能實(shí)現(xiàn)高度集中化的國(guó)家身份系統(tǒng)的東西，同時(shí)，對(duì)于一個(gè)受到攻擊的賬戶(hù)來(lái)說(shuō)，它比密碼還難更改。

一連串自身造成的問(wèn)題讓情況更加糟糕。這家公司建了一個(gè)穩(wěn)固的網(wǎng)站，讓消費(fèi)者就能查看自己是否受到影響。可是，這個(gè)網(wǎng)站的存在似乎要求消費(fèi)者放棄他們起訴的權(quán)利（該公司堅(jiān)稱(chēng)并非如此，之后修改了網(wǎng)站條款）。一開(kāi)始想要凍結(jié)信用卡賬戶(hù)的消費(fèi)者被要求付費(fèi)。在發(fā)現(xiàn)數(shù)據(jù)泄露事件后，該公司高層管理人員拋售了手中的股份，之后才對(duì)外公布前（該公司堅(jiān)稱(chēng)沒(méi)有發(fā)生內(nèi)部交易）。律師與總檢察長(zhǎng)想要對(duì)此進(jìn)行調(diào)查，這是對(duì)的。

此次數(shù)據(jù)泄露的范圍極大，但Equifax卻不是孤立案例。去年，雅虎披露黑客盜取超過(guò)10億賬戶(hù)信息。約炮網(wǎng)站AdultFriendFinder有四億多賬戶(hù)被盜。網(wǎng)絡(luò)襲擊的破壞性從根本上損害了投資者的利益。大型運(yùn)輸企業(yè)馬士基集團(tuán)（A.P. Moller-Maersk）的電腦今年遭惡意軟件凍結(jié)，推算損失多達(dá)三億美元。消費(fèi)品公司利潔時(shí)（Reckitt Benckiser）遭受了同樣的襲擊，銷(xiāo)售額損失一億英鎊（1.33億美元）。那些曾經(jīng)一度被迷惑，對(duì)危險(xiǎn)滿(mǎn)不在乎的企業(yè)逐漸受到監(jiān)管行為的管制。新的歐洲法律對(duì)不符合網(wǎng)絡(luò)安全標(biāo)準(zhǔn)的企業(yè)予以沉罰。由紐約金融監(jiān)管機(jī)構(gòu)制定的法規(guī)已在八月生效。

這些網(wǎng)絡(luò)攻擊的威脅的性質(zhì)也在發(fā)生改變。比如，日常事物的數(shù)字化成為了黑客們的玩耍地。近期黑客獲得了一家賭場(chǎng)的聯(lián)網(wǎng)的魚(yú)缸的入口，轉(zhuǎn)而進(jìn)入到賭場(chǎng)網(wǎng)絡(luò)的敏感區(qū)域，造成了數(shù)據(jù)泄露。黑客也在改變他們的商業(yè)模式，不再在黑市倒賣(mài)數(shù)據(jù)，而是開(kāi)始對(duì)一些公司勒索。比如，在線(xiàn)視頻網(wǎng)站Netflix才在四月發(fā)現(xiàn)黑客竊取了一部熱門(mén)電視劇的尚未播出的劇集。

該要怎么做呢？對(duì)于規(guī)劃網(wǎng)絡(luò)安全的企業(yè)來(lái)說(shuō)，有兩個(gè)指導(dǎo)性的原則。第一，采取多層防護(hù)手段。這是各個(gè)社團(tuán)應(yīng)對(duì)其他風(fēng)險(xiǎn)的方法。比如，車(chē)是危險(xiǎn)的機(jī)器。駕駛守則與路標(biāo)盡力阻止事故發(fā)生。不過(guò)，這并不會(huì)永遠(yuǎn)有效，因此，車(chē)在機(jī)械裝備時(shí)就安裝有一旦事故發(fā)生就有保護(hù)車(chē)主的機(jī)制。如果那還不夠，緊救服務(wù)與醫(yī)院能彌修補(bǔ)傷害。

這種思維方式在電腦安全企業(yè)相對(duì)新穎，因?yàn)檫@個(gè)行業(yè)主要聚焦在預(yù)防。當(dāng)更多注意力放在減災(zāi)和救災(zāi)時(shí)，企業(yè)也應(yīng)采取相似的方法。比如，在公司內(nèi)部隔離不同的敏感數(shù)據(jù)，這樣能減少外部防護(hù)網(wǎng)被黑后的影響。提前規(guī)劃應(yīng)對(duì)黑客攻擊的方案，這樣能減少類(lèi)似Equifax遇到的麻煩。

第二原則就是更為智能地思考數(shù)據(jù)，包括數(shù)據(jù)存儲(chǔ)方式，儲(chǔ)存時(shí)長(zhǎng)。一些企業(yè)基本上將信息視作資產(chǎn)。人工智能之類(lèi)的技術(shù)吸引力推動(dòng)企業(yè)盡可能的儲(chǔ)存信息。可是，數(shù)據(jù)基礎(chǔ)設(shè)施在讓大量數(shù)據(jù)變得有價(jià)值的同時(shí)，也在讓它們很容易成為竊取數(shù)據(jù)的人的目標(biāo)。在監(jiān)管機(jī)構(gòu)對(duì)數(shù)據(jù)泄露事件越來(lái)越不容忍的情況下，這就讓數(shù)據(jù)變成了一個(gè)收入資源，同時(shí)也潛藏著法律風(fēng)險(xiǎn)。在支撐經(jīng)濟(jì)發(fā)展的情況下，數(shù)據(jù)在如今就相當(dāng)于20世紀(jì)的石油。這個(gè)比喻很恰當(dāng)。石油很寶貴，同時(shí)也是有毒，會(huì)燃燒。任何外溢都會(huì)引發(fā)災(zāi)難。

（編輯：王旭泉）

關(guān)鍵字：Netflix