美国券商约 500 万客户数据洩露,骇客与企业如何攻防?

美国券商约 500 万客户数据洩露,骇客与企业如何攻防?

近期,一个「美股网路券商史考特证券承认被骇,460 万客户受影响」的新闻被广泛报导,这是近一週内继众筹网站 Patreon 被骇数据洩露以及千万级 T-Mobile 客户资料被盗事件之后的第三起被媒体广泛报导的美国网路攻击事件。

值得一提的是,这几起网路安全事件早在两年前就已发生。对于 T-Mobile 伺服器被骇事件,其首席执行长 John Legere 承认「骇客攻陷益佰利公司电脑已长达 2 年」,而在史考特公司洩密事件中,史考特公司负责人也承认其两年前曾沦为网路攻击的牺牲品。两年前网站遭受攻击为他们埋下的定时炸弹,两年后终于响了。

受洩密事件的影响,T-mobile 股价下跌了 1.7%,而史考特公司更是名誉受损,在数据洩露报导发出仅数小时后,网路就出现了律师广告:

美国的这几起网路安全事件恰恰为中国那些经常在漏洞众测平台上「榜上有名」 的公司和网站拉起了警钟——也许现在还风平浪静,说不定已经埋下了定时炸弹,如果不好好处理网路安全问题,最终炸弹将会被引爆。

美国券商约 500 万客户数据洩露,骇客与企业如何攻防?

事实上,企业发生资讯洩露事件会导致企业在公众中的威望和信任度下降,而直接改变客户原有选择倾向。一旦资讯洩露事件出现,很可能就使企业失去一大批现有或潜在客户。因此数据讯息的安全问题是关乎企业声誉、公众信任、甚至生死存亡的问题。

一般来说,在考虑跟某家公司合作时,如果客户得知这家企业出现过讯息洩密事件,都会疑虑「自己的资讯能不能得到保障?企业讯息安全机制不完善是不是间接反映了整体管理体系的不完善?讯息洩密事件是否会直接影响到公司将来的发展和业绩?」,正是在这一系列疑虑的「光晕效应」下,企业千辛万苦建立起来的声誉,公众和合作方对企业的信任感大大降低。

究其原因,还是在于缺乏对网路安全的正确认识,从个人层面上举个例子,我们每个人都拥有几个到几十个帐号密码,许多人在不同网路场合用的是同一个密码,觉得只要不涉及资金,即时被盗也没有关係。

但其实骇客拿到用户的帐号密码能用来做的事太多了:

史考特证券公司在此次洩露事件发表声明中表示,攻击者的目标是「客户姓名与街道地址的列表」。那幺我们是否能猜想,当这些客户姓名和地址的数据到了犯罪份子的手中,会造成怎样的危害呢?细思极恐。

对于企业,单从弱口令问题就足以看出企业网路安全管理水平,很多企业中充斥着不安全的密码使用习惯,员工在内网系统中使用极其简单的密码甚至直接使用初始密码,这些都是网路安全意识不足的表现。各个漏洞众测平台每天都曝光着漏洞的问题,但我们都知道那只是冰山一角。

儘管如此,大部份企业的主要负责人对此问题并没有意识,一些单位的老总自己都在使用弱密码,在许多企业中有不少年纪较大的人,对他们硬性要求使用强密码非常难,太複杂了确实记不住,网路管理部门又没资格对其採取什幺措施,最终只能维持现状。这种情况只有当安全隐患变成问题彻底爆发,各部门才纷纷出来充当「救火队员」,但这时,讯息洩露对企业的损害已经无可挽回。

值得庆幸的是,随着生物辨识技术的发展和普及,原本那些看似只能从管理层面解决的问题,如今都已经可以透过技术手段得以解决。「用人脸、声音、指纹等生物特徵来替代密码用来登录企业内部各个系统」,这一设想已随着「洋葱令牌」的问世而成真。透过在内网部署「洋葱令牌」可以使得内网系统的所有登录环节全部使用生物特徵进行验证,整个环节中不使用密码,从根本上杜绝洩露的发生。

从长远看来,生物特徵辨识必定会取代现在的密码体系,但在大部份的企业仍使用单一帐号密码体系的今天,短时间内要改变现状,儘可能消除安全隐患的唯一办法仍只有加大安全投入:

当然企业也可以直接尝试在内网部署类似「洋葱令牌」这样的生物特徵验证。这些措施真正实施起来,并不需要投入多少成本,但是却能大幅降低企业的网路安全风险,创造潜在的价值。

上一篇:
下一篇: