近期，一個(gè)“美股網(wǎng)絡(luò)券商史考特證券承認(rèn)被黑，460萬客戶受影響”的新聞被廣泛報(bào)道，這是近一周內(nèi)繼眾籌網(wǎng)站Patreon被黑數(shù)據(jù)泄露以及千萬級(jí)T-Mobile客戶資料被盜事件之后的第三起被媒體廣泛報(bào)道的美國網(wǎng)絡(luò)攻擊事件。

值得一提的是，這幾起網(wǎng)絡(luò)安全事件早在兩年前就已發(fā)生。對(duì)于T-Mobile服務(wù)器被黑事件，其首席執(zhí)行官John Legere承認(rèn)“黑客攻陷益佰利公司電腦已長達(dá)2年”，而在史考特公司泄密事件中，史考特公司負(fù)責(zé)人也承認(rèn)其兩年前曾淪為網(wǎng)絡(luò)攻擊的犧牲品。兩年前網(wǎng)站遭受攻擊為他們埋下的定時(shí)炸彈，兩年后終于響了。

受泄密事件的影響，T-mobile股價(jià)下跌了1.7%，而史考特公司更是名譽(yù)受損，在數(shù)據(jù)泄露報(bào)道發(fā)出僅數(shù)小時(shí)后，網(wǎng)絡(luò)就出現(xiàn)了律師廣告：

“消費(fèi)者有權(quán)利與保障信息安全的公司來往，一旦客戶數(shù)據(jù)被盜便會(huì)導(dǎo)致身份盜竊及欺詐等犯罪為。”

"近500萬史考特客戶數(shù)據(jù)可能被盜，如果你的個(gè)人信息在此次事件中被泄露，如果想要對(duì)你擁有的權(quán)利有更多了解，趕快聯(lián)系我們吧！”

美國的這幾起網(wǎng)絡(luò)安全事件恰恰為國內(nèi)那些經(jīng)常在漏洞眾測(cè)平臺(tái)上"榜上有名"的公司和網(wǎng)站拉起了警鐘——也許現(xiàn)在還風(fēng)平浪靜，指不定就已經(jīng)埋下了定時(shí)炸彈，如果好好處理網(wǎng)絡(luò)安全問題，最終炸彈將會(huì)被引爆。

只可惜，國內(nèi)大部分公司對(duì)面網(wǎng)絡(luò)安全問題都仍處于”亡羊補(bǔ)牢”狀態(tài)。認(rèn)為問題曝出而不是網(wǎng)絡(luò)安全事件發(fā)生，網(wǎng)絡(luò)安全隱患永遠(yuǎn)都只是隱患，對(duì)問題的處理往往是一拖再拖，甚至當(dāng)問題被曝光時(shí)，只要不是涉及到公司的直接經(jīng)濟(jì)利益，往往都是當(dāng)做公關(guān)事件來處理。

事實(shí)上，企業(yè)發(fā)生信息泄露事件會(huì)導(dǎo)致企業(yè)在公眾中的威望和信任度下降，而直接改變客戶原有選擇傾向。一旦信息泄露事件出現(xiàn)，很可能就使企業(yè)失去一大批現(xiàn)有或潛在客戶。因此數(shù)據(jù)信息的安全問題是關(guān)乎企業(yè)聲譽(yù)、公眾信任、甚至生死存亡的問題。

一般來說，在考慮跟某家公司合作時(shí)，如果客戶得知這家企業(yè)出現(xiàn)過信息泄密事件，都會(huì)疑慮“自己的信息能不能得到保障？企業(yè)信息安全機(jī)制不完善是不是間接反映了整體管理體系的不完善？信息泄密事件是否會(huì)直接影響到公司將來的發(fā)展和業(yè)績？”，正是在這一系列疑慮的“光暈效應(yīng)”下，企業(yè)千辛萬苦建立起來的聲譽(yù)，公眾和合作方對(duì)企業(yè)的信任感大大降低。

究其原因，還是在于缺乏對(duì)網(wǎng)絡(luò)安全的正確認(rèn)識(shí)，從個(gè)人層面上舉個(gè)例子，我們每個(gè)人都擁有幾個(gè)到幾十個(gè)賬號(hào)密碼，許多人在不同網(wǎng)絡(luò)場合用的是同一個(gè)密碼，覺得只要不涉及資金，即時(shí)被盜也沒有關(guān)系。

但其實(shí)黑客拿到用戶的賬號(hào)密碼能用來做的事太多了：

直接售賣給偽造證件者、犯罪組織、垃圾郵件發(fā)送商、僵尸網(wǎng)絡(luò)運(yùn)營商。而后者則利用這些信息來發(fā)送釣魚郵件、實(shí)施詐騙、發(fā)送垃圾郵件等方式來獲取更多利益，或是通過拖庫、撞庫、社工等手段不斷挖掘用戶其他賬號(hào)中任何有價(jià)值的信息和資料。

犯罪分子之間通過交換他們獲取的用戶信息，能夠得到某些用戶更完整的信息，對(duì)一個(gè)人了解越多，就越有可能造成更大的傷害。

史考特證券公司在此次泄露事件發(fā)表聲明中表示，攻擊者的目標(biāo)是“客戶姓名與街道地址的列表”。那么我們是否能猜想，當(dāng)這些客戶姓名和地址的數(shù)據(jù)到了犯罪分子的手中，會(huì)造成怎樣的危害呢？細(xì)思極恐。

對(duì)于企業(yè)，單從弱口令問題就足以看出企業(yè)網(wǎng)絡(luò)安全管理水平，很多企業(yè)中充斥著不安全的密碼使用習(xí)慣，員工在內(nèi)網(wǎng)系統(tǒng)中使用極其簡單的密碼甚至直接使用初始密碼，這些都是網(wǎng)絡(luò)安全意識(shí)不足的表現(xiàn)。各個(gè)漏洞眾測(cè)平臺(tái)每天都曝光著弱口令的問題，但我們都知道那只是冰山一角。

盡管如此，大部分企業(yè)的主要負(fù)責(zé)人對(duì)此問題并沒有意識(shí)，一些單位的老總自己都在使用弱密碼，在許多企業(yè)中有不少年紀(jì)較大的人，對(duì)他們硬性要求使用強(qiáng)密碼非常難，太復(fù)雜了確實(shí)記不住，網(wǎng)絡(luò)管理部門又沒資格對(duì)其采取什么措施，最終只能維持現(xiàn)狀。這種情況只有當(dāng)安全隱患變成問題徹底爆發(fā)，各部門才紛紛出來充當(dāng)“救火隊(duì)員”，但這時(shí)，信息泄露對(duì)企業(yè)的損害已經(jīng)無可挽回。

值得慶幸的是，隨著生物識(shí)別技術(shù)的發(fā)展和普及，原本那些看似只能從管理層面解決的問題，如今都已經(jīng)可以通過技術(shù)手段得以解決?！坝萌四槨⒙曇?、指紋等生物特征來替代密碼用來登錄企業(yè)內(nèi)部各個(gè)系統(tǒng)”，這一設(shè)想已隨著"洋蔥令牌"的問世而成為現(xiàn)實(shí)。通過在內(nèi)網(wǎng)部署"洋蔥令牌"可以使得內(nèi)網(wǎng)系統(tǒng)的所有登錄環(huán)節(jié)全部使用生物特征進(jìn)行驗(yàn)證，整個(gè)環(huán)節(jié)中不使用密碼，從根本上杜絕了泄露的發(fā)生。

從長遠(yuǎn)看來，生物特征識(shí)別必定是會(huì)取代現(xiàn)在的密碼體系，但在大部分的企業(yè)仍使用單一賬號(hào)密碼體系的今天，短時(shí)間內(nèi)要改變現(xiàn)狀，盡可能消除安全隱患的唯一辦法仍只有加大安全投入：

對(duì)于防范外部攻擊，合理部署防入侵系統(tǒng)，做好入侵檢測(cè)等；

對(duì)于內(nèi)部員工不當(dāng)?shù)拿艽a使用習(xí)慣，除了加強(qiáng)制度的管理和安全培訓(xùn)外，定期掃描弱口令、通過堡壘機(jī)做登陸線上服務(wù)器權(quán)限的控制等方式都可以起到不少的作用。

當(dāng)然企業(yè)也可以直接嘗試在內(nèi)網(wǎng)部署類似”洋蔥令牌“這樣的生物特征驗(yàn)證。這些措施其實(shí)真正實(shí)施起來，并不需要投入多少成本，但是卻能大幅降低企業(yè)的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)，創(chuàng)造潛在的價(jià)值。

網(wǎng)絡(luò)攻防永遠(yuǎn)是一個(gè)場拉鋸戰(zhàn)，是攻擊成本和防御成本的較量，作為防御方，企業(yè)能做的是在安全成本有限的情況下盡可能提高入侵者的攻擊成本。

而對(duì)于普通網(wǎng)民來說，養(yǎng)成一個(gè)好的網(wǎng)絡(luò)使用習(xí)慣是有必要的，因?yàn)?/span>無論是企業(yè)還是個(gè)人，攻擊者永遠(yuǎn)都是"挑軟的捏”。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。