眾所周知的泄露事件只是冰山一角，很多從來(lái)沒有被發(fā)現(xiàn)或者披露——如果基礎(chǔ)設(shè)施沒有重大改變，只會(huì)變得更糟

　　索尼、Anthem、人事管理辦公室、Target、雅虎，過去兩年，大規(guī)模泄露事件接二連三——2017年將是最具災(zāi)難性的一年。

　　安全專家一直在提醒，大多數(shù)企業(yè)甚至不知道他們被攻破了。攻擊者依靠隱身來(lái)了解網(wǎng)絡(luò)，找到有價(jià)值的信息和系統(tǒng)，并竊取他們想要的東西。只是最近，企業(yè)才開始改進(jìn)了他們的檢測(cè)工作，并開始投入時(shí)間、資金和人力去發(fā)現(xiàn)漏洞。當(dāng)他們這樣做時(shí)，結(jié)果往往令人警醒。

　　安全分析公司RedSeal的首席執(zhí)行官Ray Rothrock說(shuō)：“我認(rèn)為我們?cè)?017年會(huì)找更多的漏洞，只多不少。”

　　到目前為止，所有大的泄露事件都有一個(gè)共同點(diǎn)：最初的惡意軟件感染或者網(wǎng)絡(luò)入侵讓攻擊者獲得了進(jìn)入網(wǎng)絡(luò)的切入點(diǎn)，Rothrock說(shuō)：“這使人想起了2013年。很多壞東西被釋放出來(lái)，然后進(jìn)入企業(yè)和政府網(wǎng)絡(luò)。”

　　機(jī)器中的幽靈

　　三年最多四年前，企業(yè)開始聽說(shuō)APT（高級(jí)持續(xù)威脅），知道普遍存在的零日攻擊。這讓攻擊者獲得了時(shí)間窗口，他們可以通過復(fù)雜的惡意軟件感染系統(tǒng)，或者把自己深深嵌入到網(wǎng)絡(luò)中，而不會(huì)觸發(fā)報(bào)警。如果認(rèn)為已經(jīng)發(fā)現(xiàn)了所有主要的數(shù)據(jù)泄露，那就有些天真了。

　　Rothrock說(shuō)：“在管理上意識(shí)到‘狐貍已經(jīng)在雞舍里’，那么我們一定要采取措施，解決已經(jīng)知道的這些問題。”

　　換句話說(shuō)，這些泄露事件多年前就發(fā)生了，但I(xiàn)T團(tuán)隊(duì)還沒有檢測(cè)到它們。它們最終可能會(huì)被發(fā)現(xiàn)——原因是犯罪分子自己的錯(cuò)誤，檢測(cè)系統(tǒng)改進(jìn)了，等等。但我們可能永遠(yuǎn)也不知道損害有多嚴(yán)重，因?yàn)榻^大多數(shù)的事件從來(lái)沒有被報(bào)告過。

　　未報(bào)告的偷竊

　　企業(yè)被要求報(bào)告被盜或者暴露的數(shù)據(jù)——如果這包括個(gè)人身份信息或者個(gè)人健康信息，但大多數(shù)企業(yè)都置之不理。由于缺乏報(bào)告被盜的知識(shí)產(chǎn)權(quán)或者其他類型的敏感企業(yè)數(shù)據(jù)的監(jiān)管要求，因此，工業(yè)企業(yè)、制造公司、咨詢公司和法律組織通常會(huì)保持沉默。

　　敏感數(shù)據(jù)不僅包括財(cái)務(wù)信息。Rothrock說(shuō)：“涉及到很多知識(shí)產(chǎn)權(quán)。對(duì)于建造或者設(shè)計(jì)核電廠的公司來(lái)說(shuō)，攻擊者自己去攻擊他們的工廠是一回事，如果攻擊者有實(shí)際的圖紙，知道如何攻擊，則是另一回事。”

　　如果不是文件被泄露給記者，沒有人會(huì)知道去年法律公司Mossack Fonseca被偷走的巴拿馬文件。2015年ABA法律技術(shù)調(diào)查報(bào)告發(fā)現(xiàn)，在超過100名律師的公司中，23％的受訪者報(bào)告了安全泄露事件，但沒有公開受影響公司的名稱。如果航空航天公司新飛機(jī)或者新藥研究計(jì)劃被盜，那么只有受影響的企業(yè)、被招來(lái)進(jìn)行評(píng)估和補(bǔ)救的顧問，以及執(zhí)法機(jī)構(gòu)（如果致電告訴了他們）知道泄露的詳細(xì)情況。

　　Rothrock說(shuō)：“我們Red Seal公司在這方面接了很多業(yè)務(wù)，就是因?yàn)楣静槐貓?bào)告一些泄露事件。我們接到電話，去處理問題。我相信不光我們是這樣。”

　　網(wǎng)絡(luò)安全和隱私保護(hù)非營(yíng)利性組織“在線信任聯(lián)盟（Online Trust Alliance OTA）”研究了初步年終數(shù)據(jù)，估計(jì)約有82，000起網(wǎng)絡(luò)安全事件影響了全球225家以上的企業(yè)。OTA說(shuō)：“由于大多數(shù)事件從未向高管、執(zhí)法機(jī)構(gòu)或者監(jiān)管機(jī)構(gòu)報(bào)告，因此包括DDoS攻擊在內(nèi)的造成損失的事件的實(shí)際數(shù)量可能超過了25萬(wàn)。”

　　計(jì)算成本

　　數(shù)據(jù)泄露的代價(jià)是昂貴的——而且與通知受害者以及聘請(qǐng)顧問和取證調(diào)查員來(lái)發(fā)現(xiàn)和解決問題的直接成本相比，還有更多的代價(jià)。

　　其他成本包括停機(jī)、生產(chǎn)力損失、客戶流失和收入損失等。如果在泄露事件發(fā)生多年后才被公司發(fā)現(xiàn)，就像雅虎最近那樣，他們還必須支付Rothrock所說(shuō)的“工程服務(wù)”費(fèi)用，這是恢復(fù)和補(bǔ)救成本的一部分。

　　如果花了很長(zhǎng)時(shí)間才發(fā)現(xiàn)泄露事件，那么說(shuō)明現(xiàn)有基礎(chǔ)設(shè)施存在問題，因此很難迅速發(fā)現(xiàn)漏洞。這要求重新設(shè)計(jì)基礎(chǔ)設(shè)施，這通常會(huì)是昂貴而且耗時(shí)的項(xiàng)目。但總是有人不理會(huì)其緊迫性。Rothrock說(shuō)：“大多數(shù)人還搞不清楚他們有什么，而一直在添加更多的東西。”

　　重組我們的防御

　　隨著云部署、物聯(lián)網(wǎng)的出現(xiàn)，以及數(shù)據(jù)在多臺(tái)設(shè)備上的流動(dòng)——我們的網(wǎng)絡(luò)越來(lái)越復(fù)雜，導(dǎo)致IT和安全團(tuán)隊(duì)越來(lái)越難以在所有層面上進(jìn)行探查。但是，對(duì)于攻擊者而言沒什么改變。惡意軟件會(huì)繼續(xù)感染這些新系統(tǒng)，攻擊者會(huì)繼續(xù)獵取數(shù)據(jù)。

　　Rothrock說(shuō)：“當(dāng)草堆不斷變大時(shí)，在草堆里找到針頭會(huì)越來(lái)越難。”

　　與此同時(shí)，現(xiàn)在的安全防御比三年前要好很多。Rothrock使用建筑業(yè)作為比喻：想一想現(xiàn)代建筑是怎樣建成的，使用傳感器來(lái)檢測(cè)熱量、氣體泄漏和壓力的變化。墻體用防火材料制成，并且有防止火災(zāi)的防護(hù)措施。這就要求重新設(shè)計(jì)IT，以防止反復(fù)遭受攻擊。

　　Rothrock說(shuō)：“有幾棟被燒毀后，我們就會(huì)知道老摩天大樓是容易被攻擊的目標(biāo)。新的摩天大樓幾乎從來(lái)沒有火災(zāi)。IT也應(yīng)如此。”

　　作者/Fahmida Y. Rashid 編譯/charles

　　（作者Fahmida Y. Rashid是InfoWorld的資深作家，其寫作主題是信息安全。）

關(guān)注讀覽天下微信， 100萬(wàn)篇深度好文， 等你來(lái)看……