《財富》(中文版)——遭到攻擊
2015年夏天,包括科瓦斯·斯懷恩·摩爾國際律師事務(wù)所和威嘉律師事務(wù)所在內(nèi)的紐約幾家最受尊崇和信任的律師事務(wù)所都遭遇了黑客襲擊。三名黑客欺騙上述幾家律師事務(wù)所的合伙人透露其電子郵箱密碼,然后秘密潛入了律師事務(wù)所的計算機網(wǎng)絡(luò)。在進入合伙人的賬戶后,黑客們攫取了與即將啟動的合并案有關(guān)的高度機密文檔。就這樣,來自于半個地球以外的黑客利用非法盜取的信息在股票市場上大賺了400萬美元。
和大多數(shù)商業(yè)間諜活動的受害者一樣,上述律師事務(wù)所都對遭到黑客入侵一事保持沉默。他們害怕會激起其他網(wǎng)絡(luò)黑客的敵意,同時破壞自身作為客戶機密保護者的信譽。然而,新聞界后來報道了商業(yè)機密泄露的消息,隨后聯(lián)邦檢察官和律師事務(wù)所自身分別予以了證實。聯(lián)邦調(diào)查局官員公布了案情,并且宣布將把黑客繩之以法。“這起黑客泄密案應(yīng)當給全世界的律師事務(wù)所敲響了警鐘。”時任駐曼哈頓聯(lián)邦檢察官普里特·巴拉拉表示。“一旦有人對你的信息感興趣,你就有可能成為黑客攻擊的目標。”
這起案件本應(yīng)深深觸動整個美國司法體系,但卻只是再一次強調(diào)了企業(yè)CEO、董事和網(wǎng)絡(luò)安全專家們已經(jīng)認可的嚴酷事實:今天企業(yè)面臨的黑客攻擊威脅遠超以往,并且問題的代價和嚴重性正在與日俱增。
最新的調(diào)查數(shù)據(jù)足以說明問題:思科公司稱,2016年,全球分布式拒絕服務(wù)攻擊—一種以垃圾網(wǎng)絡(luò)流量淹沒系統(tǒng)服務(wù)器的黑客攻擊手段—的數(shù)量激增了172%。思科公司預計,到2021年,這一數(shù)字還將增長2.5倍,達到每年310萬宗。的確,黑客攻擊的數(shù)量一直在穩(wěn)步上升;ヂ(lián)網(wǎng)安全公司Nexusguard發(fā)布報告稱,在2017年第一季度,DDoS攻擊的數(shù)量同比增長了380%。
隨著網(wǎng)絡(luò)攻擊的數(shù)量和規(guī)模不斷增長,企業(yè)因之遭受的損失也在日趨嚴重。IBM和Ponemon研究所聯(lián)合進行的研究證實,2014年,美國數(shù)據(jù)泄漏造成的平均損失為585萬美元。而到今年,這一數(shù)字預計猛增至735萬美元。公司險保險公司Hiscox今年早些時候發(fā)布的報告稱,2016年,網(wǎng)絡(luò)犯罪給全球經(jīng)濟造成了超過4,500億美元的巨額損失。今年5月,WannaCry勒索病毒癱瘓了全球150多個國家的計算機。有人估算總共造成了40億美元損失。
黑客攻擊的受害企業(yè)正在逐漸意識到,他們對于可能的攻擊毫無還手之力,哪怕躲在半個地球之外的一個房間里的三名黑客都能夠?qū)λ麄儼l(fā)起致命打擊。昂貴的數(shù)據(jù)安全系統(tǒng)和高價的信息安全咨詢服務(wù)并不能夠有效地阻絕今天的黑客。他們擁有相應(yīng)的資源,會持續(xù)不斷地發(fā)起攻擊,直至攻破防線。例如,在上述紐約市律師事務(wù)所的案件中,檢察官稱黑客在7個多月的時間里對目標服務(wù)器發(fā)起了10多萬次攻擊。
事實已經(jīng)非常明顯:沒有任何網(wǎng)絡(luò)是絕對安全的。企業(yè)曾經(jīng)認為他們能夠抵御攻擊,但是現(xiàn)在他們已經(jīng)認識到,單純的抵抗盡管不是毫無用處,但其重要性也比不上預先部署的、在攻擊發(fā)起時就對入侵黑客進行探測和遏制的計劃。
然而,即便企業(yè)對于黑客攻擊具有危機意識,他們的防控舉措也沒有跟上。IBM和Ponemon在去年秋季對2,400名安全和IT專業(yè)人士聯(lián)合開展了一項調(diào)查,調(diào)查發(fā)現(xiàn),有多達75%的被調(diào)查者稱,他們所在的企業(yè)沒有建立正式的網(wǎng)絡(luò)安全事件響應(yīng)計劃。同時,有66%的回復者對于其所在企業(yè)在遭受黑客襲擊后的恢復能力不抱信心。
出于同樣原因,網(wǎng)絡(luò)犯罪正在迅速蔓延。無論對于消費者和企業(yè),在線服務(wù)都變得更加流行,相關(guān)技術(shù)也更加易得。由于網(wǎng)絡(luò)攻擊目標的數(shù)量在不斷增長,現(xiàn)成的商業(yè)化黑客軟件也在不斷擴散,黑客行為變得比以往更加容易。原本為了便利和利潤而建設(shè)起來的互聯(lián)網(wǎng)正在將其用戶暴露在新的威脅之下。
另外,這些黑客攻擊案例突出地反映了整個商業(yè)環(huán)境在數(shù)字化時代的變化趨勢。在大多數(shù)情況下,技術(shù)起到的作用已經(jīng)遠遠超出了促進企業(yè)核心運營的范疇。對于一系列世界上最有價值的企業(yè)—從Alphabet到亞馬遜,從Facebook到Uber—其網(wǎng)絡(luò)資產(chǎn)實際上已經(jīng)成為了核心運營本身。
沒有任何美國企業(yè)能夠安然置身事外。黑客們已經(jīng)攻擊了尼曼百貨和家得寶等大型零售商的網(wǎng)絡(luò),以求盜取信用卡和客戶信息,他們還把魔爪伸向了摩根大通等銀行。即便科技公司也似乎無法自保。雅虎在探測和抵御黑客方面表現(xiàn)很差,直接拉低了其將自身出售給威瑞森的售價。一名黑客最近欺騙谷歌(Google)和Facebook的會計為其電匯一筆超過1億美元的巨款。一家專業(yè)從事安全密碼管服務(wù)的新創(chuàng)企業(yè)OneLogin最近也被黑客盜取了客戶數(shù)據(jù)。
這些企業(yè)對于黑客攻擊并非毫無準備。據(jù)埃森哲估計,2015年,全球企業(yè)在防范網(wǎng)絡(luò)攻擊上一共付出了840億美元成本。這一數(shù)字表明,所有企業(yè)都需要保護其數(shù)字資產(chǎn),首先應(yīng)當了解那些不斷嘗試發(fā)起攻擊的黑客是何許人也,以及企業(yè)能夠采取的把損失降到最小的防范措施。
新型罪犯
對于那些不了解黑客的企業(yè)高管們,這些不懷好意的家伙很是煩人。他們是一群竊賊或者綁匪?當然。同時也可能是一些厚顏無恥的書呆子?CEO們經(jīng)常很難理解這些黑客的動機。“當高管們發(fā)現(xiàn)遭到黑客入侵時,”從事網(wǎng)絡(luò)安全投資的風險投資家、前私募基金巨頭黑石公司的首席信息安全官杰伊·利克說,“我常?梢月牭剿麄兇舐暼碌溃‘剛才發(fā)生了什么?’你不必親自走進一家公司的辦公室就能夠竊取它的機密。”
利克所描述的“厚顏無恥”就是黑客們(盡管流行文化給他們披上了一層神秘的面紗)的真實寫照。實質(zhì)上,他們和一般的匪徒—比如銀行劫匪—也沒有什么兩樣。然而,黑客的不同之處在于他們很少直接露面。他們生活在“黑暗網(wǎng)絡(luò)”(需要特殊瀏覽器才可進入的互聯(lián)網(wǎng)匿名空間)的在線論壇里。在這些論壇,黑客們進行著種種非法行徑:侵入企業(yè)數(shù)據(jù)庫、出售盜竊得來的社會安全號碼,或者從沒有節(jié)操的企業(yè)員工手里收購內(nèi)部信息。
事實證明,網(wǎng)絡(luò)黑客非常善于將成功企業(yè)的經(jīng)營策略為其所用。例如,最近出現(xiàn)了向新手黑客兜售各種黑客工具的趨勢。這很像是半導體公司將其技術(shù)授權(quán)給設(shè)備制造商的策略。安全軟件巨頭賽門鐵克發(fā)布的一份報告稱,黑客團伙目前已經(jīng)開始提供“勒索病毒”許可,這種病毒可以讓計算機陷入癱瘓,從而迫使企業(yè)支付贖金,然后黑客團伙再從勒索到的贖金中分成。
這種明目張膽的違法犯罪行徑看上去很像是高效率的公司經(jīng)營行為。“網(wǎng)絡(luò)黑客不再需要完成具體犯罪所需的所有技能,”曾經(jīng)負責紐約南區(qū)復雜欺詐及網(wǎng)絡(luò)犯罪部門的前聯(lián)邦副檢察官妮科爾·弗里德蘭德表示。“他們開始在線雇傭具有這種技能的其他黑客,然后合伙犯罪。”在這種情況下,黑客已經(jīng)成為了類似醫(yī)師或律師的服務(wù)供應(yīng)商。弗里德蘭德于去年加入了Sullivan & Cromwell律師事務(wù)所的紐約分所。
然而,并非所有黑客都是自由職業(yè)者。事實上,當今某些最為危險的黑客組織是由國家機器所支持,或者至少由政府進行監(jiān)管。其中包括據(jù)信于去年侵入民主黨全國委員會網(wǎng)絡(luò)的俄羅斯黑客,以及被指出于金錢目的散布WannaCry勒索病毒的朝鮮黑客團隊。
如何防御
今年3月初,共享出行巨頭Uber的信息安全團隊突然忙碌起來:一名Uber員工報告發(fā)現(xiàn)了一封可疑電子郵件后,整個公司上下都發(fā)現(xiàn)了如潮水般的可疑郵件。
Uber的數(shù)據(jù)庫中保存有世界各地千百萬用戶的電子郵箱地址和個人信息,因此這家公司對于數(shù)據(jù)安全十分重視,與此同時,這家公司還是敏感數(shù)據(jù)的保管者。2014年,Uber遭遇了一次導致數(shù)萬名駕駛員的保險和駕照信息外泄的黑客攻擊;這家巨型新創(chuàng)企業(yè)花費了好幾個月才完成了對事件的分析和調(diào)查,然后通知了所有駕駛員。
當3月警報響起的時候,Uber任命了“事件總指揮”對不斷發(fā)展的事態(tài)進行管理。事件總指揮的職責在于讓企業(yè)做好應(yīng)對潛在黑客攻擊的準備。后來發(fā)現(xiàn),這次攻擊的目標是谷歌公司的Gmail服務(wù)的用戶,而非Uber自身。但是,所有使用Gmail的用戶都有可能成為受害者。當天晚些時候,谷歌通過更新消除了Gmail服務(wù)的漏洞,Uber由此解除了緊急狀態(tài)。
此次Uber的響應(yīng)是企業(yè)必須正確處理每日威脅的案例之一。前Facebook高管、現(xiàn)任Uber首席信息安全官的約翰·弗林表示,應(yīng)對信息安全事件—他把信息安全事件定義為從數(shù)據(jù)竊取到筆記本電腦被盜的廣泛事件—的關(guān)鍵在于,必須要有一個清晰明確的溝通策略。“事件過程中,高管的任務(wù)在于提供支持,”弗林說。“這時候再糾結(jié)于誰來負責就太晚了。”
在他的權(quán)限以內(nèi),弗林擁有足夠強大的權(quán)利。首席信息安全官(或稱CISO)可能是目前最熱門的高管職位。在網(wǎng)絡(luò)犯罪極為猖獗的當下,這一之前少有人知,而且不受人歡迎的高管職位已經(jīng)遠非昔比,甚至可以直接在董事會里占據(jù)一席。以前,CISO需要向負責采購并操作計算機、不必為信息安全發(fā)愁的首席信息官匯報。如果CISO發(fā)出黑客入侵的警報,他/她往往會因為需要取悅于高管而成為替罪羊。“我曾經(jīng)的工作就是告訴老板,他的小孩長得很丑。”一位前信息安全高管哀嘆道。
當時,信息企業(yè)把黑客威脅看作是企業(yè)面臨的風險之一并進行規(guī)劃—其他風險還包括行業(yè)蕭條、恐怖襲擊和自然災(zāi)害。CISO是一個讓企業(yè)時刻保持防范網(wǎng)絡(luò)犯罪的關(guān)鍵角色。“如果你是一家
《財富》美國500強公司,你必然有響應(yīng)計劃。”黑石公司的前高管利克表示。黑石投資的幾家公司也遭到了黑客的攻擊,其中包括藝術(shù)品零售商Michaels Stores。“但是當時人們沒有把信息安全提到足夠的高度,然后說:‘我們信心滿滿,要去做已經(jīng)決定好的事情。’”
只有擁有清晰明確的權(quán)限結(jié)構(gòu)和高效的行動計劃,企業(yè)才能夠打贏與黑客的戰(zhàn)斗。在某些情況下,企業(yè)必須通報警方,即聯(lián)邦調(diào)查局或美國特工處。兩家執(zhí)法機關(guān)擁有足夠的覆蓋面和能力,使之能夠向外國黑客開戰(zhàn)。必要時,秘密潛伏于“黑暗網(wǎng)絡(luò)”中的美國執(zhí)法部門會使用虛假交易引誘黑客上鉤,將其逮捕并引渡回美國受審。
然而,報警處理也有不利的一面。司法調(diào)查會讓受害企業(yè)遭受經(jīng)濟和時間損失,也可能會把敏感信息暴露在大庭廣眾之下。因此,企業(yè)的最佳做法就是在第一時間避免發(fā)生會讓聯(lián)邦調(diào)查局介入的黑客入侵事件。由此,一個規(guī)模巨大的新產(chǎn)業(yè)應(yīng)運而生。
新興產(chǎn)業(yè)
這臺視頻會議攝像頭看起來和普通的攝像頭沒有區(qū)別,但是,擁有它的企業(yè)并不知道的是,攝像頭已經(jīng)進入了超時工作狀態(tài):黑客已經(jīng)遠程控制了麥克風,并且用它來竊聽在這間會議室里舉行的會議。在全球性網(wǎng)絡(luò)安全公司Darktrace的幫助下,這家不愿意具名的企業(yè)終于識破了這個竊聽陰謀。Darktrace采用人工智能手段探測客戶網(wǎng)絡(luò)中的異;顒。Darktrace的CEO妮科爾·伊根稱,她的公司發(fā)現(xiàn)這臺攝像頭產(chǎn)生了異常巨大的數(shù)據(jù)流,Darktrace由此提醒客戶威脅的存在。
Darktrace只是致力于打擊黑客的千百家企業(yè)其中的一家。網(wǎng)絡(luò)安全曾經(jīng)只是企業(yè)軟件行業(yè)的一個偏門領(lǐng)域,現(xiàn)在卻已經(jīng)成為了風險投資趨之若鶩的熱門市場。紐約研究企業(yè)CB Insights稱,去年,風投企業(yè)一共向404家安全新創(chuàng)企業(yè)投資了35億美元。2013年,相應(yīng)的數(shù)字僅有279家和18億美元。
對于高管人士來說,所有的這些創(chuàng)業(yè)活動都最終演變?yōu)榱肆宅槤M目的安全產(chǎn)品。例如,新創(chuàng)企業(yè)Tanium提供的服務(wù)可以讓企業(yè)知道有哪些人在其網(wǎng)絡(luò)上。上市公司Palo Alto Networks推出的智能防火墻采用機器學習技術(shù)來抵御黑客入侵。另外還有一系列專注于細分市場的安全企業(yè),例如Area 1(專門抵御網(wǎng)絡(luò)仿冒詐騙)和Lookout(專注于智能手機安全服務(wù))。那么,有了這么多安全盾牌的保護,為什么網(wǎng)絡(luò)犯罪仍然愈演愈烈?事實上,這些防御系統(tǒng)的防御能力并沒有廣告里的那么強大。有安全行業(yè)的從業(yè)者抱怨說,有很多企業(yè)欺騙客戶購買“假冒安全軟件”,貌似能夠填補客戶安全漏洞,但卻無法真正保護客戶的軟件。
然而,除了軟件以外,被吐槽的還有人。“安全的弱點不僅在于技術(shù)缺陷,還有低劣的流程執(zhí)行或社會工程。”Greylock Partners的投資商、Palo Alto Networks的董事阿西姆·錢德納(Asheem Chandna)說。錢德納表示,大多數(shù)的黑客攻擊都是通過兩個渠道進行的,它們的技術(shù)水平都很低劣:一名員工在一封來自于她的老板的電子郵件里誤點擊釣魚鏈接或附件,或者有人偷走了員工的登錄秘鑰,并侵入公司網(wǎng)絡(luò)。
盡管網(wǎng)絡(luò)安全工具能夠阻止黑客攻擊,但是難免會有漏網(wǎng)之魚。人類是一種有好奇心的生物,在一家大公司里,總會有人點擊諸如“嗨,你看過這張公司聚會的照片嗎?”等鏈接。只值1美分的黑客工具足以穿透價值1美元的防御工具。因此,抵御黑客攻擊是一場永不停歇的漫長戰(zhàn)斗。
全世界最危險的四大黑客組織
早期的黑客攻擊大多是頑皮少年躲在自家地下室,用電腦上網(wǎng)惡作劇,現(xiàn)在已經(jīng)大不相同。如今,最大也最惡劣的黑客組織背后都有國家支持。黑客組織在網(wǎng)絡(luò)黑話中被稱為“高級持續(xù)威脅”簡稱APTs,從名字就能夠看出其最大也最根本的特點:兇猛。以下列出了幾個名聲最差,同時也最可怕的政府支持黑客集團。(對一些特定黑客推斷的根據(jù)為頂尖計算機證據(jù)收集公司。)
Robert Hackett奇幻熊/安逸熊
這兩只“熊”都來自于俄羅斯,因去年美國大選期間號稱突破了民主黨全國委員會的電腦系統(tǒng)為人關(guān)注。奇幻熊源自于俄羅斯軍方情報機構(gòu)格勒烏,自從成立起就開始干涉歐洲的大選。安逸熊則代表俄羅斯聯(lián)邦安全局,也即前蘇聯(lián)時代的克格勃,主要攻擊目標是美國的智庫。
Lazarus Group [又名黑暗首爾、和平衛(wèi)士]
Lazarus Group團伙作戰(zhàn)頑強,一般認為是朝鮮的黑客組織。2009年Lazarus初露面就對美國和韓國的網(wǎng)站發(fā)動了拒絕服務(wù)攻擊。五年后,Lazarus對索尼影業(yè)娛樂公司(Sony Pictures Entertainment)發(fā)動了大規(guī)模攻擊,2016年又從孟加拉國中央銀行和環(huán)球同業(yè)銀行金融電訊協(xié)會(SWIFT)盜得8,100萬美元。此外,今年5月肆虐全球的WannaCry勒索病毒據(jù)稱也與之有關(guān)。
方程式組織
俄羅斯殺毒軟件公司卡巴斯基(有一次發(fā)現(xiàn)了一個黑客團伙,給它起了這個名字。據(jù)稱該團伙與美國國家安全局有關(guān),尤其是獲取特定情報行動辦公室,簡稱TAO。這些不是好人,是吧?倒也不是每個人都這么想。很多專家相信方程式組織曾經(jīng)成功破解了伊朗的核項目。最近該組織的不少黑客工具被另外一個神秘的黑客集團Shadow Brokers(據(jù)稱跟俄羅斯有關(guān)系)盜取,還在網(wǎng)上公布,引發(fā)了不小的騷亂。
Sandworm
Sandworm因代碼中提到經(jīng)典科幻小說《沙丘》而得名,人們相信該組織也與俄羅斯有關(guān)。Sandworm曾經(jīng)攻擊與北約和烏克蘭政府相關(guān)人士,很可能是為了收集情報。此外,Sandworm還喜歡攻擊與關(guān)鍵基礎(chǔ)設(shè)施相關(guān)的公司。去年,這幫黑客關(guān)閉了烏克蘭的電網(wǎng)。
盤點史上最大的十起黑客攻擊企業(yè)事件
領(lǐng)英網(wǎng)(2012年)
2012年,領(lǐng)英網(wǎng)稱650萬個用戶賬戶遭到了黑客攻擊。2016年,事情變得更糟糕了,超過1.17億個賬戶的用戶名和密碼信息被黑客出售。
塔吉特公司(2013年)
2013年12月,1.1億名客戶的個人信息和財務(wù)信息被曝光。隨后,作為這一大型數(shù)據(jù)泄露事件所帶來的后果之一,首席執(zhí)行官格雷格·斯泰因哈費爾宣布辭職。
摩根大通公司(2014年)
黑客們攻擊了摩根大通公司的一臺服務(wù)器,并且竊取了銀行數(shù)百萬賬戶的數(shù)據(jù)。據(jù)稱,這些賬戶被用于詐騙計劃,造成了約1億美元的損失。
家得寶公司(2014年)
黑客竊取了超過5,000萬名用戶的電子郵件和信用卡數(shù)據(jù)。這一數(shù)據(jù)泄露事件使這一連鎖零售店花費了至少1.79億美元與消費者和信用卡公司達成和解。
索尼公司(2014年)
為了報復索尼出品的電影模糊了朝鮮領(lǐng)導人金正恩的面容,被認為與朝鮮有關(guān)的黑客在索尼影業(yè)娛樂公司的服務(wù)器上肆意妄為了一番。
希爾頓酒店(2015年)
據(jù)報道,黑客入侵了該連鎖酒店的支付系統(tǒng),并從全美各地的希爾頓酒店和喜達屋連鎖酒店竊取了客戶的信用卡數(shù)據(jù)。
兩家律師事務(wù)所(2015年)
黑客入侵了科瓦斯·斯懷恩·摩爾國際律師事務(wù)所和威嘉律師事務(wù)所的電子郵箱賬戶,掌握了即將進行的公司合并計劃。據(jù)稱,黑客通過出售這一消息賺取了400萬美元。
環(huán)球同業(yè)銀行金融電訊協(xié)會(2016年)
據(jù)報道,朝鮮黑客利用環(huán)球同業(yè)銀行金融電訊協(xié)會支付系統(tǒng)的漏洞,從孟加拉國中央銀行(Bangladesh Central Bank)的紐約聯(lián)邦儲備銀行賬戶中竊取了8,100萬美元。
樂購公司(2016年)
黑客攻擊了大型連鎖超市樂購旗下的樂購銀行,竊取了這家銀行9,000多個賬戶的總共約320萬美元的資金,樂購不得不向顧客賠償。
Chipotle公司(2017年)
據(jù)報道,一個東歐犯罪團伙利用網(wǎng)絡(luò)欺詐手段盜取了數(shù)百萬名Chipotle客戶的信用卡信息。這次事件是專門針對餐館的一系列騙局中的一個。