由Information Is Beautiful可视化处理得出的2015年各大数据泄露事故示意图。
“就在撰写本文的同时,某个自称为“幽灵小队(The Phantom Squad)”的组织宣称其计划在圣诞节当天同时攻陷Xbox Live与PlaystationPSN网络,且整场攻击将持续一周。他们宣布其将继续用实际行动证明微软与索尼在安全性方面的孱弱,其中微软曾在去年年末经历过来自名为“蜥蜴小队(Lizard Squad)”的另一黑客组织的袭击。当然,这无疑会严重影响到刚刚在节日期间购买到新款游戏主机的消费者们的心情。不过正如著名黑客活动组织“匿名者”
所言,“……如果大家担心无法在圣诞节期间玩上主机游戏,请放下心来——那绝不是圣诞期间最可怕的状况。”
E安全百科:所谓黑客,是指那些在计算机系统或者计算机网络当中寻找并利用弱点的人士。黑客实施此类行为的理由可能多种多样,包括实现收益、表达抗议、挑战自我、享受过程或者评估此类弱点以帮助相关厂商加以修复。
考虑到由消费者及其设备所生成的数据总量正不断增加,而随着由物联网等新兴趋势带来的潜在敏感信息的大量存在,网络安全与数据保护也变得越来越重要。但每一年发生的数据泄露事件都开始呈现出规模更大、复杂度更高且所造成损失更严重等特性。根据由IBM与Ponemon双方今年进行的一次联合研究发现,今年包含敏感及机密信息的记录在丢失或者被盗时,由此带来的平均成本增长了6%——由去年的145美元提升至如今的154美元。单一记录丢失或者失窃衍生成本最低的为交通行业与公共事业机构,分别为121美元与68美元。在另一方面,零售行业的平均成本则迎来显著增长,从去年的105美元攀升至今年的165美元。下面来看截至目前出现的与黑客活动相关的头条消息:
AshleyMadison数据泄露事故影响到3700万用户。
被安装在超过2000台收银机上的恶意软件影响到Home Depot的超过5600万名客户。
欧洲中央银行的网站遭到黑客入侵,包括邮箱地址以及联系人数据的各类个人信息被窃。
伍德社区学院的网站今年遭到黑客侵袭,共有过去八年多以来申请过课程的12万5千名申请者的社保号码被恶意人士获取。
并非全部威胁都来自外部
这还仅仅是2015年当中安全业界出现的一小部分实际问题,不过有趣的是尽管黑客活动与信息泄露大部分被归结于外部攻击,但在最近由HMRC在英国组织的PwC调查当中,其发现约有43%的网络安全事故其实是由内部人员的行为所引发。而在本月早些时候与Bay Dynamics公司CTO Ryan Stolte进行了交谈之后,我对出现这种状况的理由有了更为明确的认识。
Ryan所在的公司负责将与用户行为及系统访问有关的数据收集起来,并建立起指向个人的分析结果——包括内部员工与第三方供应商用户——包括他们的日常活动包含哪些细节。“通过关注那些对商业网络进行访问的对象并了解其典型活动方式,我们就能在其出现异常行为时快速对其进行标记、报告与阻止。其整体目标在于抢在恶意人士之前叫停可能给企业整体带来影响的行为,”Ryan指出。
用户与职能实体行为分析(简称UEBA)作为内部用户行为网络安全检查的一重要分支,目前正逐渐迎来旺盛的人气。Gartner公司指出其预计UEBA市场营收到2017年年末将达到约2亿美元。
根据Bay Dynamics的研究结果,目前约有90%的数据丢失状况属于偶然事件,即当员工将敏感数据泄露至企业之外时,这部分员工实际属于合法用户、只是在无意中出于商业目的而发送了此类数据。尽管可能违反了既定的商业管理政策,但他们仍然表现出正常的员工行为。当被雇主约谈时,有80%的用户意识到自己进行过可能引发风险的行为(即访问高风险网站,包括赌博、色情以及其它站点),而对此做出改变则使他们更具安全意识。
只有1%的数据丢失状况属于关键性事故,其可能表现出严重的受害迹象或者由内部人员违规所引发。
针对物联网之攻击活动
如果相关数字是真实可信的,那么截至2020年接入互联网的物联网设备将达到500亿台,而由此产生的数据总量亦将高达44ZB(即44万亿GB)。不过着眼于2015年,相关市场在保障个人与企业信息安全的能力方面仍然极为欠缺。由Altimeter Group发布的一份报告指出,有45%的受访者表示他们对于那些使用其联网设备数据的企业的安全性水平以及隐私保护能力信任度较低或者根本不信任,而Park Associates发布的研究则指出,有70%的智能设备持有者担心其家居控制设备以及由此生成的数据被他人以未授权方式访问。
物联网与智能设备行业的安全事故同样越来越普遍。
2014年,Context Security发布了其如何通过wi-fi网络对某品牌网络智能灯泡进行入侵的细节信息,其最终成功以远程方式控制了该灯光。“我们买来几个灯泡并研究其如何实现彼此间的通信,并发现其中一条信息与用户名及密码有关,”Context研究主管Michael Jordon解释称。“通过在网络当中添加一颗新的灯泡,我们得以获取到了这一信息,”他补充道。
同样的,作为一位网络安全专家,Jesus Molina在深圳的St Regis公司工作——这是一家专门帮助客户利用iPad及数字化“管家”应用实现家庭环境内各类控制功能的厂商,具体包括恒温器、灯光以及电视等。
Molina发现这套系统的安全性极为脆弱,他编写了一段代码以欺骗客户的iPad,并通过自己房间中的笔记本电脑进行远程操控。经过一系列调查,他发现了客户家中三个房间间的区别,并掌握了各个房间的网络地址与其中的设备序列。以此为基础,他得以编写出一份脚本,能够对一家酒店内的250多个房间进行潜在控制。
除此之外,还有其它一些更为可怕的安全传闻:黑客有可能控制我们的联网汽车甚至接入以及起搏器,这一切都提升了公众对于安全问题的重视程度。
不过这并不是黑客技术的全貌。除了安全威胁之外,黑客技术也有助于提升硬件与软件的功能特性甚至超越其既定作用。下面我们以Xbox Kinect为例:
我们可以利用Kinect配合Linux系统构建起一台低成本且简便易行的机器人。
Kinect允许伦敦的外科医生们利用手势与语音控制查看并处理医学影像资料。
事实上,关于Kinect的拓展应用中最广为人知的就是某位技术人员利用其建立起一套控制界面,他的母亲在中风后得以借此发送电子邮件。
互联网的未来是否倚重于黑客?
这一论点可能存在着争议,而且必须承认我本人并不是什么网络安全专家。不过在笔者看来,黑客文化确实可以作为积极的元素帮助企业发现其内部环境中的基础性安全漏洞,同时识别出互联网中的各薄弱环节。普通民众往往非常信任他们日常生活中必然涉及的各企业及组织机构,希望其能够帮助自己保护敏感及个人信息——而无论出于恶意或者善意的目的,安全漏洞的显现能够帮助我们更好地理解信息安全形势。这并不是一场战争,而更像是一种共生关系,也许法律应该以条文的形式反映出这一点。
“黑客法则当中没有防御这一概念,他们的行为只是为了获得更大的收益。这就是黑客的信念所在。”
——Pinsent Masons律师事务所法务主任Struan Robertson
企业可以雇佣有道德的或者白帽黑客利用同样的方式尝试突破企业的计算机安全体系,但在我看来他们的出发点有所不同——即使最终结果看起来并无区别。
而在遭遇黑客攻击的企业当中,人们往往对此讳莫如深,并将其视为一种耻辱及负面状况。在安全流程及规程尚不完善的情况下,“受害者”常被视为一种敏感词,而且被攻击目标往往在事故发生后很久才愿意承认这类事实。举例来说,纽约大坝于2013年遭遇入侵,但我们现在才刚刚开始得到消息。
正如以上所强调,黑客技术也能够调整硬件与软件的原始设计,并将其功能扩展至远超原本意图的新高度。
这场由信息安全与黑客业界共同参与的猫鼠游戏仍将不断持续,而在2016年中我们将亲眼见证规模更大且危害性更强的安全事故——其可能发生在企业防火墙之内或者之外。不过也许我们现在应该换个角度审视问题,因为如果没有黑客的存在,我们的一切安全性保障都只是种“幻觉”。