歡迎光臨
我們一直在努力

“洩密門”越來越多,但為什麼企業寧願把費用留在事後公關上?

“安全崩壞”可以說是3月份的主題詞了,先是數字貨幣交易平台幣安遭黑客攻擊,破壞了數字貨幣絕對安全的形象,然後Facebook出現用戶數據洩露醜聞,形成了一場空前的危機。

其實這些還只是個開始,提醒大家一下,谷歌最近發布了一款72個量子比特的通用量子計算機Bristlecone,量子比特數量不斷提高、錯誤率不斷降低,人類所掌握的計算能力正在飛漲,很快就 會把現存的一切加密措施一一突破。

在公眾認知裡,我們保護信息的方式,僅僅是從數字密碼進化到指紋識別和人臉識別而已。 這其中還存在著“橘子皮破解touchID”、“雙胞胎矇騙人臉識別”這類Bug,簡直是弱爆了!

不過我們天生會給予危險更多關注,實際近年我們在網絡安全上也取得了大量進步,今天介紹的“密碼錨定”就是其中之一。

防止黑客跑的太快,不一定要靠拳頭

那些在影視劇中的黑客都是什麼樣的? 穿著緊身衣,潛入目標的辦公室或臥室,從智能手錶中拔出一個小小的U盤插入電腦上,敲下幾行代碼後開始焦急的等待讀條。 此時一定會有同伴在外圍配合,為黑客爭取時間。 最後在緊要關頭,進度條終於從99.5%變成了100%,黑客得到了機密數據,取下U盤逃之夭夭。

這裡有一點非常寫實,那就是駭侵一定要動作迅速。 因為黑客的首要目標不是“不被發現的拿走數據”,而是“拿走數據”。 實際上防追踪的手段也很多,比如瀏覽暗網的洋蔥瀏覽器Tor就可以利用來防止追踪。 但如果目標服務器在入侵過程中就有所察覺,直接可以停止黑客的訪問,並且補上漏洞及時止損。

就拿前兩年索尼數據庫被盜來說,為人詬病的一點是黑客從索尼數據庫裡拖出了上百T的數據,即使是千兆寬帶的速度也要拖上幾十天。 持續時間如此之長的異常流量波動,竟然沒有被索尼的日常運維監測到。

黑客所做的,往往是長期潛伏尋找漏洞,一旦找到就用最短的時間獲取盡可能多的數據,直到自己的訪問被禁止或漏洞被填補。 如果那些善於防追踪的入侵者遇上了索尼這樣網絡安全技術欠佳的天然呆企業,後者可能會等到自己的數據在暗網上氾濫之後,才後知後覺的意識到發生了什麼。

現在我們知道了,網絡安全問題的威脅程度很大一部分都取決於操作速度。 那麼有沒有什麼辦法,讓入侵者的速度慢下來?

把黑客放進去……然後狠狠關上門

密碼錨定的作用就在於此。

這項技術由Docker的網絡安全工程師 Diogo Monica提出,可以被理解為一種對服務器底層交互的改變。 通過將數據加密,將密鑰單獨存放在硬件之中,有了這種硬件安全模塊存在,黑客在拖數據的時候就無法像下載電影那麼容易了。

密碼錨定的作用並不是防止黑客進入數據庫,而是在黑客進入數據庫之後縮緊閘門讓他們沒那麼容易把數據拿出來。 數據本身的加密算法並不復雜,但是數據出入數據庫需要經過經過硬件安全模塊的解密,僅僅是這一過程,就會大大拉長數據盜取行為的時間。 以前用幾個小時就能拖完的數據,現在則需要幾十天。

這樣一來,盜取的行為被拉長,如同給企業劃定了一個範圍,讓企​​業在其中錨定盜取者的身影。 黑客進去容易出來難,就成為了甕中之鱉。

舉例來講,去年美國知名信用評級機構Equifax自曝被黑客盜取數據庫,有1.4億美國的個人信息被洩露。 其中原因就在於用戶的私密數據雖然被加密,但為了保證信息的正常調用,前端Web服務器同樣擁有解密的密鑰,黑客入侵之後可以直接在數據庫內完成解密。 但有了密碼錨定,黑客在解密時需要反復向硬件安全模塊發送請求,即使每次請求只需要0.0001秒那麼短的時間,加起來也會延緩駭侵的速度。

這種增加硬件安全模塊的方式正在越來越多樣化。 比如亞馬遜和微軟的雲服務都包含硬件安全模塊上雲服務,用雲存儲和雲計算的方式減輕企業使用密碼錨定的負擔。

最近IBM推出的鹽粒大小的微型計算機,也被用來作為密碼錨定中的硬件模塊。 IBM宣稱,這樣造價低廉、體量小的計算機可以用來作為傳感器收集數據,並對數據進行監控和分析。 IBM提出了一個應用案例,微型計算機可以和區塊鏈物流相結合,被植入到商品中作為一種可驗證“電子指紋”,好讓消費者知道自己的商品沒有被掉包。

這樣的應用方式雖然有點遙遠,但云服務、微型計算機、微型芯片這些技術的確擴大了密碼錨定技術的應用可能。

企業信息洩露的成本有多低? 最高罰款不過百萬

不過就目前來看,真正應用上密碼錨定的企業還不算多。 除了Docker之外,還有移動支付企業Square,以及Facebook(劃重點)和Uber。

其中一部分原因在於接入硬件模塊的成本,當企業意識到數據安全時,必然是已經建立好數據庫的時候。 這時再以硬件方式進行耦合和加密,往往需要耗費大量的時間和金錢成本。 讓企業花費這麼多去交換一個抓住正在駭侵中黑客的機會,的確應該多加考慮。

當然,Facebook這次信息洩露和密碼錨定以及任何網絡安全技術無關,這次洩露甚至沒有黑客參與,僅僅是因為不當的第三方授權模式,才讓其他企業得到了用戶的數據。 Facebook和Uber對密碼錨定的應用很可能是在支付方面。

不過這也揭示了一種現象,在平時,幾乎沒有任何人能感知到企業對信息安全的高成本投入,可一旦出現信息洩露事件,企業此前的努力就會被毀於一旦。 最後形成了一種極端的結果:企業與其花重金提升信息安全水平,不如把費用留在出事後的公關上。

想要解決這種狀況,恐怕就需要所有人一起努力了。

比如當民眾的信息越來越多的被獲取時,政府可以加強對企業信息保護措施的硬性要求,並加強信息洩露後的追責和懲罰。 目前我國的中華人民共和國網絡安全法中,對涉事企業以及企業中個人的懲罰罰款最高也只有一百萬。 一家大企業每年花在安全運維上的費用就早已超過了這個數目。

而我們自己能做到的,或許就是在洩露事故發生後與企業的洗地行為進行對抗,加大企業發生信息洩露事件的成本,讓企業知道信息洩露不是交幾十萬罰款、找公關洗洗 地就能解決的事。 和這次Facebook事件一樣,用戶的發聲和選擇,可能會讓信息洩露成為企業中的一場颶風。

如果類似的事件發生在中國網民身上,請不要忘記、不要沉默。

*文章為作者獨立觀點,不代表虎嗅網立場

本文由 腦極體 授權 虎嗅網 發表,並經虎嗅網編輯。 轉載此文請於文首標明作者姓名,保持文章完整性(包括虎嗅注及其餘作者身份信息),並請附上出處(虎嗅網)及本頁鏈接。 原文鏈接:http://www.huxiu.com/article/237084.html

未按照規範轉載者,虎嗅保留追究相應責任的權利
未來面前,你我還都是孩子,還不去下載 虎嗅App 猛嗅創新!

未經允許不得轉載:頭條楓林網 » “洩密門”越來越多,但為什麼企業寧願把費用留在事後公關上?