?2016-09-24 20:12 騰訊科技 譚思

TNW中文站 9月24日報道

黑客也許是世界上最酷的工作之一了，與忍者、海盜和超級間諜并列。

當(dāng)我還是個小孩子的時候，我希望自己成為印第安納·瓊斯（indiana jones）或詹姆斯·邦德（James Bond），因為他們桀驁不馴，而且善于戰(zhàn)斗。

后來，一個叫“匿名者（Anonymous）”——在紐約叫做“蒙面復(fù)仇者（Masked Avengers）”——的黑客組織開始成為我的崇拜對象。我的性格里有一種根深蒂固的叛逆，我也想成為一名黑客。

事實上，今天大多數(shù)的網(wǎng)絡(luò)犯罪并不是那些叛逆的黑客（他們戴著酷酷的墨鏡，穿黑色衣服，為解放人類而戰(zhàn)）干的，當(dāng)然也不是那些住在父母的地下室里少年黑客干的。大多數(shù)網(wǎng)絡(luò)犯罪是黑客組織干的，有的還是政府支持的黑客組織。

這些黑客組織具有更多的負(fù)面色彩和更大的破化能力。

2014年，黑客每年給全球經(jīng)濟造成的損失大約為 5750億美元，相當(dāng)于全球GDP的0.8％。2015年，遭受黑客攻擊的美國公司平均損失650萬美元。

650萬美元對任何一個公司來說都是一個較大的損失，而且有可能使公司丟失用戶的信任。對中小型公司來說，這樣的損失更加難以承受。

企業(yè)該怎么保護自己？荷蘭的頂級銀行之一荷蘭銀行（ABN AMRO）已經(jīng)開發(fā)出了一種成功的網(wǎng)絡(luò)安全系統(tǒng)。

網(wǎng)上銀行是最容易受到網(wǎng)絡(luò)攻擊的領(lǐng)域之一，因為黑客一旦攻擊成功將獲利豐厚。荷蘭銀行每天都面臨著網(wǎng)絡(luò)攻擊的威脅，包括對網(wǎng)銀客戶的攻擊、拒絕服務(wù)攻擊和勒索軟件等等。而且這些攻擊每天都在變化。

為了對付網(wǎng)絡(luò)攻擊，荷蘭銀行已經(jīng)建立了一個叫CISO的部門，其任務(wù)是保護銀行的網(wǎng)絡(luò)安全，包括身份和訪問管理、欺詐檢測技術(shù)研發(fā)、風(fēng)險評估、密碼術(shù)研發(fā)、供應(yīng)商安全管理和危機管理。

對其他公司來說，荷蘭銀行所采用的策略為它們提供了關(guān)于如何創(chuàng)建一個有效的網(wǎng)絡(luò)安全系統(tǒng)的經(jīng)驗。

策略1：最薄弱的環(huán)節(jié)不能修復(fù)

在一個應(yīng)用程序的安全系統(tǒng)中，什么是最薄弱的環(huán)節(jié)？你可以在下列選項中選擇一個。

A.跨站點腳本(Cross-Site Scripting)？

·B.不安全的加密存儲？

·C.直接通向反應(yīng)器系統(tǒng)的熱排氣口？

·D.人類（或稱為用戶和雇員）

如果你的回答是C，那么你可能是《星球大戰(zhàn)》（Star Wars）這類電影看多了！

如果你的回答是A或B，那么你可能是一個書呆子！

如果你的回答是D，恭喜你答對了！

對任何應(yīng)用程序來說，人類都是最大的安全風(fēng)險。這里說的人類包括公司員工和用戶。公司可以通過許多途徑來盡量減少人類帶來的安全風(fēng)險——培訓(xùn)員工、員工政策更新、通知用戶并迫使他們更改密碼，或者設(shè)置多級別認(rèn)證。

然而，黑客們會創(chuàng)造更多的方式將人類的風(fēng)險最大化。

黑客們正在采用越來越有效的網(wǎng)絡(luò)釣魚郵件、垃圾郵件、社交工程和其他技術(shù)來蒙騙倒霉的用戶或員工。2015年，3730萬卡巴斯基殺毒軟件的用戶遭遇了網(wǎng)絡(luò)釣魚攻擊。像荷蘭銀行這樣的企業(yè)可以有效告知和培訓(xùn)90％的用戶和員工，但黑客們發(fā)出了大量的釣魚郵件和其他攻擊，它們所需要的只是一個收件人打開電子郵件以創(chuàng)建一個攻擊路徑。在現(xiàn)實中，約23％的收件人打開了釣魚郵件。

這里的教訓(xùn)不是我們應(yīng)該用精心編程的機器人來代替用戶和員工，——機器人更可能被黑客攻擊，而是我們永遠(yuǎn)不要假設(shè)任何環(huán)節(jié)是安全的。

對用戶和員工進(jìn)行通知和培訓(xùn)的必要的，但這樣做最多只能提供一種脆弱的保護。荷蘭銀行不是押注在“標(biāo)準(zhǔn)”用戶身上，而是作了最壞的打算和相應(yīng)的應(yīng)對。墨菲定律尤其適用于網(wǎng)絡(luò)安全——可能出現(xiàn)的問題往往會真的出現(xiàn)。

策略2：并不需要建立一個諾克斯堡

在一個理想世界中，每個公司都擁有無限的資金和無限的員工，它們可以將自己的應(yīng)用程序建成一個不可能被攻破的“諾克斯堡（Fort Knox）”。但是，這個世界并不理想，企業(yè)（尤其是初創(chuàng)企業(yè)甚至大型銀行）往往只能用一個人員非常有限的團隊和非常有限的資金來創(chuàng)建自己的安全基礎(chǔ)設(shè)施，而且這些有限的資金和人員還可能被轉(zhuǎn)移到產(chǎn)品開發(fā)部門和其他部門。

那么企業(yè)能做什么呢？

下面是企業(yè)可做的選擇：

·A. 嘗試建立一個“諾克斯堡”！花光有限的預(yù)算來保護自己的應(yīng)用，但最后發(fā)現(xiàn)自己的應(yīng)用沒有用戶愿意使用，因為公司所有的資金都用在安全方面，沒有錢來研發(fā)更好的產(chǎn)品了。

·B. 認(rèn)為黑客必勝，轉(zhuǎn)向黑暗的一面，并與惡魔進(jìn)行交易，將自己所有數(shù)據(jù)都交給黑客以換取傭金。

·C. 不去建立一個諾克斯堡。相反，認(rèn)識到創(chuàng)建無漏洞的應(yīng)用程序幾乎是不可能的，從而將公司的努力方向轉(zhuǎn)向了解這些漏洞，并據(jù)此開發(fā)安全基礎(chǔ)設(shè)施。

荷蘭銀行選擇了C。荷蘭銀行沒有試圖去創(chuàng)建一個極度安全，但笨拙而無法使用的銀行應(yīng)用，而是努力去創(chuàng)建一個即安全而又具有高度可用性的應(yīng)用。

例如，荷蘭銀行取消了多步驟身份驗證過程，因為這個驗證過程雖然使它的應(yīng)用變得更安全，但同時也給用戶造成了很大的麻煩。荷蘭銀行將重點放在對用戶賬戶的安全檢測上——檢測發(fā)生在用戶賬戶上的欺詐活動，以避免用戶賬戶被黑客入侵。

這樣，雖然最終創(chuàng)建的應(yīng)用是有漏洞的，但荷蘭銀行將重點放在了發(fā)現(xiàn)這些漏洞存在于何處，以檢測黑客基于這些漏洞發(fā)起的攻擊行為，并阻止這些攻擊最終對用戶造成傷害。

荷蘭銀行的信息安全管理部負(fù)責(zé)人Fabien Casteran說：

“黑客喜歡阻力最小的路徑。想象一下，你家有一扇安全的、難以攻破的前門，但你家的后窗是沒有鎖的。強盜將從后窗闖入你家。因此，我們要像黑客一樣思考。”

所以，荷蘭銀行知道哪里最有可能出問題，以及它最終出問題的可能性，然后相應(yīng)地開發(fā)更高級別的安全設(shè)施或者檢測服務(wù)。

策略3：聘請黑客

我們的建議是像黑客那樣思考。但是，我們不是黑客，僅僅是只有使用電腦的非專業(yè)人士，我們怎么像黑客一樣思考？

你不知道。所以你可以雇用黑客，然后讓他們來攻擊你的應(yīng)用程序。

這似乎不只是挑戰(zhàn)，而且也是反直覺的。但是，世界上確實有這樣一個職業(yè)群體，他們的工作是受雇于企業(yè)，專門攻擊該企業(yè)的產(chǎn)品漏洞。

這個有道德的黑客群體的成員都是企業(yè)的安全顧問，企業(yè)花錢請他們來測試它們的系統(tǒng)安全性。甚至還出現(xiàn)了一種稱為正派黑客認(rèn)證（Certificated Ethical Hacker，CEH）的技術(shù)認(rèn)證，它是“一種使用滲透測試技術(shù)對計算機系統(tǒng)進(jìn)行安全性評估的資格認(rèn)證。CEH考試代碼為312-50。”這種認(rèn)證由國際電子商務(wù)顧問委員會（International Council of E-Commerce Consultants）提供。

荷蘭銀行雇用這些正派黑客來測試自己的應(yīng)用程序，并找到它們的弱點。雖然這種策略的有效性受到質(zhì)疑，而且不是所有的企業(yè)都有能力聘請正派黑客——聘請他們的價格可能是昂貴的。但我們可以學(xué)到的經(jīng)驗是：從一個黑客的角度（而不是僅僅從IT專業(yè)人士的角度）來測試應(yīng)用程序，并找到它的漏洞，這是至關(guān)重要的。

策略4：利用人工智能

黑客每天通過不同的渠道，采取不同的方式對荷蘭銀行實施攻擊。這意味著荷蘭銀行每天面臨著不同類型、不同方式的攻擊，每天都有新的防守領(lǐng)域。

所以，荷蘭銀行需要走在黑客前面一步，不僅要像黑客一樣思考，而且要比最厲害的黑客領(lǐng)先一小步。

為了保持這種領(lǐng)先，荷蘭銀行投入巨資研發(fā)新的網(wǎng)絡(luò)安全技術(shù)。雖然荷蘭銀行的這種研發(fā)工作的一部分是在內(nèi)部進(jìn)行的，但該行也與IBM Watson（IBM公司的人工智能研發(fā)部門）進(jìn)行直接合作，以更好地檢測網(wǎng)絡(luò)欺詐活動。

荷蘭銀行與IBM Watson聯(lián)手，研究如何利用人工智能改善算法，以適應(yīng)和對付黑客不斷變化的攻擊方式。他們開發(fā)的一個欺詐檢測算法已經(jīng)獲得了專利。

保持對黑客領(lǐng)先一步，這對任何網(wǎng)絡(luò)安全策略的成功來說都至關(guān)重要。人工智能是網(wǎng)絡(luò)安全技術(shù)的下一個前沿領(lǐng)域。

那么，其他公司從荷蘭銀行可以學(xué)到的主要經(jīng)驗是什么？

最好的防守不是單純構(gòu)建安全基礎(chǔ)設(shè)施，還要投入時間和資源去找到和理解安全漏洞在哪里。（編譯/譚思）