裸体公司时代: "人是信息安全最大的短板

　　6月初美国花旗银行证实，该银行系统日前被黑客侵入，大量客户信息被盗取，此次事件为包括金融在内的传统行业拉响了网络安全的红色警报。

　　花旗银行的客户数据大规模“泄露”与索尼公司泄露的上亿用户数据相比也许算不了什么，甚至与全球最大的电子邮件营销公司Epsilon所泄露的电子邮件地址数量来说都少很多，但花旗银行的金融行业属性使得这次黑客攻击的严重性绝不亚于前两者。

　　值得引起注意的是，花旗银行的大规模数据失窃事件只是今年多起重大事故中的一个插曲。Steve Elfant，哈德兰支付系统公司的CIO指出：“如今我们面对不再是14岁的小孩，而是技术精良、组织严密、步步为营的在线劫匪。”一切正如美国作家唐-台普斯科特所预言的，如今的企业都将变成“赤裸公司”，互联网时代企业的信息围墙正在被推倒，破坏力的主角是内部员工和外部黑客，技术的进步反而退居次席。

　　就在不到一个月前的5月28日，美国国防部第一大承包商，以打造战斗机、船舰和著名的黑鸟高空侦察机而闻名的洛克希德马丁公司遭到不知名黑客入侵，攻击方法是使用克隆的RSA SecurID员工令牌，目前还无法立即得知有哪些资料被窃，或者是否有任何数据遭窃。

　　洛克希德马丁遭受的黑客攻击方式让人联想到此前一个月RSA遭遇黑客攻击，当时专家分析那次攻击可能令RSA公司防黑客入侵技术的安全性面临危险（例如RSA令牌）。RSA当时并未透露太多有关攻击的细节信息，但之后洛克希德马丁公司的RSA令牌就遭到了黑客克隆，而RSA令牌还广泛应用于金融行业。日前RSA新技术、身份保护及验证总监乌瑞·瑞纳(Uri Rivner)在官方博客中详述了黑客的攻击过程。

　　瑞纳称，在两天的时间内，公司一部分普通员工收到了一些电子邮件，这些邮件带有一个名为“2011年招聘计划”的Excel表格附件。一些员工打开了附件，并在表格空白处填写了内容。

　　而该表格包含一个“零日漏洞”，主要是利用了Adobe Flash的漏洞，通过该漏洞，黑客可以在目标计算机上安装任何程序。黑客选择安装的是“Poison Ivy RAT”，这是一个远程控制程序，用某个地方的计算机控制另一个地方的另一台计算机。

　　国内知名的IT风险管理企业——谷安天下的总经理李华表示：我们可以看到，黑客打入全球知名网络安全公司的手段其实如此的简单：钓鱼。即使在全球最顶尖的网络安全公司，依然存在一些安全意识淡薄的员工，他们成为网络安全人力防火墙的短板，更不要说金融、能源、通信等传统行业企业。

　　黑客用社会工程学和钓鱼等方式“劫持”企业员工，获得企业内部的大量消费者数据，然后这些数据，例如邮件地址将被用于更大规模的钓鱼活动。趋势科技资深安全顾问RikFergunson在博客中表示，近来几次大规模客户数据泄露事件将推动黑客钓鱼技术朝“精准钓鱼”发展，黑客知道你的名字、消费记录和生日，他们很容易给你发送一封你无法视而不见的足以以假乱真的钓鱼邮件。

　　李华认为，员工正在成为黑客攻击的头号目标，而包括社交工程、精准钓鱼等技术的发展使得黑客“劫持”员工的成功几率大大增加，最近发生的几次重大网络安全事故究其原因，问题都出在“人”的因素上，甚至HBgary和RSA这样的顶尖网络安全公司，被入侵的跳板都是企业员工或管理层。由谷安天下近期发布的《2010年中国企业员工信息安全意识调查报告》显示，包括金融在内的大型行业企业，提升整体网络安全水平目前最大的短板不是“技术”，而是“人”和“流程”。而企业现阶段最应该做的，就是根据自身所处的行业特性，重新梳理流程并有针对性的提升企业员工安全意识。