“泄密门”越来越多,但为什么企业宁愿把费用留在事后公关上?
2018-03-24 16:16

“泄密门”越来越多,但为什么企业宁愿把费用留在事后公关上?

“安全崩坏”可以说是3月份的主题词了,先是数字货币交易平台币安遭黑客攻击,破坏了数字货币绝对安全的形象,然后Facebook出现用户数据泄露丑闻,形成了一场空前的危机。



其实这些还只是个开始,提醒大家一下,谷歌最近发布了一款72个量子比特的通用量子计算机Bristlecone,量子比特数量不断提高、错误率不断降低,人类所掌握的计算能力正在飞涨,很快就会把现存的一切加密措施一一突破。


在公众认知里,我们保护信息的方式,仅仅是从数字密码进化到指纹识别和人脸识别而已。这其中还存在着“橘子皮破解touchID”、“双胞胎蒙骗人脸识别”这类Bug,简直是弱爆了!


不过我们天生会给予危险更多关注,实际近年我们在网络安全上也取得了大量进步,今天介绍的“密码锚定”就是其中之一。


防止黑客跑的太快,不一定要靠拳头


那些在影视剧中的黑客都是什么样的?穿着紧身衣,潜入目标的办公室或卧室,从智能手表中拔出一个小小的U盘插入电脑上,敲下几行代码后开始焦急的等待读条。此时一定会有同伴在外围配合,为黑客争取时间。最后在紧要关头,进度条终于从99.5%变成了100%,黑客得到了机密数据,取下U盘逃之夭夭。


这里有一点非常写实,那就是骇侵一定要动作迅速。因为黑客的首要目标不是“不被发现的拿走数据”,而是“拿走数据”。实际上防追踪的手段也很多,比如浏览暗网的洋葱浏览器Tor就可以利用来防止追踪。但如果目标服务器在入侵过程中就有所察觉,直接可以停止黑客的访问,并且补上漏洞及时止损。



就拿前两年索尼数据库被盗来说,为人诟病的一点是黑客从索尼数据库里拖出了上百T的数据,即使是千兆宽带的速度也要拖上几十天。持续时间如此之长的异常流量波动,竟然没有被索尼的日常运维监测到。


黑客所做的,往往是长期潜伏寻找漏洞,一旦找到就用最短的时间获取尽可能多的数据,直到自己的访问被禁止或漏洞被填补。如果那些善于防追踪的入侵者遇上了索尼这样网络安全技术欠佳的天然呆企业,后者可能会等到自己的数据在暗网上泛滥之后,才后知后觉的意识到发生了什么。


现在我们知道了,网络安全问题的威胁程度很大一部分都取决于操作速度。那么有没有什么办法,让入侵者的速度慢下来?


把黑客放进去……然后狠狠关上门


密码锚定的作用就在于此。


这项技术由Docker的网络安全工程师 Diogo Monica提出,可以被理解为一种对服务器底层交互的改变。通过将数据加密,将密钥单独存放在硬件之中,有了这种硬件安全模块存在,黑客在拖数据的时候就无法像下载电影那么容易了。


密码锚定的作用并不是防止黑客进入数据库,而是在黑客进入数据库之后缩紧闸门让他们没那么容易把数据拿出来。数据本身的加密算法并不复杂,但是数据出入数据库需要经过经过硬件安全模块的解密,仅仅是这一过程,就会大大拉长数据盗取行为的时间。以前用几个小时就能拖完的数据,现在则需要几十天。


这样一来,盗取的行为被拉长,如同给企业划定了一个范围,让企业在其中锚定盗取者的身影。黑客进去容易出来难,就成为了瓮中之鳖。



举例来讲,去年美国知名信用评级机构Equifax自曝被黑客盗取数据库,有1.4亿美国的个人信息被泄露。其中原因就在于用户的私密数据虽然被加密,但为了保证信息的正常调用,前端Web服务器同样拥有解密的密钥,黑客入侵之后可以直接在数据库内完成解密。但有了密码锚定,黑客在解密时需要反复向硬件安全模块发送请求,即使每次请求只需要0.0001秒那么短的时间,加起来也会延缓骇侵的速度。


这种增加硬件安全模块的方式正在越来越多样化。比如亚马逊和微软的云服务都包含硬件安全模块上云服务,用云存储和云计算的方式减轻企业使用密码锚定的负担。



最近IBM推出的盐粒大小的微型计算机,也被用来作为密码锚定中的硬件模块。IBM宣称,这样造价低廉、体量小的计算机可以用来作为传感器收集数据,并对数据进行监控和分析。IBM提出了一个应用案例,微型计算机可以和区块链物流相结合,被植入到商品中作为一种可验证“电子指纹”,好让消费者知道自己的商品没有被掉包。


这样的应用方式虽然有点遥远,但云服务、微型计算机、微型芯片这些技术的确扩大了密码锚定技术的应用可能。


企业信息泄露的成本有多低?最高罚款不过百万


不过就目前来看,真正应用上密码锚定的企业还不算多。除了Docker之外,还有移动支付企业Square,以及Facebook(划重点)和Uber。


其中一部分原因在于接入硬件模块的成本,当企业意识到数据安全时,必然是已经建立好数据库的时候。这时再以硬件方式进行耦合和加密,往往需要耗费大量的时间和金钱成本。让企业花费这么多去交换一个抓住正在骇侵中黑客的机会,的确应该多加考虑。


当然,Facebook这次信息泄露和密码锚定以及任何网络安全技术无关,这次泄露甚至没有黑客参与,仅仅是因为不当的第三方授权模式,才让其他企业得到了用户的数据。Facebook和Uber对密码锚定的应用很可能是在支付方面。


不过这也揭示了一种现象,在平时,几乎没有任何人能感知到企业对信息安全的高成本投入,可一旦出现信息泄露事件,企业此前的努力就会被毁于一旦。最后形成了一种极端的结果:企业与其花重金提升信息安全水平,不如把费用留在出事后的公关上。


想要解决这种状况,恐怕就需要所有人一起努力了。


比如当民众的信息越来越多的被获取时,政府可以加强对企业信息保护措施的硬性要求,并加强信息泄露后的追责和惩罚。目前我国的中华人民共和国网络安全法中,对涉事企业以及企业中个人的惩罚罚款最高也只有一百万。一家大企业每年花在安全运维上的费用就早已超过了这个数目。


而我们自己能做到的,或许就是在泄露事故发生后与企业的洗地行为进行对抗,加大企业发生信息泄露事件的成本,让企业知道信息泄露不是交几十万罚款、找公关洗洗地就能解决的事。和这次Facebook事件一样,用户的发声和选择,可能会让信息泄露成为企业中的一场飓风。


如果类似的事件发生在中国网民身上,请不要忘记、不要沉默。


本内容为作者独立观点,不代表虎嗅立场。未经允许不得转载,授权事宜请联系hezuo@huxiu.com
如对本稿件有异议或投诉,请联系tougao@huxiu.com
正在改变与想要改变世界的人,都在 虎嗅APP
赞赏
关闭赞赏 开启赞赏

支持一下   修改

确定