警方正在调查一系列针对英国宽带服务提供商「TalkTalk」公司网页的入侵事件,在这次入侵中,黑客或许已经获得了这家公司 400 万客户的个人信息。这次入侵是 TalkTalk 公司去年内遭受的第三起性质严重的网络攻击事件,目前警方还不清楚这次攻击究竟由何人发起以及攻击的背后究竟隐藏着什么目的。唯一可以肯定的是,TalkTalk 远不是唯一一家持续遭受入侵之苦的公司。
为何类似的事件会一再发生?
几乎每一家大公司都会遭受黑客入侵的威胁,它们几乎每天都要抵御各种各样的入侵行为。根据安全公司「Symantec」的测算,每一天被创造出来的有害程序的数量可达一百万个。要抵御这些有害程序实在不是一件轻松的事,然而有害程序仅仅是黑客众多入侵手段当中的一种。
要抵御那些手段尚未纯熟的入侵行为非常容易,但有些入侵手段极具欺骗性,它们往往会通过各种掩饰诱使人们打开隐藏在邮件中的陷阱信息。在众多入侵手段之中,最具威胁性的无疑是利用那些用户人数众多的软件所固有的安全漏洞,许多用户,一些安全漏洞甚至是开发者本身都难以察觉的。
目前市面上的公司平均会使用 75 个独立的网络安全系统来保护自己的网络。然而,众多的安全系统意味着安全人员每天都会非常频繁地收到各种各样的警报和警告。安全公司 Symantec 的欧洲技术负责人达伦·汤姆森(Darren Thomson)表示,更为糟糕情况是公司往往很难将各个安全系统所提供的信息联系起来。这意味着安全人员每天都在耗费大量的时间去追踪一些错误的警告或者是一些仅仅是看似很危险的问题,他们根本无从得知目前所面对的最大威胁究竟是什么。
在公司内部的人员主动点开隐藏在邮件附件当中的钓鱼陷阱时,仅仅依靠技术的防范措施将会变得难以奏效。因此许多攻击者更加倾向于利用人性的弱点,因为技术的完善速度似乎比人类进化的速度要快得多。更极端的情况出现在公司内部人员决定叛变的时候,即便是最好的安全技术也很难应对里应外合的情况。
在 TalkTalk 身上究竟发生了什么?
关于 TalkTalk 公司被入侵的事件,我们所知道的细节并不多。但从入侵的情况看来,TalkTalk 公司似乎经受了两类攻击。第一种是分布式拒绝服务攻击(DDoS),这种攻击可以利用大量的数据增加公司的服务器的负荷,进而使得服务器瘫痪。
「Arbor Networks」是一家致力于帮助公司抵御大流量数据的网络安全公司。Arbor Networks 公司的罗兰·多宾斯(Roland Dobbins)表示每天都有成百上千起 DDoS 攻击事件上演,这类攻击的目的在于让网站处于脱机状态。攻击者通常会把 DDoS 攻击当作烟幕使用,DDoS 攻击可以很好地分散安全人员的注意力。一些黑客团队甚至会将 DDoS 攻击作为盗取现金或数据的手段。
除了 DDoS 攻击以外,TalkTalk 公司似乎还经受了另一种可以从数据库中获取客户资料的攻击手段,这一点可以从 TalkTalk 公司针对用户数据或许已被黑客获取的警告行为中推测出来。
TalkTalk 公司已经被攻击过 3 次了
许多高知名度的网站都被黑客发动过多次攻击。名厨师杰米·奥利弗 (Jamie Oliver) 的网站就曾经被成功入侵 3 次,黑客在这个网站上投放了恶意广告。很不幸,对于所有使用网站的公司而言,网络攻击已经成为了时刻伴随它们左右的外在威胁。
「Have I Been Pwned?」是一个用于收集及发布被盗取数据的网站,现在这个网站的数据库当中储存着超过 2.23 亿个在过去几年中被盗取的账号。
「在我于 2014 年所调查过公司之中,有超过六分之五的公司都曾遭遇数据外泄的情况。」汤姆森表示,「考虑到发现一次数据泄露有可能需要 230 天的时间,剩下那六分之一的公司或许也已经遭遇了数据泄漏,只是它们还没察觉罢了。」
为最糟糕的情况做好准备
现在许多公司都会为自己面临攻击的时刻做好准备,它们不再期望会有哪些技术可以让自己享受片刻安宁。通过盗取员工的授权信息,攻击者通常可以进入到公司的内部网络,但这还仅仅是第一步。在成功进入到公司内部网络以后,他们需要继续探索、拓展并试图获取更多的网络权限,这些措施将有助于入侵者盗取他们所需的数据。
由于侦查入侵需要消耗很长时间,因此入侵者有充足的时间对网络进行探索并逐步提高所获取数据的规模。尽管公司针对异常行为的侦查变得越来越灵敏,但网络攻防战的优势通常还是由攻击者占据。
许多公司会通过聘请黑客来测试自己的安全系统,这些黑客会协助公司加密客户的数据,经过加密的数据对于盗取者而言将变得毫无价值,因为即便盗取者有可能对数据进行解密,所耗费的成本也会很高。
如果说这次 TalkTalk 公司被盗取的数据没有经过加密,那么它将有必要对自己的不加密行为进行解释。
来源:BBC,由 TECH2IPO/创见 阮嘉俊 编译,首发于TECH2IPO