技術上最牛,科技大廠卻為何也難逃“被黑”的命運?


北京時間9月26日消息,科技公司以技術著稱,本應該最懂得如何對抗黑客。但是一連串的黑客攻擊事件表明,就連這些科技大廠也存在薄弱環節,尤其是人。就在最近,打車巨頭Uber和《盜獵車手6》遊戲開發商RockstarGames都披露影響其運營的重大黑客攻擊事件。今年,已經有多傢公司成為黑客攻擊的受害者,其中包括目前世界上一些最擅長技術的公司,例如芯片巨頭英偉達、身份驗證公司okta。

薄弱的“護城河”

傳統上,企業采用的是一種“城堡與護城河”的網絡安全模型。網絡外的任何人都無法訪問內部數據,但網絡內的每個人都可以。企業的內部網絡可以想象成城堡,網絡邊界可以想象成護城河。一旦吊橋被降低且有人穿過它,他們就可以在城堡內自由行動。

“我們隻是在城堡周圍建一條巨大的護城河。一旦你突破護城河,你就進去。”高盛前首席技術官鮑伊·哈特曼(Boe Hartman)表示。他在高盛領導的團隊建立消費者銀行基礎設施,使得蘋果的信用卡及其引以為自豪的隱私功能成為可能。

當企業網絡主要由物理連接在辦公大樓裡的個人電腦組成時,這種外圍安全是有意義的。但是如今,從個人移動設備、傢用電腦到雲服務和物聯網設備,各種各樣的設備、員工和外部合同工以越來越多的方式連接到企業系統。僅僅依靠保護每一個可能連接到公司系統的設備和賬戶不僅困難,而且往往是災難性的,因為攻擊者隻需攻破一個門就能進入整個系統。

以Uber為例,攻擊者使用被霸占的合同工賬戶進入內部系統,在一個全公司使用的Slack頻道上發佈消息,並接管一個用於與安全研究人員溝通的賬戶。Uber不得不暫時中斷對內部通信系統的訪問。Uber在上周一發表的聲明中稱,公司沒有發現任何跡象表明黑客訪問用戶賬戶或Uber用於存儲敏感用戶信息的數據庫。

這些黑客攻擊的共同點在於,他們通過欺騙目標公司內部人員或與目標公司關系密切的人,讓他們交出網絡接入證書或其他關鍵信息,這種技術被稱為“社會工程”。以Uber為例,該公司表示,黑客觸發自動生成的訪問請求,導致一名合同工的手機受到垃圾郵件的騷擾,最終批準一項請求。其他例子還包括偽造的“網絡釣魚”電子郵件,誘騙員工將登錄憑證發送給攻擊者。

零信任

現在,科技公司得出一個引人註意的結論:自特洛伊戰爭以來,安全領域最薄弱的環節就是人類。他們越來越多地采取一種新的安全方法:不相信任何人。

這種理念被稱為“零信任架構”,假定無論一傢企業的外部防禦系統多麼強大,黑客都能侵入。因此,企業需要確保即使是網絡內的用戶也不會造成嚴重破壞。


美國及全球每周平均遭到的網絡攻擊數量

其實,許多指導工程師構建零信任系統的設計原則都很容易理解。如果你發現自己最近不得不更頻繁地登錄公司系統或銀行網站,這就是一種“零信任”策略,即定期“輪換”證書,從而允許人和電腦訪問其他系統。其理念是,即使攻擊者進入你的賬戶,他們也隻有有限的時間進行破壞。

另一個被稱為“行為分析”的零信任原則是,軟件應該監控網絡上人們的行為,並標記出任何做不尋常事情的人,比如試圖從銀行取一大筆錢。例如,當你去一個新城市旅行時,如果發生一筆不符合你一貫風格的信用卡購物,銀行就會給你發短信,這也是基於同樣的分析。

Google超前部署

雖然許多企業現在才采用真正的零信任系統,但安全行業對信任問題的討論已經持續十多年。

BeyondCorp_Enterprise.max-2800x2800.png

其中一傢公司很早就意識到城墻和護城河已無法提供足夠的保護,它就是Google。在2009年吸取網絡安全教訓後,Google開始部署自主版本的零信任系統,並將其稱為BeyondCorp

Google發言人說,該公司的防禦方法適用於IT系統的所有部分:用戶、設備、應用和服務,不考慮所有權、物理或網絡位置。所有這些因素都會被以同樣固有的懷疑態度對待。自然地,Google也把它變成一種產品,供那些為其雲服務付費的公司使用。

弊端

哈特曼稱,為一傢公司現有的IT基礎設施創建一個從上到下的零信任架構需要公司最高層領導的承諾,最終可能需要對其系統進行本質上的內部改造。哈特曼目前是醫療創業公司Nomi Health的聯合創始人。

在遭到攻擊的幾個月前,美國市值最高的半導體公司英偉達發佈一款名為Morpheus的數字指紋工具,可在英偉達的硬件上運行。它使用人工智能每周分析數千億的用戶行為,並在用戶似乎在做一些不尋常的和潛在高風險的事情時標記實例。例如:一個通常使用Microsoft Office的用戶突然試圖訪問公司源代碼所在的工具和存儲庫。

因此,英偉達對“零信任”是略知一二的。然而,今年3月,它的系統還是遭到攻擊。在這之後,英偉達CEO黃仁勛(Jensen Huang)表示,這一事件給英偉達敲響警鐘,並誓言要加速擁抱零信任架構。


黃仁勛稱攻擊事件敲醒警鐘

然而,推出“零信任”系統並非沒有缺點,包括它可能會限制工程師的工作效率,因為他們都希望獲得盡可能多的訪問系統。英偉達企業計算副總裁賈斯汀·博伊坦諾(Justin Boitano)表示,要在安全和可訪問性之間取得平衡,就意味著安全團隊和他們服務的員工之間要不斷進行對話。他補充說,這是有幫助的,其CEO黃仁勛在3月的攻擊後直言不諱地點出網絡安全問題,“員工們似乎明白,我們現在生活在一個新世界裡,你的網絡中可能有壞人”

哈特曼指出,這種變化的廣度意味著重建舊系統的公司需要設定優先級,首先要保護他們的掌上明珠:源代碼、其他知識產權、客戶信息等等。在這之後,他們可以通過系統的其他部分進行工作。微軟企業安全副總裁瓦蘇·賈卡爾(Vasu Jakkal)指出,這種挑戰的規模從一定程度上解釋為什麼隻有22%的公司實施多重認證,盡管這是最好的一線網絡訪問防禦措施之一。

就連“零信任”的支持者也承認,“零信任”不是靈丹妙藥,這在很大程度上是因為它需要花費大量的時間和努力才能做到。但是在一個監管機構、股東和客戶都準備讓企業及其領導者為黑客攻擊和數據泄露負責,攻擊者比以往任何時候都更機智、更激進的世界裡,企業可能沒有太多選擇,他們必須致力於讓自己變得不那麼脆弱。

“在新的世界裡,你必須假設你的網絡上總是會有壞人,”英偉達的博伊坦諾表示,“問題是你如何保護你的資源和公司的知識產權。”


相關推薦

2022-09-19

些丈二和尚,摸不著頭腦。既然此前恒馳5銷量已破4萬,為何此時卻依然打著前1萬名購車客戶優惠的旗號,是其總銷量一直沒有破萬,還是優惠政策還在延續?無論是哪種情況,恒馳5釋放的官方信息,都存在前後不一致,混淆

2022-09-30

一致,前值也為-0.6%,為連續第二個季度萎縮,經濟陷入技術性衰退;數據還顯示,美國二季度核心PCE物價指數終值上漲5.6%,顯著高於預期的4.4%。值得註意的是——美國股市最重要的支柱之一蘋果領跌FAANG,該股盤中一度跌5%。

2023-01-04

Rivian(RIVN.US)本周二宣佈,該公司第四季度在伊利諾伊州Normal的制造廠生產10,020輛汽車。該公司全年產量達到24,337輛,低於該公司去年11月預測的25,000輛。這傢電動汽車制造商在第四季度交付8054輛汽車,總交付量達到20,332

2023-01-13

老邁隻是一方面,FAA的理念還停留在過去,試圖用過時的技術管理不斷湧現的新式飛行器,比如無人機與電動直升機。目前技術人員尚未找到導致數據庫文件損壞的原因,FAA一直想更新這套誕生於N64世代的飛航信息管理系統——

2024-06-30

是教育,一個是遊戲。在2018年底耗費上億元收購的錘子科技堅果手機團隊基礎上,字節組建“新石實驗室”,並將其打造成公司的“硬件中臺”。在團隊磨合的兩年間,新石實驗室發佈兩代堅果手機、TNT 顯示器新品以及音箱等

2022-10-23

力,你能在網上看到的炫酷機器人,幾乎都是它傢的。論技術,波士頓動力是全球第一,論人氣,它傢的每個機器人在全球都有百萬粉絲。但這樣一個實力型企業,卻7年被賣3次,且越賣越不值錢。這個科技大牛,為何被美國和

2022-07-05

美國、亞洲芯片廠商警告,若華盛頓當局遲遲無法通過520億美元的美國芯片法案(CHIPSforAmericaAct),他們將必須延遲或削減美國的投資計劃。7月5日,日經亞洲評論報道,英特爾已無限期延後俄亥俄州200億美元芯片廠,並把原因

2024-04-13

力,而OpenAI則踩中時代風口,擁有立於AI產業潮頭浪尖的技術力。所以在過去一年半時間裡,時不時能夠看到兩傢公司的掌門互相捧場,甚至在去年“OpenAI內亂”之際,正是納德拉坐鎮幕後迅速彈壓試圖趕走奧爾特曼的董事會。

2023-01-27

近段時間,美國科技公司上演裁員潮,亞馬遜、微軟均已宣佈大裁員。現在,連Intel也難逃裁員大潮,雖然官方沒公佈,但已經更新加州工人調整和再培訓通知(WARN)數據庫,其中包含有關計劃裁員的信息,內容顯示Intel希望解

2023-05-15

種虛擬女友的發展脈絡很快就會失控,果不其然,已經有技術人員將虛擬女友黑掉,還有人找到讓兩人間對話內容變露骨的辦法。對此,Caryn Marjorie本人在與媒體交流時表示,她強調自己並非單純為經濟利益,而是為需要的朋友

2023-04-21

方面會做得更好。不過,他打趣說,Cybertruck將成為火星上最暢銷的汽車,“這是毫無疑問的。”

2024-05-10

定制化開發,並不需要多麼優秀的系統架構,多麼資深的大廠程序員,而是拼工作量、拼服務態度的低價內卷。先進思想 vs草臺班子「先進團隊用飛書,但世界是草臺班子組成的。」在飛書精簡團隊的消息下面,這是點贊最多的

2024-03-07

員會介紹情況,而且在起草法案時,白宮還向立法者提供技術援助。得到拜登政府的支持意義重大,據國會山的多位民主黨和共和黨消息人士稱,拜登政府內部已就 TikTok 的未來展開激烈的爭論。此前國會禁止 TikTok 的努力並沒

2023-02-16

“朋友們,現在我要向大傢介紹一位小醜。這位小醜追兩年的女神,被比他大兩屆的學長,花兩周拿下。而這位小醜,就是鼠鼠我自己。”如果各位經常上網,相信隔三差五都能見到這樣分享自己破防經歷的老哥。他們常常以“