为何大型科技公司仍频频遭黑客入侵——以及它们的应对之策 - 《华尔街日报》

最应知晓如何对抗黑客的科技公司们，得出了一个引人注目的结论：正如特洛伊战争以来一直存在的情况，安全中最薄弱的环节是人类。

它们越来越多地采用一种新方法：不信任任何人。

这种被称为“零信任架构”的理念认为，无论公司的外部防御多么强大，黑客都能攻入。因此，公司需要确保即使是网络内部的用户也无法造成严重破坏。

过去一周，优步和视频游戏公司Take-Two Interactive Software旗下的Rockstar Games分别披露了导致业务中断的重大黑客攻击事件。它们加入了今年受害者的名单，其中包括一些全球技术最先进的公司，如身份验证公司Okta和芯片巨头英伟达。

这些黑客攻击的许多共同点是，它们通过欺骗目标公司内部或接近公司的人员，使其放弃网络访问凭证或其他关键信息而成功，这种技术被称为社会工程学。例如，在优步事件中，公司表示，一名承包商的手机因黑客触发的自动生成访问请求而不断收到垃圾信息，最终批准了其中一个请求。其他例子包括虚假的“钓鱼”电子邮件，诱骗员工将登录凭证发送给攻击者。

这两家公司拒绝讨论其安全方法，但它们的黑客事件正在推动同行群体内部对零信任的推动。零信任是一个广泛的概念，但基本上意味着公司IT系统的任何部分都不应假设其他部分——无论是人还是软件——是其声称的身份或事物。所有系统都被假定为已被黑客入侵。

随着大型且资源充足的公司越来越擅长防范纯粹的技术性系统入侵，网络安全专家和联邦调查局表示，这类社会工程学攻击正变得越来越流行。毕竟，升级电脑比升级人脑要容易得多。

护城河已不足够

在传统的网络安全策略中，“我们只是在城堡周围建了一条巨大的护城河，一旦你突破护城河，你就进入了，”高盛前首席技术官博·哈特曼说道。他在高盛领导团队构建了消费者银行基础设施，使得苹果信用卡及其备受赞誉的隐私功能成为可能。

这种边界防护在企业网络主要由办公室内物理连接的电脑组成时是合理的——或者，如果它们位于异地，则连接到虚拟专用网络（VPN）。

如今，从个人移动设备、家用电脑到云服务和物联网设备，数量惊人的设备、员工和外部承包商以日益多样化的方式连接到企业系统。如今，仅仅依赖保护可能连接到公司系统的每台设备和每个账户不仅困难，而且常常是灾难性的，因为攻击者只需突破一个入口就能访问整个王国。

在优步公司，攻击者利用被劫持的承包商账户侵入内部系统，在全公司范围的Slack频道发布消息，并控制了用于与安全研究人员沟通的账户。优步不得不暂时关闭内部通信系统的访问权限。公司代表拒绝置评，仅引用了周一声明，称未发现黑客访问用户账户或优步存储敏感用户信息数据库的迹象。

零信任方法旨在遏制此类破坏。“零信任基于’不再信任系统中任何实体’的理念，“运用零信任原则为企业保护个人数据的初创公司Skyflow首席执行官安舒·夏尔马解释道，“即便身处企业内部，也无法自动获取重要数据权限。”

构建零信任系统的许多设计原则通俗易懂。如果您最近频繁需要重新登录企业系统或银行网站，这正是零信任策略中定期"轮换"凭证的体现——这些凭证控制着人员和系统间的访问权限。其核心理念是：即使攻击者侵入账户，其破坏时间窗口也将受限。

另一项名为行为分析的零信任原则要求：软件应持续监控网络用户行为，标记异常操作（例如尝试超大额银行转账）。（这与银行监测到非常规信用卡消费——比如您在新城市旅行时——发送验证短信的原理相同。）

贯穿始终的主题是，系统的每个组件都应保持怀疑态度，即使你已经验证了自身身份并取得访问权限，仍需确认你就是所声称的那个人，并且正在执行应做的操作。

《荒野大镖客》发行商Rockstar Games上周披露了一起导致业务中断的重大黑客攻击事件。图片来源：Richard B. Levine/Zuma Press零信任系统可能给用户和员工带来摩擦，因为安全性始终需要在授予必要访问权限与要求身份验证之间取得平衡。这种设计理念被称为"最小权限原则”——仅当人们需要时授予必要权限，绝不多给。但这与许多企业的优先事项相悖，他们更关注运营效率最大化而非安全保障。

零信任的十年历程

尽管许多企业现在才开始采用真正的零信任系统，但安全行业讨论信任问题已超过十年。

谷歌是最早意识到围墙护城河式防护不再足够的公司。据《华尔街日报》报道，2009年起，与中国政府有关联的黑客发起协同攻击，试图入侵谷歌托管的中国人权活动人士邮箱账户，这让谷歌付出了惨痛教训。

不久之后，谷歌开始实施其版本的零信任系统，并将其称为BeyondCorp。一位女发言人表示，该方法适用于IT系统的所有部分——用户、设备、应用程序和服务，无论所有权或物理及网络位置如何。所有这些元素都被视为具有相同的固有怀疑。她补充说，这种转变实际上使员工更容易在任何地方工作，而无需VPN。

自然，谷歌还将其转化为产品，供购买其云服务的公司使用。

还有许多其他顾问和供应商乐于教授零信任原则，或销售基于这些原则构建的系统。Okta专注于零信任的人类身份验证系统。（Okta本身最近成为黑客攻击的受害者，这一事实表明黑客如何能够突破公司安全的“边界”——即使是在专门从事安全的公司。）Zscaler为软件和设备的访问提供相同的服务。Palo Alto Networks帮助构建零信任网络。这样的例子不胜枚举。然而，企业——包括大型、复杂的技术公司——仍在遭受专有数据、源代码和客户信息的损失。

罗马不是一天建成的

Nomi Health（一家医疗初创公司）的联合创始人哈特曼先生表示，为公司的现有IT基础设施创建一个自上而下的零信任架构需要其最高层领导者的承诺，并最终可能需要对系统进行彻底的改造。

优步披露了一起因承包商批准黑客发起的虚假访问请求而导致的安全入侵事件。图片来源：David Paul Morris/彭博新闻在遭遇攻击的数月前，美国市值最高的半导体公司英伟达发布了一款名为Morpheus数字指纹识别的工具，可在英伟达硬件上运行。该工具利用人工智能技术每周分析数千亿次用户行为，并在用户出现异常且潜在高风险操作时发出警报。例如：通常使用微软Office办公的用户突然试图访问存放公司源代码的工具和存储库。

因此英伟达对零信任机制并非一无所知。但今年三月其系统仍遭入侵——据我同事本周报道，攻击者很可能是此前入侵优步等企业的年轻黑客恶作剧团伙Lapsus$。事后首席执行官黄仁勋表示此事是一记警钟，并誓言加速推进英伟达采用零信任架构。

该系统的实施并非全无弊端，包括可能限制工程师追求最大权限的工作效率。英伟达企业计算副总裁贾斯汀·博伊塔诺表示，在安全性与可访问性之间取得平衡，需要安全团队与其服务的员工持续沟通。他补充说，黄仁勋在三月攻击事件后的坦诚态度很有帮助，“员工似乎理解我们正处于一个新时代，网络中可能潜伏着恶意分子”。

同样可能在3月遭到Lapsus$攻击的Okta在一篇博客文章中总结该事件后续影响时表示，公司实际受损程度远低于工程师最初担忧。根据外部网络安全公司提供的取证报告，攻击者仅侵入系统25分钟，查看并截取了两个客户账户信息，但未能直接登录任何客户的Okta账户或修改内部系统。

公司发言人表示，Okta现在强制要求所有分包商（包括此前遭入侵的供应商）采用零信任安全架构，且必须证明其系统安全级别与Okta自身标准一致。Okta宣称其系统已实现零信任架构，并认为正是该架构阻止了黑客进一步渗透系统。

微软表示，3月遭遇的Lapsus$攻击仅突破一个账户，且被迅速发现处理，未造成客户数据泄露。该公司安全副总裁Vasu Jakkal称，零损失得益于微软内部部署的零信任架构。

Jakkal补充指出，若缺乏此类架构，攻击者平均仅需一小时就能从初始入侵进入系统敏感区域。由于黑客资源升级和自动化工具普及，基于身份认证的网络攻击尝试数量持续攀升。

“攻击可能来自任何地方、任何人，针对任何目标，”贾卡尔女士表示，“无论公司规模大小，没有一家能免受攻击。”

采用零信任方案意味着需要改变多层安全防护。包括为公司账户增加多因素认证，以及仅授予用户和系统实际所需的最低权限。将最敏感数据集中存放并严格保护，而非分散存储在公司各数据库中也是明智之举（沙玛先生的初创公司Skyflow正是专门从事敏感数据集中加密保护）。

哈特曼先生指出，改造旧系统涉及面广，企业需优先保护核心资产——源代码、知识产权、客户信息等，再逐步完善其他环节。贾卡尔女士补充道，尽管多因素认证（如生物识别、推送通知或设备认证等密码之外的验证方式）是最有效的访问防线之一，但实施难度导致目前仅22%的企业部署了该技术。

即便支持者也承认零信任并非万灵药，其落地需要大量时间精力。但当监管机构、股东和客户都要求企业对黑客攻击和数据泄露负责，且攻击者手段日益高超的当下，企业或许别无选择——必须全力降低自身脆弱性。

英伟达的博伊塔诺先生表示：“在新世界里，你必须假设你的网络中总会存在坏人。问题在于如何保护你的资源和公司的知识产权。”

——欲获取更多《华尔街日报》科技分析、评论、建议及头条新闻，请订阅我们的每周通讯。

联系作者 克里斯托弗·米姆斯，邮箱：[email protected]

本文发表于2022年9月24日印刷版，标题为《黑客知道…最薄弱的环节是你》。