2022-10-12
▲ 人成为黑客攻击的薄弱环节
就在最近,打车巨头 Uber 和《GTA6》游戏开发商 Rockstar Games 都披露了影响其运营的重大黑客攻击事件。今年,已经有多家公司成为了黑客攻击的受害者,其中包括目前世界上一些最擅长技术的公司,例如芯片巨头英伟达、身份验证公司 okta。
薄弱的“护城河”
传统上,企业采用的是一种“城堡与护城河”的网络安全模型。网络外的任何人都无法访问内部数据,但网络内的每个人都可以。企业的内部网络可以想象成城堡,网络边界可以想象成护城河。一旦吊桥被降低且有人穿过它,他们就可以在城堡内自由行动。
“我们只是在城堡周围建了一条巨大的护城河。一旦你突破了护城河,你就进去了。”高盛前首席技术官鲍伊・哈特曼 (Boe Hartman) 表示。他在高盛领导的团队建立了消费者银行基础设施,使得苹果的信用卡及其引以为自豪的隐私功能成为可能。
当企业网络主要由物理连接在办公大楼里的个人电脑组成时,这种外围安全是有意义的。但是如今,从个人移动设备、家用电脑到云服务和物联网设备,各种各样的设备、员工和外部合同工以越来越多的方式连接到企业系统。仅仅依靠保护每一个可能连接到公司系统的设备和账户不仅困难,而且往往是灾难性的,因为攻击者只需攻破一个门就能进入整个系统。
▲ 谷歌很早就部署“零信任”系统
谷歌发言人说,该公司的防御方法适用于 IT 系统的所有部分:用户、设备、应用和服务,不考虑所有权、物理或网络位置。所有这些因素都会被以同样固有的怀疑态度对待。自然地,谷歌也把它变成了一种产品,供那些为其云服务付费的公司使用。
弊端
哈特曼称,为一家公司现有的 IT 基础设施创建一个从上到下的零信任架构需要公司最高层领导的承诺,最终可能需要对其系统进行本质上的内部改造。哈特曼目前是医疗创业公司 Nomi Health 的联合创始人。
在遭到攻击的几个月前,美国市值最高的半导体公司英伟达发布了一款名为 Morpheus 的数字指纹工具,可在英伟达的硬件上运行。它使用人工智能每周分析数千亿的用户行为,并在用户似乎在做一些不寻常的和潜在高风险的事情时标记实例。例如:一个通常使用 Microsoft Office 的用户突然试图访问公司源代码所在的工具和存储库。
因此,英伟达对“零信任”是略知一二的。然而,今年 3 月,它的系统还是遭到了攻击。在这之后,英伟达 CEO 黄仁勋 (Jensen Huang) 表示,这一事件给英伟达敲响了警钟,并誓言要加速拥抱零信任架构。
▲ 黄仁勋称攻击事件敲醒警钟
然而,推出“零信任”系统并非没有缺点,包括它可能会限制工程师的工作效率,因为他们都希望获得尽可能多的访问系统。英伟达企业计算副总裁贾斯汀・博伊坦诺 (Justin Boitano) 表示,要在安全和可访问性之间取得平衡,就意味着安全团队和他们服务的员工之间要不断进行对话。他补充说,这是有帮助的,其 CEO 黄仁勋在 3 月的攻击后直言不讳地点出了网络安全问题,“员工们似乎明白了,我们现在生活在一个新世界里,你的网络中可能有坏人”。
哈特曼指出,这种变化的广度意味着重建旧系统的公司需要设定优先级,首先要保护他们的掌上明珠:源代码、其他知识产权、客户信息等等。在这之后,他们可以通过系统的其他部分进行工作。微软企业安全副总裁瓦苏・贾卡尔 (Vasu Jakkal) 指出,这种挑战的规模从一定程度上解释了为什么只有 22% 的公司实施了多重认证,尽管这是最好的一线网络访问防御措施之一。
就连“零信任”的支持者也承认,“零信任”不是灵丹妙药,这在很大程度上是因为它需要花费大量的时间和努力才能做到。但是在一个监管机构、股东和客户都准备让企业及其领导者为黑客攻击和数据泄露负责,攻击者比以往任何时候都更机智、更激进的世界里,企业可能没有太多选择,他们必须致力于让自己变得不那么脆弱。
“在新的世界里,你必须假设你的网络上总是会有坏人,”英伟达的博伊坦诺表示,“问题是你如何保护你的资源和公司的知识产权。”
Comment