如何防止駭客入侵?
2013年2月3日(德國之聲中文網)"嗨,保羅! 四周前我們在漢諾威電腦展的晚會上見過。:) 你們的展位提供的巴西調酒很不錯。我在郵件中附上幾張當天為你和你的同事蘇珊拍的照片。祝好,明年漢諾威再見。羅伯。"
保羅任職於一家大型德國通訊公司,他不記得自己認識任何叫"羅伯"的人,但是自己確實在電腦展的閉幕典禮上喝了巴西調酒,而且度過了一個愉快的夜晚。所以他毫不猶豫的點擊了電郵中的附件。不過附件似乎沒掛上,因為點擊後什麼也沒出現。
利用"社會工程"進行攻擊
其實這封郵件只是幌子。事實上,保羅已經讓他的電腦以及公司的網路遭到間諜軟體的感染,而且還是一個"量身定做"的間諜軟體,傳統的防毒程序無法偵測。自此刻起,"羅伯"可以侵入該公司的IT系統。保羅所收到的電子郵件中,所有關於電腦展晚會的個人訊息都是網路駭客從他的臉書賬戶蒐集而來。
專家稱這種針對企業員工的網路攻擊為"社會工程",攻擊方式不僅有效而且相當危險。近期美國《紐約時報》、《華爾街日報》和《華盛頓郵報》遭到駭客入侵的事件也和夾帶病毒的惡意電子郵件有關。所有跡象顯示,駭客發起攻擊的地點很可能位於中國。
主觀風險認知
中國、俄羅斯和其他東歐國家是德國公司遭受到"不明外部人士"網路攻擊的"主要風險源頭"。至少500名來自各行業和不同規模的德國企業管理人士,在接受審計咨詢公司畢馬威(KPMG)的"電子犯罪"專題調查時是這麼認為的。
調查專題的負責人格修納克(Alexander Geschonnek)表示,人們無法證明近期發動網路攻擊的駭客身份,而受訪的德國企業管理人員是以主觀的角度評估:從受訪者的風險認知看來,他們認為會受到影響的往往是其他公司,而非自己的企業。"別人會遭受攻擊,但是不會發生在我的身上。這種"盲目樂觀"的想法本身就相當驚人,這也證明了,他們所自以為的安全程度其實高於實際狀況。"
遭駭客攻擊是否應匯報?
許多公司往往不知道自己受到駭客攻擊。格修納克解釋說,因為"數據並非失竊,而是遭到複製"。直到某天資料突然出現在勒索者或競爭對手手中,遭到攻擊的公司才終於大夢初醒。根據過去的咨詢經驗,格修納克還意識到另一個問題:許多企業在受害後並未報警,因為一旦暴露出曾受到駭客攻擊,公司的聲譽可能受損,客戶也會因此感到不安。
根據德國內政部長弗里德里希(Hans-Peter Friedrich)的看法,至少特定的行業應該終結此類的保密行為。他在接受西德意志廣播電視台採訪時表示:"這關係到我們必須保護所謂的重要基礎架構,包括供電、通信設備、物流,所有與我們的日常生活切身相關的領域。"這名基社盟政治家因此要求訂立通知義務,"若系統遭受嚴重攻擊,我們的網路防禦人員也能盡快掌握情況,推出因應的防偽措施。"
沒有100%的防護
德國內政部長的意見在周末的慕尼黑安全會議上獲得支持:歐盟委員會也希望在安全相關行業中訂立"重大事件"通知義務。
截至目前為止,人們可以自願在德國聯邦訊息技術安全局(BSI)的"網路安全聯盟"框架下,交換網路攻擊的相關訊息。在網路駭客攻擊事件頻繁發生時,企業可以通過這個平台互相發出警告。
但BSI負責網路防禦的黑格爾(Dirk Häger)表示,沒有完整的防護措施可以防止具針對性的駭客攻擊。"我們希望利用所有IT資源。我們想要通訊聯繫,單純的通訊聯繫。這也包括,當我們收到電子郵件時不需要確認:這封郵件是哪來的?"他表示,如果人們無法阻止網路攻擊,那麼至少要降低它的影響力。
內部安全漏洞
畢馬威公司的格修納克也認為,全然的封閉是錯誤而且不切實際的想法。他建議企業將重點放在最重要的訊息的保護上。
此外,各公司也應該仔細審視自己的員工。在美國就曾經發生一起令人難以置信的案件:一間公司在進行安全檢查時發現,該公司的內網定期出現來自中國的訪問。但這起事件並非駭客所為:一名相當狡猾、也可能是非常懶惰的雇員,數月來將自己的工作委託給一名中國服務提供商,代價是他部分的薪水。這名雇員將進入內網所需的密碼產生器直接用包裹寄給了他的"承包商"。
作者:Michael Gessat 編譯:張筠青
責編:謝菲