任何從事網絡安全的技術人員、管理人員以及供應商一定都已閱讀并熟悉了美國參議院發布的“2013年Target數據泄露的殺傷鏈分析報告”。報告闡述了Target事件是如何發起、如何進行的，并列出Target應在每個階段做些什么來預防、檢測和響應事件。

報告列出了整個Target事件過程，從最初的入侵、破壞到2013年12月19日Target發布公告。此外， 2014年3月26日，Target首席財務官約翰•穆里根在美國參議院商業、科學、和運輸委員會作證詞時，更新了Target數據泄露事件的前因后果。

報告指出了網絡安全技術人員、管理過程等方面的一些基本常識錯誤。這些問題是證據確鑿的，所以毋庸贅述。在此，筆者有一些額外的想法：

1 網絡安全技能短缺影響了Target

環境、社會和治理研究報告(ESG)數據顯示，39%的企業組織表示，其最大的事件響應挑戰是“缺乏足夠的員工”，28%的企業聲稱其在事件響應和檢測上最大的挑戰是“缺乏足夠的技能”。《商業周刊》的文章顯示，Target的安全操作中心(SOC)經理在10月離開了公司，正值數據泄露的前夕。其他SOC人員對其經理的技能過于依賴，因而網絡攻擊者恰恰趁機擊中目標。ESG報告還假定網絡罪犯能夠提前使用一個默認的BMC軟件產品的管理員密碼。當然，也有可能僅僅是因為一個工作過度的IT安全和操作團隊錯過了這個明顯的漏洞。最后，當FireEye反惡意軟件系統及其在印度支持網絡安全的人員發出警報時，Target的網絡安全負責人卻沒有及時采取行動。顯然，FireEye和印度團隊已經各司其職，但這些警告后仍然需要Target的安全團隊對于事件做進一步調查。

2 網絡邊界的概念是古代歷史

10年前耶利哥早已警告過“消除邊界”的必要性。自那時以來，盡管百般謹慎，卻仍然難免事故。Target數據泄露事件始于其零售商之一，網絡邊界外的一個小的供熱與空調公司。這只是盲目的猜測，但必須相信此公司不是由前NSA網絡安全專家經營的。當然，第三方供應商、業務合作伙伴和客戶都需要訪問網絡，但Target讓這些所謂的外界人士只需提供基本的用戶名和密碼進行身份驗證即可訪問網絡。所以Target在沒有用適當方式管理網絡供應鏈風險的情況下，武斷地向外界開放了網絡，犯了常識性錯誤。

3 事件響應已成為網絡安全的瓶頸

信息安全很多最佳實踐重視事故預防，包括硬件系統的配置、訪問控制、殺毒軟件等。2010年前后發生的APT[注]攻擊事件證明，狡猾的攻擊者都很善于規避現有的安全控制，所以安全行業將注意力轉向各種事件檢測和分析的工具。我們現在把三分之二的時間和精力放在攻擊過程，但是事件響應呢?不幸的是，很難解決這一困境，因為事件響應是高度專業化的，需要精確的網絡設備的詳細信息，包括流量模式、歷史記錄、系統配置等。當Target SOC團隊收到來自FireEye和印度的警報時，他有一個選擇：調查警報，即當警報發生時，系統是如何被影響的，IP地址怎樣做了妥協，是什么改變了網絡系統等等，通過調查來剔除假的警報。這種調查過程需要花費時間、技能和高度的嚴謹。安全分析可以起作用，但是仍然需要專業的技術人員。Target團隊未能做這些必要的工作，反而將賭注押在“假攻擊”和真正數據泄露上。

4 基本的攻防手段仍然很重要

網絡安全已成為一個對先進的技術技能要求頗高的行業，這已成為共識。Target可以在其POS系統上安裝應用程序控制軟件，以阻止安裝所有未經許可的軟件。最后，Target應該改變BMC軟件上的默認密碼，需要對管理員進行多重身份驗證并監視所有特權用戶活動。這是網絡安全最基本的手段，也是最必要的。

隨著越來越多的細節出來，顯然Target會遭到些許調侃，但確定的是，從經驗和上述研究分析的大量結論來看，參議院的報告遠比大多數人想象的情況普通得多。在下一個大的數據泄露事件爆發時，對Target的關注很可能會很快消退。鑒于網絡安全的狀態，攻擊是隨時可能會發生的。