由Information Is Beautiful可視化處理得出的2015年各大數(shù)據(jù)泄露事故示意圖。

“就在撰寫本文的同時，某個自稱為“幽靈小隊(The Phantom Squad)”的組織宣稱其計劃在圣誕節(jié)當天同時攻陷Xbox Live與PlaystationPSN網(wǎng)絡(luò)，且整場攻擊將持續(xù)一周。他們宣布其將繼續(xù)用實際行動證明微軟與索尼在安全性方面的孱弱，其中微軟曾在去年年末經(jīng)歷過來自名為“蜥蜴小隊(Lizard Squad)”的另一黑客組織的襲擊。當然，這無疑會嚴重影響到剛剛在節(jié)日期間購買到新款游戲主機的消費者們的心情。不過正如著名黑客活動組織“匿名者”

所言，“……如果大家擔(dān)心無法在圣誕節(jié)期間玩上主機游戲，請放下心來——那絕不是圣誕期間最可怕的狀況。”

E安全百科：所謂黑客，是指那些在計算機系統(tǒng)或者計算機網(wǎng)絡(luò)當中尋找并利用弱點的人士。黑客實施此類行為的理由可能多種多樣，包括實現(xiàn)收益、表達抗議、挑戰(zhàn)自我、享受過程或者評估此類弱點以幫助相關(guān)廠商加以修復(fù)。

考慮到由消費者及其設(shè)備所生成的數(shù)據(jù)總量正不斷增加，而隨著由物聯(lián)網(wǎng)等新興趨勢帶來的潛在敏感信息的大量存在，網(wǎng)絡(luò)安全與數(shù)據(jù)保護也變得越來越重要。但每一年發(fā)生的數(shù)據(jù)泄露事件都開始呈現(xiàn)出規(guī)模更大、復(fù)雜度更高且所造成損失更嚴重等特性。根據(jù)由IBM與Ponemon雙方今年進行的一次聯(lián)合研究發(fā)現(xiàn)，今年包含敏感及機密信息的記錄在丟失或者被盜時，由此帶來的平均成本增長了6%——由去年的145美元提升至如今的154美元。單一記錄丟失或者失竊衍生成本最低的為交通行業(yè)與公共事業(yè)機構(gòu)，分別為121美元與68美元。在另一方面，零售行業(yè)的平均成本則迎來顯著增長，從去年的105美元攀升至今年的165美元。下面來看截至目前出現(xiàn)的與黑客活動相關(guān)的頭條消息：

AshleyMadison數(shù)據(jù)泄露事故影響到3700萬用戶。

被安裝在超過2000臺收銀機上的惡意軟件影響到Home Depot的超過5600萬名客戶。

歐洲中央銀行的網(wǎng)站遭到黑客入侵，包括郵箱地址以及聯(lián)系人數(shù)據(jù)的各類個人信息被竊。

伍德社區(qū)學(xué)院的網(wǎng)站今年遭到黑客侵襲，共有過去八年多以來申請過課程的12萬5千名申請者的社保號碼被惡意人士獲取。

并非全部威脅都來自外部

這還僅僅是2015年當中安全業(yè)界出現(xiàn)的一小部分實際問題，不過有趣的是盡管黑客活動與信息泄露大部分被歸結(jié)于外部攻擊，但在最近由HMRC在英國組織的PwC調(diào)查當中，其發(fā)現(xiàn)約有43%的網(wǎng)絡(luò)安全事故其實是由內(nèi)部人員的行為所引發(fā)。而在本月早些時候與Bay Dynamics公司CTO Ryan Stolte進行了交談之后，我對出現(xiàn)這種狀況的理由有了更為明確的認識。

Ryan所在的公司負責(zé)將與用戶行為及系統(tǒng)訪問有關(guān)的數(shù)據(jù)收集起來，并建立起指向個人的分析結(jié)果——包括內(nèi)部員工與第三方供應(yīng)商用戶——包括他們的日常活動包含哪些細節(jié)。“通過關(guān)注那些對商業(yè)網(wǎng)絡(luò)進行訪問的對象并了解其典型活動方式，我們就能在其出現(xiàn)異常行為時快速對其進行標記、報告與阻止。其整體目標在于搶在惡意人士之前叫停可能給企業(yè)整體帶來影響的行為，”Ryan指出。

用戶與職能實體行為分析(簡稱UEBA)作為內(nèi)部用戶行為網(wǎng)絡(luò)安全檢查的一重要分支，目前正逐漸迎來旺盛的人氣。Gartner公司指出其預(yù)計UEBA市場營收到2017年年末將達到約2億美元。

根據(jù)Bay Dynamics的研究結(jié)果，目前約有90%的數(shù)據(jù)丟失狀況屬于偶然事件，即當員工將敏感數(shù)據(jù)泄露至企業(yè)之外時，這部分員工實際屬于合法用戶、只是在無意中出于商業(yè)目的而發(fā)送了此類數(shù)據(jù)。盡管可能違反了既定的商業(yè)管理政策，但他們?nèi)匀槐憩F(xiàn)出正常的員工行為。當被雇主約談時，有80%的用戶意識到自己進行過可能引發(fā)風(fēng)險的行為(即訪問高風(fēng)險網(wǎng)站，包括賭博、色情以及其它站點)，而對此做出改變則使他們更具安全意識。

只有1%的數(shù)據(jù)丟失狀況屬于關(guān)鍵性事故，其可能表現(xiàn)出嚴重的受害跡象或者由內(nèi)部人員違規(guī)所引發(fā)。

針對物聯(lián)網(wǎng)之攻擊活動

如果相關(guān)數(shù)字是真實可信的，那么截至2020年接入互聯(lián)網(wǎng)的物聯(lián)網(wǎng)設(shè)備將達到500億臺，而由此產(chǎn)生的數(shù)據(jù)總量亦將高達44ZB(即44萬億GB)。不過著眼于2015年，相關(guān)市場在保障個人與企業(yè)信息安全的能力方面仍然極為欠缺。由Altimeter Group發(fā)布的一份報告指出，有45%的受訪者表示他們對于那些使用其聯(lián)網(wǎng)設(shè)備數(shù)據(jù)的企業(yè)的安全性水平以及隱私保護能力信任度較低或者根本不信任，而Park Associates發(fā)布的研究則指出，有70%的智能設(shè)備持有者擔(dān)心其家居控制設(shè)備以及由此生成的數(shù)據(jù)被他人以未授權(quán)方式訪問。

物聯(lián)網(wǎng)與智能設(shè)備行業(yè)的安全事故同樣越來越普遍。

2014年，Context Security發(fā)布了其如何通過wi-fi網(wǎng)絡(luò)對某品牌網(wǎng)絡(luò)智能燈泡進行入侵的細節(jié)信息，其最終成功以遠程方式控制了該燈光。“我們買來幾個燈泡并研究其如何實現(xiàn)彼此間的通信，并發(fā)現(xiàn)其中一條信息與用戶名及密碼有關(guān)，”Context研究主管Michael Jordon解釋稱。“通過在網(wǎng)絡(luò)當中添加一顆新的燈泡，我們得以獲取到了這一信息，”他補充道。

同樣的，作為一位網(wǎng)絡(luò)安全專家，Jesus Molina在深圳的St Regis公司工作——這是一家專門幫助客戶利用iPad及數(shù)字化“管家”應(yīng)用實現(xiàn)家庭環(huán)境內(nèi)各類控制功能的廠商，具體包括恒溫器、燈光以及電視等。

Molina發(fā)現(xiàn)這套系統(tǒng)的安全性極為脆弱，他編寫了一段代碼以欺騙客戶的iPad，并通過自己房間中的筆記本電腦進行遠程操控。經(jīng)過一系列調(diào)查，他發(fā)現(xiàn)了客戶家中三個房間間的區(qū)別，并掌握了各個房間的網(wǎng)絡(luò)地址與其中的設(shè)備序列。以此為基礎(chǔ)，他得以編寫出一份腳本，能夠?qū)σ患揖频陜?nèi)的250多個房間進行潛在控制。

除此之外，還有其它一些更為可怕的安全傳聞：黑客有可能控制我們的聯(lián)網(wǎng)汽車甚至接入以及起搏器，這一切都提升了公眾對于安全問題的重視程度。

不過這并不是黑客技術(shù)的全貌。除了安全威脅之外，黑客技術(shù)也有助于提升硬件與軟件的功能特性甚至超越其既定作用。下面我們以Xbox Kinect為例：

我們可以利用Kinect配合Linux系統(tǒng)構(gòu)建起一臺低成本且簡便易行的機器人。

Kinect允許倫敦的外科醫(yī)生們利用手勢與語音控制查看并處理醫(yī)學(xué)影像資料。

事實上，關(guān)于Kinect的拓展應(yīng)用中最廣為人知的就是某位技術(shù)人員利用其建立起一套控制界面，他的母親在中風(fēng)后得以借此發(fā)送電子郵件。

互聯(lián)網(wǎng)的未來是否倚重于黑客?

這一論點可能存在著爭議，而且必須承認我本人并不是什么網(wǎng)絡(luò)安全專家。不過在筆者看來，黑客文化確實可以作為積極的元素幫助企業(yè)發(fā)現(xiàn)其內(nèi)部環(huán)境中的基礎(chǔ)性安全漏洞，同時識別出互聯(lián)網(wǎng)中的各薄弱環(huán)節(jié)。普通民眾往往非常信任他們?nèi)粘Ｉ钪斜厝簧婕暗母髌髽I(yè)及組織機構(gòu)，希望其能夠幫助自己保護敏感及個人信息——而無論出于惡意或者善意的目的，安全漏洞的顯現(xiàn)能夠幫助我們更好地理解信息安全形勢。這并不是一場戰(zhàn)爭，而更像是一種共生關(guān)系，也許法律應(yīng)該以條文的形式反映出這一點。

“黑客法則當中沒有防御這一概念，他們的行為只是為了獲得更大的收益。這就是黑客的信念所在。”

——Pinsent Masons律師事務(wù)所法務(wù)主任Struan Robertson

企業(yè)可以雇傭有道德的或者白帽黑客利用同樣的方式嘗試突破企業(yè)的計算機安全體系，但在我看來他們的出發(fā)點有所不同——即使最終結(jié)果看起來并無區(qū)別。

而在遭遇黑客攻擊的企業(yè)當中，人們往往對此諱莫如深，并將其視為一種恥辱及負面狀況。在安全流程及規(guī)程尚不完善的情況下，“受害者”常被視為一種敏感詞，而且被攻擊目標往往在事故發(fā)生后很久才愿意承認這類事實。舉例來說，紐約大壩于2013年遭遇入侵，但我們現(xiàn)在才剛剛開始得到消息。

正如以上所強調(diào)，黑客技術(shù)也能夠調(diào)整硬件與軟件的原始設(shè)計，并將其功能擴展至遠超原本意圖的新高度。

這場由信息安全與黑客業(yè)界共同參與的貓鼠游戲仍將不斷持續(xù)，而在2016年中我們將親眼見證規(guī)模更大且危害性更強的安全事故——其可能發(fā)生在企業(yè)防火墻之內(nèi)或者之外。不過也許我們現(xiàn)在應(yīng)該換個角度審視問題，因為如果沒有黑客的存在，我們的一切安全性保障都只是種“幻覺”。