數(shù)字信任和數(shù)字信任生態(tài)系統(tǒng)有很多內(nèi)容，但網(wǎng)絡(luò)安全仍然是核心組成部分之一。一個(gè)組織的網(wǎng)絡(luò)安全聲譽(yù)有多好？它是否有任何已知的違規(guī)行為？這些違規(guī)行為是否極其嚴(yán)重，或者造成了業(yè)務(wù)影響（和產(chǎn)品損失）或造成了客戶數(shù)據(jù)丟失？一個(gè)組織的數(shù)字可信度受到許多非網(wǎng)絡(luò)安全因素的影響。組織應(yīng)該關(guān)注他們的品牌和整體聲譽(yù)。他們必須改善關(guān)系，包括與第三方和客戶的關(guān)系。他們必須確保他們的執(zhí)行和交付能力符合預(yù)期。然而，現(xiàn)實(shí)情況是，在網(wǎng)絡(luò)安全方面表現(xiàn)不佳可能會(huì)影響所有這些事情。

網(wǎng)絡(luò)安全對(duì)產(chǎn)業(yè)鏈上下游仍很重要

今年年初，信息安全領(lǐng)域的大新聞是GoDaddy持續(xù)多年的安全漏洞事件。GoDaddy披露的內(nèi)容令人震驚：它不知道攻擊者是誰(shuí)；客戶和員工的證書(shū)被盜，攻擊者能夠安裝惡意軟件，導(dǎo)致合法網(wǎng)站被重定向至惡意網(wǎng)站（又稱“水坑攻擊”）。在寫(xiě)這篇文章的時(shí)候，此次事件對(duì)GoDaddy及其現(xiàn)有客戶的影響程度還未知。會(huì)有多少客戶將離開(kāi)？目前GoDaddy的客戶體量約為2100萬(wàn)，2022年的收入約為40億美元。

關(guān)于什么被攻破和如何被攻破的細(xì)節(jié)，以及被攻破的時(shí)間，都令人震驚。雖然GoDaddy可能有強(qiáng)大的網(wǎng)絡(luò)安全資產(chǎn)，但這顯然是不夠的。此次事件不僅損害了GoDaddy的聲譽(yù)，而且還可能損害依賴GoDaddy托管的客戶的聲譽(yù)，例如通過(guò)GoDaddy WordPress托管解決方案的客戶。畢竟，如果客戶進(jìn)入一個(gè)組織托管在GoDaddy上的網(wǎng)站，并被重定向到一個(gè)惡意網(wǎng)站并受到感染，看起來(lái)仍然是該組織的網(wǎng)站造成了損害。它的客戶不可能將問(wèn)題一直追溯到GoDaddy身上。即使他們有足夠的技術(shù)知識(shí)來(lái)這樣做，他們也可能沒(méi)有時(shí)間，或者他們可能并不關(guān)心它是如何發(fā)生的。

當(dāng)LAPSUS$(某黑客組織)聲稱在2022年入侵Okta時(shí)，許多信息安全領(lǐng)域的人都注意到了。更重要的是，現(xiàn)有和潛在的客戶也注意到了。事情的真相是，Okta本身沒(méi)有被直接入侵。相反，一個(gè)外包呼叫中心供應(yīng)商才是目標(biāo)，這使得LAPSUS$可以接觸到Okta客戶。這個(gè)事件對(duì)Okta客戶的總體影響很小，只有2.5%的客戶受到影響。然而，黑客攻擊的消息在行業(yè)媒體上持續(xù)了數(shù)周，很可能導(dǎo)致一些潛在客戶被勸退使用Okta，一些現(xiàn)有客戶選擇遷移到其他供應(yīng)商。到頭來(lái)，即使Okta不是直接目標(biāo)，這也并不重要。這是一個(gè)很好的例子，說(shuō)明潛在和現(xiàn)有客戶由于第三方的問(wèn)題而對(duì)一個(gè)組織失去信任。

一個(gè)的組織的網(wǎng)絡(luò)安全實(shí)力是很重要的。GoDaddy必然會(huì)遭受聲譽(yù)上的打擊，這將導(dǎo)致品牌信譽(yù)度降低，幾乎肯定會(huì)導(dǎo)致客戶流失。然而，面對(duì)GoDaddy遭遇的漏洞，GoDaddy自己的一些客戶可能也會(huì)失去客戶。Okta也很可能因?yàn)榈谌胶艚兄行牡倪`規(guī)事件而失去了客戶，原因是客戶對(duì)其品牌的信任的降低。

云的使用及其對(duì)數(shù)字信任的影響（或缺乏影響）

這是一個(gè)值得點(diǎn)擊的小標(biāo)題，但要注意的是，如果一個(gè)組織正在使用基于云的資源，并且出現(xiàn)安全問(wèn)題，那么與本地部署資源相比，它是基于云這一事實(shí)造成的影響似乎差別不大。

再次，值得關(guān)注的是Okta。它被曝光在2022年12月又遭遇了另一次入侵。在該事件中，托管在GitHub上的Okta代碼庫(kù)被攻破，Okta的一條產(chǎn)品線的源代碼被復(fù)制了。關(guān)于入侵者是如何訪問(wèn)這些存儲(chǔ)庫(kù)的，目前還沒(méi)有公開(kāi)的細(xì)節(jié)。即使有，事實(shí)仍然是，所有的審查和責(zé)任又一次落在了Okta身上。

關(guān)于該事件的報(bào)道中沒(méi)有提到Github基于云的事實(shí)，只是作為對(duì)那些了解Github的人的一個(gè)知識(shí)點(diǎn)。因此，Okta使用基于云的代碼庫(kù)似乎不是影響Okta品牌的一個(gè)因素。如今，使用基于云的資源是一種預(yù)期的做法，而且在大多數(shù)情況下，人們對(duì)其的處理與對(duì)本地資源的處理沒(méi)有任何區(qū)別。實(shí)際上，Okta的服務(wù)是建立在亞馬遜網(wǎng)絡(luò)服務(wù)（AWS）提供的功能之上的，這意味著它們完全是基于云的。回到GitHub，如果GitHub的實(shí)施有缺陷，Okta的客戶可能也不會(huì)關(guān)心，原因與GoDaddy的客戶不關(guān)心一樣。

需要明確的是，Okta不是第一個(gè)遭受云端資源入侵的組織，當(dāng)然也不會(huì)是最后一個(gè)。該組織是一個(gè)有趣的案例，因?yàn)樗穆┒词亲罱l(fā)生的，尤其是LAPSUS$黑客事件，它的弱點(diǎn)可能是業(yè)界沒(méi)有認(rèn)真考慮過(guò)的，直到它發(fā)生在Okta身上。在使用云時(shí)，重要的是要記住有一個(gè)共享的安全模型，這意味著安全不僅僅是提供商單方面的責(zé)任。例如，人們會(huì)期望提供商處理物理安全，但提供商無(wú)法阻止客戶實(shí)施糟糕的身份和訪問(wèn)管理（IAM）模式，這可能會(huì)導(dǎo)致漏洞。客戶側(cè)無(wú)疑是共享安全模型中的一個(gè)弱點(diǎn)。也許是由于云計(jì)算對(duì)太多的IT專(zhuān)業(yè)人士來(lái)說(shuō)仍然是一個(gè)模糊的概念，但許多轉(zhuǎn)移到云計(jì)算的組織都在試圖盡力地保護(hù)資源。例如，2020年的一項(xiàng)研究發(fā)現(xiàn)，大量的AWS S3存儲(chǔ)桶的安全防護(hù)不當(dāng)。自這項(xiàng)研究以來(lái)，媒體持續(xù)對(duì)更多組織（包括私營(yíng)部門(mén)和政府）進(jìn)行定期報(bào)道。

這就引出了一個(gè)問(wèn)題：云重要嗎？不，它不重要。簡(jiǎn)而言之，客戶和潛在合作伙伴并不關(guān)心資源的位置。他們關(guān)心的是，自己已經(jīng)被入侵了。這不再是關(guān)于云或本地的問(wèn)題了，它是關(guān)于一個(gè)組織的網(wǎng)絡(luò)安全/信息安全態(tài)勢(shì)是否足以覆蓋其資源。

一些組織有（部分）豁免權(quán)嗎？

有些組織確實(shí)對(duì)導(dǎo)致失去信任的事件至少享有部分豁免權(quán)。通常情況下，這些組織處于利基市場(chǎng)，或處于這樣的位置，以至于他們的客戶和合作伙伴除了與他們打交道外沒(méi)有其他選擇。例如，在一篇反映Colonial Pipeline勒索軟件攻擊的文章中，唯一引用的美元數(shù)字是支付的原始金額和追回的金額。沒(méi)有關(guān)于客戶損失或聲譽(yù)損失的討論。畢竟，Colonial Pipeline并沒(méi)有像GoDaddy或Okta那樣的競(jìng)爭(zhēng)對(duì)手。即使失去了信任，一些組織也不會(huì)看到對(duì)其底線的影響。

然而，大多數(shù)組織都會(huì)看到數(shù)字信任越來(lái)越重要。如果我不能信任一個(gè)組織，我就不會(huì)和它做生意，除非我別無(wú)選擇。作為一名合伙人，我不希望導(dǎo)致組織聲譽(yù)不佳的因素影響我的聲譽(yù)。作為一名客戶，如果我可以在兩個(gè)供應(yīng)商之間做出選擇，除非有什么令人信服的事情使我能夠給不太信任的組織一個(gè)機(jī)會(huì)，否則我會(huì)選擇更受信任的組織。其中一個(gè)令人信服的因素可能是巨大的成本差異。但這意味著受到質(zhì)疑的組織從與我的任何交易中賺取的利潤(rùn)更少。因此，提高其可信度對(duì)該組織的底線很重要。

網(wǎng)絡(luò)安全不容忽視

Colonial Pipeline可能沒(méi)有失去客戶，但由于其網(wǎng)絡(luò)安全態(tài)勢(shì)，僅在贖金支付方面就損失了數(shù)百萬(wàn)美元。所以，顯然它只有部分豁免權(quán)。即使是一個(gè)不依賴數(shù)字信任的組織，也需要確保其網(wǎng)絡(luò)安全是達(dá)到標(biāo)準(zhǔn)的。

對(duì)于大多數(shù)組織來(lái)說(shuō)，網(wǎng)絡(luò)安全態(tài)勢(shì)對(duì)整體數(shù)字信任至關(guān)重要，并影響到合作伙伴和客戶（以及潛在的合作伙伴和客戶）對(duì)組織的看法。GoDaddy可能因?yàn)樾悸┒炊タ蛻舻睦樱约癘kta可能將失去一些客戶的預(yù)期，都是基于這種反復(fù)發(fā)生的結(jié)果。

不同組織的多項(xiàng)研究顯示了相同的結(jié)論：數(shù)據(jù)泄露會(huì)導(dǎo)致信任的喪失，從而導(dǎo)致業(yè)務(wù)的損失。例如，普華永道（PwC）的一份報(bào)告發(fā)現(xiàn)， 85%的消費(fèi)者如果擔(dān)心某個(gè)組織的（網(wǎng)絡(luò)）安全實(shí)踐，就不會(huì)與該組織進(jìn)行交易。很顯然，網(wǎng)絡(luò)安全不容忽視。雖然數(shù)字信任生態(tài)系統(tǒng)的其他方面也很重要，但它們都可能在一夜之間被一次數(shù)據(jù)泄露事件所破壞。網(wǎng)絡(luò)安全并不是數(shù)字信任的全部，但它是一個(gè)不應(yīng)該被忽視或低估的關(guān)鍵組成部分。