凤凰科学新闻北京时间9月26日，科技公司以技术闻名。应该最了解对抗黑客的方法。但是一系列黑客攻击事件表明，即使是这些技术工厂也存在薄弱环节，特别是人们。

最近，出租车巨头Uber和《盗猎车手6》游戏开发商Rockstar Games披露了影响运营的主要黑客攻击事件。今年已经有很多公司成为黑客攻击的受害者，其中包括目前世界上技术最好的公司(如芯片巨头英伟达、认证公司okta)。

软弱的“护城河”

传统上，企业采用了“成果护城河”的网络安全模式。网络外部的任何人都不能访问内部数据，但网络中的所有人都可以访问。企业的内部网络是城堡，网络边界可以想象成护城河。一旦吊桥降低，有人通过它，他们就可以在城堡内自由行动。

“我们只是在城堡周围建造了巨大的护城河。一旦突破护城河，你就进去了。”高盛前首席技术官博伊哈特曼(Boe Hartman)说。他在高盛领导的团队中建立了消费者银行基础设施，使苹果的信用卡和骄傲的隐私功能成为可能。

当企业网络主要由物理连接到办公楼的个人计算机组成时，这种周边安全是有意义的。但是最近，从个人移动设备、家用计算机、云服务、物联网设备到各种设备、员工、外部合同工以越来越多的方式连接到企业系统。保护所有能连接到公司系统的设备和账户不仅困难，而且经常是灾难性的，因为攻击者只要钻一扇门就能进入整个系统。

对于Uber，攻击者使用被占领的合同工帐户进入内部系统，在整个公司使用的Slack频道上发布消息，并收购与安全研究人员通信的帐户。Uber不得不暂时中断对内部通信系统的访问。Uber上周一发表的声明显示，没有发现黑客访问用户帐户或Uber用来存储敏感用户信息的数据库的迹象。

这些黑客攻击的共同点是欺骗被称为“社会工程学”的大象公司内部人员或与大象公司关系密切的人，让他们交出互联网访问证书或其他重要信息。Uber公司表示，黑客触发了自动生成的访问请求，合同工的手机被垃圾邮件骚扰，最终批准了请求。另一个例子是伪造的网络钓鱼电子邮件，这是引诱员工将登录凭据发送给攻击者。

无信任

现在，科技公司得出了一个引人注目的结论：特洛伊战争后，安全领域最脆弱的部分就是人类。他们越来越多地采用新的安全方法：没有人相信。

这种理念被称为“零信任体系结构”，假设一个企业的外部防御系统再强大，黑客也能入侵。因此，企业必须确保互联网内用户也不会受到严重伤害。

美国和全世界每周平均受到的网络攻击数

事实上，很多地图工程师建立无信任系统的设计原则很容易理解。最近发现需要更频繁地登录公司系统或银行网站，这是允许人和计算机访问其他系统的“零信任”政策，即定期的“更换”证书。其理念是，即使攻击者进入你的账户，也只会破坏有限的时间。(约翰肯尼迪)时间。

另一个被称为行为分析的零信任原则是，软件必须在网络上监视人们的行为，并标记做了不寻常的事情的人，例如试图从银行收取很多钱。例如，去新城旅行时，如果发生不符合平时风格的信用卡购物，银行会给你发短信，这是基于同样的分析。

谷歌高级部署

很多企业现在才采用真正的零信任系统，但对安全行业信任问题的讨论持续了10多年。

其中一家公司认识到，长期以来，城墙和护城河再也不能提供足够的保护。就是谷歌。在2009年从网络安全中吸取教训后，谷歌部署了自己版本的零信任系统，并开始称之为BeyondCorp。

谷歌发言人说，该公司的防御方法适用于IT系统的所有部分，包括用户、设备、应用程序和服务，而不考虑所有权、物理或网络位置。所有这些因素都将被当作同一个固有的怀疑。当然，Google换成了为云服务付费的公司可以使用的产品。

弊端

哈特曼说，为一家公司现有的IT基础设施创建自上而下的不信任体系结构需要公司最高领导人的承诺，最终可能需要对该系统进行本质的内部改造。哈特曼现在是医疗创业公司Nomi Health的联合创始人。

在遭受攻击的几个月前，美国市值最高的半导体公司英伟达发布了一款名为Morpheus的数字指纹工具，该工具可以在英伟达的硬件上运行。利用人工智能每周分析数千亿用户行为，并在用户做不同寻常和潜在高风险的事情时显示实例。例如，通常使用Microsoft Office的用户突然想要访问带有公司源代码的工具和存储库。

因此，英伟达对“零信任”略知一二。然而，今年3月，它的系统仍然受到攻击。此后，英伟达CEO黄仁勋(Jensen Huang)发誓说，这一事件给英伟达敲响了警钟，并要求英伟达加快无信任救援的拥抱。

但是，引入“不信任”系统并不是没有缺点的。这里可能会限制工程师的生产力。因为我想要尽可能多的访问系统。企业计算副总裁Justin Boitano (Justin Boitano)表示，在安全和无障碍之间取得平衡意味着安全团队和他们所服务的员工之间持续的对话。他补充说，这有帮助。CEO黄仁勋在3月袭击后肆无忌惮地引发了网络安全问题。“工作人员似乎知道我们现在生活在新世界里。你的网络里可能有坏人，”他补充道。

哈特曼指出，这种变化的幅度意味着重建现有系统的企业必须确定优先顺序，首先要保护源代码、其他知识产权、客户信息等。之后，他们可以通过系统的其他部分工作。微软企业安全副总裁巴苏扎卡尔(Vasu Jakkal)指出，这种挑战的规模在一定程度上解释了为什么只有22%的公司实施了多重认证。尽管这是最好的一线网络访问防御措施之一。

甚至“零信任”的支持者也承认“零信任”不是灵丹妙药。因为这需要很多时间和努力。但是监管机构、股东和客户都准备让企业及其领导人对黑客攻击和数据泄露负责。攻击者在一个比以往任何时候都更有智慧、更激进的世界里可能没有太多的选择。他们必须努力使自己不那么脆弱。

在新世界里，你必须假设你的网络上总会有坏人。"英伟达的博伊坦诺说。"问题是你如何保护你的资源和公司的知识产权。“”

(申报)