安全漏洞是什么？

对许多人来说，生活中最基本的活动现在都在网上进行。从购物、银行业务、旅行计划到娱乐和约会，人们越来越多地转向数字领域来促进他们的公共和私人生活。他们相信数字工具能够保证个人信息和数据（也许还有他们的一些秘密）安全、私密并受到保护。

然而，由于在线账户、应用程序和计算机系统现在存储了大量的个人和财务信息，它们成为安全漏洞的主要目标，犯罪分子试图通过破坏系统来访问客户账户和获取数据，从而为欺诈和其他网络犯罪打开方便之门。对于企业来说，安全漏洞还可能导致监管罚款、法律责任、声誉受损和失去客户信任。

各种不断进化的威胁和漏洞（包括弱密码攻击、恶意软件、网络钓鱼、勒索软件和社会工程学）都可能引发安全漏洞。无论是个人还是组织，都必须重视数据安全措施的制定，以保护个人隐私和敏感数据，因为对犯罪分子而言，保密资料具有重要价值。在暗网市场，用户名、密码、信用卡号和其他财务数据可以被买卖，并用于身份盗窃或欺诈目的。

安全漏洞的威胁并非耸人听闻：根据 Enterprise Apps Today 的数据，在全球范围内，每 39 秒就会发生一起安全漏洞事件，仅在 2022 年，网络犯罪就造成了约 6 万亿美元的损失。

当安全控制措施被突破或以其他方式绕过时，就会导致安全漏洞事件；全球最大、最具影响力的公司往往被网络犯罪分子当成目标。实际上，金融机构、电子商务公司和政府机构是网络攻击中最常见的目标实体，因为其站点维护着海量个人数据和财务数据。

个人和大大小小的组织都面临着遭遇安全侵害和网络攻击的风险。黑客和网络犯罪分子永不停歇地发明创新，提出突破现有安全防护机制的新方式，他们中的一些人还拥有强大的国家或企业利益集团作为后盾。这些新方式让他们有机会窃取敏感信息或个人数据，并出售牟利，或加以操纵，获取竞争优势，或用于实施欺诈、盗窃身份、传播虚假信息。

根据新闻网站 secureworld.io 的数据，有史以来最严重的数据泄漏事件包括：

• 雅虎事件（2013 年 - 2014 年）。攻击者在使用网络钓鱼技术入侵雅虎网络后，超过 30 亿个用户帐户被攻破。入侵者获取了权限，能够访问用户姓名、电子邮件地址、出生日期、电话号码和加密密码等敏感信息。除了缴纳美国证券交易委员会的 3500 万美元罚款和联邦证券集体诉讼的 8000 万美元和解金外，2016 年，雅虎在被 Verizon 收购期间，还被迫将其出售价格降低了 3.5 亿美元。2017 年 3 月，联邦调查局起诉了此次攻击的四名参与者，其中包括两名俄罗斯联邦安全局 (FSB) 的官员。
• Equifax 事件（2017 年）。在这起事件中，攻击者获取了美国 1.47 亿消费者的个人信息，包括姓名、社会保险号码、出生日期、地址，以及部分消费者的驾驶执照号码。除了这些个人信息外，此次数据泄漏事件还暴露了大约 20.9 万名客户的信用卡号。攻击者通过网站应用漏洞取得了对 Equifax 网络的访问权限，由于系统未经适当划分，致使渗透者可以在系统内轻松横向移动。此次数据泄漏事件产生了严重影响，导致的后果包括：消费者信任度降低，接受法律调查，面临控诉，支付监管罚款，以及接受国会听证会质询。Equifax 还支付了约 7 亿美元，帮助受此次数据侵害事件影响的人们。2020 年，美国司法部宣布，对四名受中国军方支持的黑客提起诉讼，他们涉嫌参与 Equifax 网络攻击事件。
• 万豪国际集团事件（2014 年 - 2018 年）。在这起事件中，约 5 亿名房客的登记记录遭到泄露，其中包括房客姓名、地址、电话号码、护照号码、电子邮件地址、旅行信息，以及部分房客的支付卡号码。此次攻击始于万豪 2016 年收购喜达屋酒店及度假村，并将喜达屋的预订系统整合到万豪的系统中。喜达屋的系统至少在 2014 年就已被入侵（很可能是从喜达屋员工处窃取的凭证），很快万豪国际集团旗下的所有酒店都受到了感染。英国信息专员办公室（ICO）对万豪处以 2380 万美元的罚款。美国官员声称，此次网络攻击是中国情报收集工作的一部分；万豪是美国政府和军事人员的顶级酒店供应商。
• T-Mobile 事件（2022 年 - 2023 年）。攻击者通过操纵 API 入侵了 3700 万个用户帐户，取得了客户的姓名、账单地址、电子邮件地址、电话号码、帐户号码和出生日期信息。截至数据泄漏事件被发现，该名攻击者对 T-Mobile 系统进行未经授权的访问已超过一个月，其身份尚不明确。

安全漏洞有多种类型，其特征可按照攻击者用于获取系统访问权限的方法划分。

• 恶意软件攻击是犯罪分子发起安全侵害的常用技术。恶意电子邮件附件是传播恶意软件的常见方式，此类邮件通常作为网络钓鱼攻击的一部分，欺骗收件人点击指向虚假登录页面的链接或下载包含恶意软件的附件。此外，接触受感染的网站或下载被篡改过的软件也可能触发恶意软件。恶意软件经过设计，可执行各种引发数据泄漏事件的功能，包括记录键盘输入、监控用户活动，或创建允许攻击者访问用户网络的 “后门” 接入点。其他类型的恶意软件可以收集保存的登录凭据，或窃取敏感的认证数据，使攻击者能够对帐户和系统展开未经授权的访问。恶意软件还可以执行数据渗漏操作，将窃取的数据发送至由攻击者控制的远程服务器，进而引发未经授权的数据泄露和潜在的风险。勒索软件攻击也可能造成安全侵害，因为勒索软件也属于一种恶意软件，它会加密受害者的数据，致使数据无法访问。在加密过程中，攻击者将取得访问受害者数据的权限，而且在许多情况下，攻击者会威胁，如果不支付赎金，将公布受害者的敏感数据，或在暗网上出售。这就将勒索软件事件转变成了数据泄漏事件，将已泄露的信息暴露给未经授权的个人。
• 社会工程学攻击依靠操纵心理，欺骗他人泄露敏感信息、执行某些操作，或做出危害安全的决定。在某些情况下，攻击者可能会冒充可信任的个人，如同事、主管或 IT 人员，说服受害者共享敏感数据或泄露用户名、密码或其他身份验证凭据。利用这些信息，攻击者可以不经授权地访问系统、帐户和敏感数据。社会工程学攻击通常使用网络钓鱼手段操纵个体，诱使其执行非常规操作或泄露数据。
• 软件隐患可让攻击者利用软件、固件或系统配置中的漏洞或弱点，在计算机系统或网络中实现未经授权的访问，操纵数据，或执行恶意操作。过时或未打补丁的软件是常见的系统隐患入口点，但它们也可能引发权限提升攻击或远程代码执行攻击等隐患。

数据泄漏事件可能会带来严重并且影响深远的后果，包括：

• 财务损失。应对事件，支付法务费和应诉费，缴纳监管罚款，以及补偿受影响的各方，这些都将产生相关费用。
• 声誉受损。公开披露的数据泄漏事件可能会引发负面舆论，并对品牌形象造成长期损害。
• 信任丧失。数据泄漏事件可能会让人们质疑企业保护数据的能力，使客户（和合作伙伴）在与企业建立商业关系时产生犹豫，致使客户忠诚度下降，流失率上升。
• 法律和监管影响。若未能遵守数据保护法律和法规，如欧盟《通用数据保护条例》(GDPR) 和美国《健康保险流通与责任法案》(HIPAA)，企业将面临法律诉讼和监管罚款。

为了尽可能地降低潜在损害，并采取有效应对措施，及早发现安全漏洞的迹象至关重要。以下是表明可能存在安全漏洞的常见信号。

• 异常的网络活动。例如，网络流量突然增加，出现异常的数据传输，或带宽使用量产生意外峰值，这些都表明可能存在未经授权的访问或数据泄露。
• 非预期的系统行为。例如，原因不明的系统宕机、性能低下或频繁崩溃，这些都表明可能存在恶意软件或未经授权的活动。
• 帐户活动异常。例如，出现陌生的用户帐户，登录时间不同于往常，或多次登录失败，这些迹象都表明可能存在入侵或未经授权的访问尝试。
• 数据异常和未经授权的访问。例如，数据缺失或遭到更改，日志显示出现对关键数据库或敏感信息的未经授权访问，这些都表明可能存在安全漏洞。

要防范安全漏洞，必须采取积极主动、综合全面的网络安全方法，其中包括以下几种最佳做法。

• 强制执行强密码策略。限制使用生日、姓名或常用单词等易猜测信息，并强制使用包含大小写字母、数字和符号的随机字符串作为密码。考虑提倡使用更长、更易于记忆，但更难破解的密码短语。
• 实施多重身份验证 (MFA)。MFA 要求用户至少提供两种验证因素，才能访问应用、资源、在线帐户或其他服务。常见做法通常涉及将从电子邮件或短信中收到的一次性密码输入智能手机或浏览器，或提供指纹或面部扫描等生物识别信息。
• 定期更新软件和系统。确保将操作系统、软件应用和安全补丁更新至最新版本，以修复已知漏洞。建立健全的补丁管理流程，以便及时应用安全更新和修复。
• 实施网络分段。创建具有受控访问权限的单独区域或子网，将较大的网络划分为较小、孤立的网段，这有助于增强安全性，并降低安全漏洞的潜在影响。这种做法可以帮助隔离关键资产，减少攻击面，并限制网络内的横向移动，对控制漏洞具有辅助作用。
• 采用加密和数据保护措施。对传输过程中以及静止状态下的敏感数据进行加密，以防止未经授权的访问。施行数据保护策略（例如，严格的访问控制、最小特权原则），降低数据遭受未经授权访问的风险。
• 清点 API 和第三方脚本。随时查明 API 端点和第三方集成，确保将它们纳入风险管理流程，并受到适当安全控制措施的保护。

• 识别网络钓鱼意图。确保员工学会辨别网络钓鱼电子邮件和恶意链接，降低因其遭受网络钓鱼诈骗而引发数据泄漏事件的可能性。
• 教导其使用强密码。向员工讲授强密码和良好密码管理习惯的重要性。
• 报告可疑活动。教导员工及时报告可疑的活动或潜在的安全事件，以便更快地做出响应并抑制其影响。通过定期培训，确保员工了解新出现的风险以及辨别方法。

• 定期评估组织的安全态势。使用渗透测试、漏洞扫描和安全审计等手段，识别并修复系统、应用和网络中的弱点，防止攻击者有机可乘。漏洞评估还有助于识别配置错误，如果不加以解决，可能会导致安全漏洞事件。

• 制定事件应对方案。此类方案可以针对如何辨别与应对潜在的网络安全事件，提供结构清晰、积极主动的方法，将极大地帮助抑制安全漏洞的影响。
• 确定利益相关方和角色。确定利益相关方，明确各方的角色与责任，并制定清晰的指挥链，以便报告和升级事件。制定详细的分步流程，以控制和抑制安全漏洞，并定期测试方案，发现不足，以改进应对措施。
• 制定业务连续性和灾难恢复 (BCDR) 策略。在面对安全漏洞等中断性事件时，BCDR 方案有助于确保关键业务的持续运作。BCDR 方案的一个基本要点是定期备份数据，以确保在发生数据泄漏或数据损坏时，可将数据恢复到之前的健康状态。所有 BCDR 方案都必须通过演练定期测试，确认其行之有效，同时，企业也可以在这个过程中发现不足，完善应对策略。

人工智能提供了强大的新工具和功能，可用于检测和防范安全漏洞。尤其是，无论攻击者如何尝试绕过防御，AI 驱动的 Bot 防御措施都能通过持久的遥测收集、行为分析以及不断变化的缓解策略保持弹性。AI 算法可以检测出可能表明存在漏洞活动的异常情况，例如用户在不同于平常的时间或从陌生的位置访问敏感数据，以及试图发送伪造信号，或使用来自暗网的被盗数据。

这些系统可以遵循指示，自动阻止或标记可疑活动，也可以自动执行事件应对方案中的某些要素，例如发起预定义的应对操作，或隔离受入侵的系统，从而最大限度地遏制破坏的蔓延。基于 AI 的安全系统可以从新数据中学习，并适应不断变化的威胁环境，因此，其检测漏洞的准确性会逐渐提高，并不断进化，从而在变化无常的威胁环境中与时俱进。

AI 技术还可以分析大规模数据，并实时检测异常模式，使这些系统能够比手动或基于规则的威胁检测程序更快、更准确地识别威胁。

尽管 AI 驱动的安全解决方案在检测和防御威胁方面展现出了显著优势，但要充分挖掘它们的能力，就必须结合人类的专业知识，对警报进行验证，对复杂的数据或输入进行解读。AI 安全模型可能会产生误报和漏报，这需要人类保持警惕，做出判断和监督，这在应对复杂的新型威胁时尤为关键。

联邦贸易委员会 (FTC) 提供了相关指南，罗列了在面对安全侵害时，组织应该考虑采用的事件应对措施。这些步骤旨在帮助组织有效应对和管理安全事件。FTC 安全漏洞处理指南概述起来包括以下举措：

• 保障运营安全。快速行动，保护系统，并立即组织侵害应对团队采取行动，阻止数据进一步丢失。这可能涉及隔离受影响的系统，禁用遭入侵的帐号，并采取其他措施，防止继续出现未经授权的访问。
• 修复漏洞。与数据取证专家合作，查明并修复导致泄漏的漏洞。修补并更新软件、系统和配置，预防未来事件的发生。分析当前有权访问网络的人员（包括服务提供商），判断其访问权限的必要性，如果非必要，则限制其访问权限。
• 通知相关方。通知执法部门，报告情况和可能存在的身份盗窃风险。根据侵害性质，向受影响的个人、顾客或客户告知事件情况。向受影响的个人提供清晰、准确、透明的信息，说明发生的状况、暴露的数据以及他们应采取何种措施保护自己。