美媒：许多美国公司忽视网络攻击的实体威胁

北京(CNFIN.COM / XINHUA08.COM)--美国《华尔街日报》中文网络版日前发表克里斯托弗·M·马修斯的一篇文章，题为《公司忽视网络攻击的实体威胁》，摘编如下：

易受攻击的计算机系统令各家公司暴露于众多法律和信誉风险之下。但在各家公司致力于降低它们遭受网络攻击的安全隐患之际，许多公司可能忽视了一个明显的弱点，那就是前门。

虽然黑客突破公司防火墙的威胁是切实存在的，但网络安全专家说，一个想要偷窃的人同样有可能通过说服公司员工通过有锁的办公室门来获取公司数据。Redspin网络安全公司的董事长兼总裁丹·伯杰说：“人们把手指放到生物指纹识别器上，但他们仍愿意为身后的人扶着门。”

虽然美国监管机构加大力度，让公司防范甚至有可能披露对其计算机系统的攻击，但实体闯入是公司必须要防范的一种威胁。监管机构尤其关注银行面临的风险，后者耗资数百万美元保护它们的计算机系统。

复杂的计算机攻击获得大量关注，但许多威胁是比较平淡无奇的。今年4月份，窃贼闯入沃尔玛下属的Vudu视频点播服务公司的办公室，盗走包含客户信息的硬盘。Vudu的应对措施是，重置各部门的密码，并称将采取更多措施来更好地保护数据。

政府也易受此类攻击的影响。美国退伍军人事务部受到两人的控告，因为今年有大约7500名退伍军人的资料丢失，原因是南卡罗来纳的多恩退伍军人事务部医疗中心的一台笔记本电脑不见了，不是丢失就是被窃了。为政府辩护的律师7月份辩称，除非退伍军人能证明数据丢失造成金钱损失，否则将不予考虑可能的集体诉讼。

伯杰说，公司往往更加关注病毒和恶意软件，而非实体威胁。为把企业的注意力转向这一问题，一些公司，比如伯杰设在加州卡平特里亚的公司采取间谍小说中的策略，即借口电话、假身份和暗中监视。

网络安全专家早就强调公司员工对安全构成的威胁。黑客经常采用所谓的社会工程攻击，利用人们容易相信他人的本性来获取公司数据。数据保密和网络安全研究公司——波耐蒙研究所去年在一项研究结果中发现，有38%的公司遭遇过社会工程攻击。

但网络安全专家说，即便是意识到此类威胁的公司也更有可能把重点放在虚拟攻击上，比如网络钓鱼——令员工泄露密码的骗子电邮等。一些公司用假钓鱼电邮测试员工，或者曝光坏习惯。不太常见但同样重要的是所谓的实际侵入测试，即雇用一家外部公司来渗入公司的设施。

纽约的麦楷会计师事务所技术保障服务实践组的全国负责人希瑟·贝尔菲尔德说，在她的客户中大约有50%雇用这家咨询公司开展社会工程测试，比如钓鱼电邮，其中的一些客户还要求进行实际侵入测试。

贝尔菲尔德说，一些侵入测试只是观察员工的习惯。某家客户公司可能让麦楷的测试员假装成临时工，介绍给员工。随后，这名测试员可以观察办公室中的潜在漏洞——把密码写在即时贴上，工作站不设密码保护，诸如此类，然后向公司汇报。她说：“我们曾发现有一名员工把个人无线路由器藏在一株盆栽植物中。”

其他一些侵入测试更加隐蔽。伯杰说，Redspin的安全分析员尾随下班后的公司员工到酒吧，偷听敏感信息。分析员还乔装成送比萨饼外卖的人员或者新员工来进入某处设施。一旦进入，分析员就要看看他们能走多远。

伯杰说：“难以置信地容易进入。你一旦进去了，就能做很多事情。”Redspin的分析员有时会尾随有安全卡的员工，请他们扶着门，进入禁区。伯杰说，分析员寻找能够接入笔记本电脑的开放端口来进入公司的网络，或者能插入指状储存器的解锁计算机。

贝尔菲尔德说，医院尤其容易遭受实体入侵，因为医院员工接受的培训就是欢迎人们前来探望患者，还因为至关重要的信息技术系统往往没有与公共区域隔开。

测试的目的是向公司展示漏洞在哪里，这样这家公司就能够培训员工改变做法。伯杰说：“实际上，我们如果被逮住，会认为是一种成功，因为这正是我们想要的。”(完)