信息來源：4hou

前段時(shí)間，數(shù)字貨幣交易中心Coinbase爆出被黑事件。攻擊者以釣魚郵件方式向Coinbase員工私人郵箱發(fā)送電子郵件，完成前期潛伏、滲透工作后；在某個(gè)時(shí)機(jī)，攻擊者以兩個(gè) Firefox 0day 漏洞發(fā)動(dòng)“猛攻”。雖然，Coinbase Security 很快檢測到并阻止了該攻擊。但值得注意的是，這場針對交易所企業(yè)“精心蓄謀”的攻擊，卻是從員工個(gè)人入口“破門而入”，完全繞過了基于企業(yè)數(shù)據(jù)搭建起來的封閉防御系統(tǒng)。而這，不僅引發(fā)了諸多安全廠商的反思，它也引發(fā)了一個(gè)新的命題：個(gè)人端的完整數(shù)據(jù)對未來企業(yè)端安全的重要性。

擁有近乎固若金湯的安全數(shù)據(jù)與防御系統(tǒng)，Coinbase為何仍難逃被攻擊厄運(yùn)？

今年8月，數(shù)字貨幣交易中心Coinbase表露：其遭遇了一場使用網(wǎng)絡(luò)釣魚、社會(huì)工程學(xué)策略的復(fù)雜攻擊。攻擊目標(biāo)為侵入該交易中心的系統(tǒng)軟件，一旦攻擊者達(dá)成目的，他們將竊走價(jià)值數(shù)十億美元的數(shù)字貨幣。縱觀整個(gè)事件過程，頗具“戰(zhàn)術(shù)性”。

攻擊起源于2019年5月30日（星期四），十幾位 Coinbase員工的私人郵箱收到了一封電子郵件。郵件稱其是來自劍橋大學(xué)研究資助管理員 Gregory Harris。因?yàn)樵撾娮余]件來自合法的劍橋域名，又不包含惡意內(nèi)容，同時(shí)還通過了反垃圾郵件的檢測以及可引用收件人的背景，因而并沒有引發(fā)Coinbase員工的懷疑。

接下來幾周，Coinbase的員工又陸續(xù)收到了類似的電子郵件。依然沒有任何可疑之處。此時(shí)，員工還與攻擊者展開了郵件往來。

然而，就在6月17日上午6:31，Gregory Harris 發(fā)送了一封新電子郵件，與以往不同：這一次它包含一個(gè) URL，當(dāng)在 Firefox 中打開時(shí)，會(huì)自動(dòng)安裝能夠接管點(diǎn)擊人電腦的惡意軟件。精心策劃、蓄謀已久的網(wǎng)絡(luò)攻擊正式開始。

雖然在攻擊正式開始后，Coinbase Security 很快發(fā)現(xiàn)并進(jìn)行了及時(shí)阻止。但這場有驚無險(xiǎn)的“襲擊風(fēng)波”，卻引發(fā)了很多廠商的關(guān)注與反思：作為數(shù)字貨幣交易中心，Coinbase擁有可謂是固若金湯的安全大數(shù)據(jù)和防御系統(tǒng)，但為什么依然遭遇了網(wǎng)絡(luò)攻擊呢？企業(yè)端的安全又該如何保障？

狡猾黑客早已改變攻擊路數(shù)，迂回作戰(zhàn)，個(gè)人成為突破口

上述的事件中，攻擊者達(dá)成目的的一個(gè)關(guān)鍵點(diǎn)在于：他成功繞過了基于B端企業(yè)數(shù)據(jù)搭建起來的封閉防御系統(tǒng)，而是通過釣魚郵件方式攻擊員工私人郵箱進(jìn)而一步步接近目標(biāo)的。

也就是說，黑客們似乎變的愈發(fā)聰明，他們的攻擊方式也在逐步“升級(jí)”，他知道企業(yè)擁有B端安全數(shù)據(jù)與防御系統(tǒng)，所以他不正面迎敵，而是采取迂回作戰(zhàn)方式，先攻擊對于企業(yè)組織來講最為重要的“員工”——以“C端”個(gè)人為突破口，并橫向移動(dòng)攻擊C1、C2、C3……由點(diǎn)及面（這樣做保證了即使沒有攻破C1、C2，還會(huì)有C3、C4等等，再眾多的個(gè)體中總會(huì)有容易“淪陷的員工”存在），待一切都鋪墊好、時(shí)機(jī)成熟時(shí)，再“由面到體”給予核心目標(biāo)致命一擊。

試問，面臨黑客如此縝密的、鋪面連環(huán)式的針對“個(gè)人攻擊的戰(zhàn)術(shù)”，面對茫茫如海的用戶“端口”，如果僅依靠傳統(tǒng)的防護(hù)思維，僅依靠企業(yè)端封閉的防御系統(tǒng)，哪家企業(yè)、哪家網(wǎng)絡(luò)安全公司敢說，能確保企業(yè)安全萬無一失、不被攻陷？

大環(huán)境已變，企業(yè)邊界正在瓦解，基于邊界的安全防護(hù)體系無法支撐企業(yè)防護(hù)

更為嚴(yán)重的是，企業(yè)安全面臨的是不止于黑客攻擊手法的變化，事實(shí)上，企業(yè)所處的環(huán)境也早已發(fā)生改變——企業(yè)邊界正在瓦解，基于邊界的安全防護(hù)體系正在失效。 

傳統(tǒng)基于邊界的網(wǎng)絡(luò)安全，在某種程度上是默認(rèn)了內(nèi)網(wǎng)是安全的，認(rèn)為只要構(gòu)筑了企業(yè)的數(shù)字護(hù)城河，通過防火墻、WAF、IPS等邊界安全產(chǎn)品或方案，就能實(shí)現(xiàn)企業(yè)的網(wǎng)絡(luò)安全。然而，在零信任的網(wǎng)絡(luò)安全世界里：網(wǎng)絡(luò)內(nèi)部和外部的任何人、設(shè)備、系統(tǒng)都不能信任。 

而事實(shí)上，早在2010年震驚世界的“震網(wǎng)事件”中，就已證明基于邊界的安全防護(hù)體系已無法支撐企業(yè)防護(hù)。據(jù)報(bào)道，震網(wǎng)病毒初始感染就是靠荷蘭情報(bào)機(jī)構(gòu)雇傭的“間諜工程師”通過一枚小小U盤完成操作的。（智庫在《“震網(wǎng)”十年謎底終浮水面, 伊朗核計(jì)劃流產(chǎn)源于內(nèi)鬼“間諜行動(dòng)”》這篇文章中，有極為詳盡報(bào)道，請點(diǎn)擊閱讀）該“間諜”要么自己是直接把U盤插到了離心機(jī)網(wǎng)絡(luò)，要么是通過“感染”工程師，讓工程師帶入感染后的代碼?？傊黄屏宋锢斫缦?，突破了傳統(tǒng)的網(wǎng)絡(luò)安全邊界，一舉摧毀了伊朗驕傲的“核計(jì)劃”。

人是安全的尺度，最為薄弱的環(huán)節(jié)，個(gè)人安全數(shù)據(jù)對企業(yè)市場至關(guān)重要

在上述幾段論述中，無論是黑客攻陷“某個(gè)個(gè)體”還是“內(nèi)鬼”突破安全防護(hù)邊界，我們發(fā)現(xiàn)：它都離不開人?？梢哉f，在網(wǎng)絡(luò)空間世界里： 人，是安全的尺度，是最重要也是最脆弱的操作資源，是網(wǎng)絡(luò)安全組織中最強(qiáng)大也是最薄弱的環(huán)節(jié)。FBI和犯罪現(xiàn)場調(diào)查（CSI）等機(jī)構(gòu)聯(lián)合做的一項(xiàng)安全調(diào)查報(bào)告顯示，超過85%的網(wǎng)絡(luò)安全威脅來自于內(nèi)部，危害程度遠(yuǎn)遠(yuǎn)超于黑客攻擊和病毒造成的損失。

然而，國家、企業(yè)，乃至我們整個(gè)社會(huì)正是由人組成的，與此同時(shí)，網(wǎng)絡(luò)安全又是一個(gè)高度碎片化的行業(yè)，所以，每個(gè)人、每個(gè)點(diǎn)都可能成為敵人攻擊的突破口。即使一家公司有再多技術(shù)人員，有再完整的企業(yè)數(shù)據(jù)以及安全防護(hù)系統(tǒng)，但忽視個(gè)人數(shù)據(jù)，或沒有完整的個(gè)人數(shù)據(jù)做支撐，那么它將如同缺失了“左膀”或“右臂”般，難以獨(dú)臂撐起防護(hù)企業(yè)安全的重大職責(zé)。

可以說，面對現(xiàn)在的攻防對抗的網(wǎng)絡(luò)安全環(huán)境下，沒有個(gè)人的數(shù)據(jù)作為基礎(chǔ)，是無法做好企業(yè)市場，C端個(gè)人安全數(shù)據(jù)對B端企業(yè)市場至關(guān)重要。所以，智庫認(rèn)為：應(yīng)對網(wǎng)絡(luò)攻擊、應(yīng)對網(wǎng)絡(luò)戰(zhàn)，我們應(yīng)將企業(yè)數(shù)據(jù)與個(gè)人數(shù)據(jù)相結(jié)合，構(gòu)筑真正的網(wǎng)絡(luò)安全大數(shù)據(jù)，唯獨(dú)如此，我們才能真正實(shí)現(xiàn)防護(hù)企業(yè)與國家的安全。