網絡安全對構建數字信任生態體系至關重要
2023-07-12   安全牛

　　數字信任和數字信任生態系統有很多內容，但網絡安全仍然是核心組成部分之一。一個組織的網絡安全聲譽有多好？它是否有任何已知的違規行為？這些違規行為是否極其嚴重，或者造成了業務影響（和產品損失）或造成了客戶數據丟失？一個組織的數字可信度受到許多非網絡安全因素的影響。組織應該關注他們的品牌和整體聲譽。他們必須改善關系，包括與第三方和客戶的關系。他們必須確保他們的執行和交付能力符合預期。然而，現實情況是，在網絡安全方面表現不佳可能會影響所有這些事情。
　　網絡安全對產業鏈上下游仍很重要

　　今年年初，信息安全領域的大新聞是GoDaddy持續多年的安全漏洞事件。GoDaddy披露的內容令人震驚：它不知道攻擊者是誰；客戶和員工的證書被盜，攻擊者能夠安裝惡意軟件，導致合法網站被重定向至惡意網站（又稱“水坑攻擊”）。在寫這篇文章的時候，此次事件對GoDaddy及其現有客戶的影響程度還未知。會有多少客戶將離開？目前GoDaddy的客戶體量約為2100萬，2022年的收入約為40億美元。

　　關于什么被攻破和如何被攻破的細節，以及被攻破的時間，都令人震驚。雖然GoDaddy可能有強大的網絡安全資產，但這顯然是不夠的。此次事件不僅損害了GoDaddy的聲譽，而且還可能損害依賴GoDaddy托管的客戶的聲譽，例如通過GoDaddyWordPress托管解決方案的客戶。畢竟，如果客戶進入一個組織托管在GoDaddy上的網站，并被重定向到一個惡意網站并受到感染，看起來仍然是該組織的網站造成了損害。它的客戶不可能將問題一直追溯到GoDaddy身上。即使他們有足夠的技術知識來這樣做，他們也可能沒有時間，或者他們可能并不關心它是如何發生的。

　　當LAPSUS$(某黑客組織)聲稱在2022年入侵Okta時，許多信息安全領域的人都注意到了。更重要的是，現有和潛在的客戶也注意到了。事情的真相是，Okta本身沒有被直接入侵。相反，一個外包呼叫中心供應商才是目標，這使得LAPSUS$可以接觸到Okta客戶。這個事件對Okta客戶的總體影響很小，只有2.5%的客戶受到影響。然而，黑客攻擊的消息在行業媒體上持續了數周，很可能導致一些潛在客戶被勸退使用Okta，一些現有客戶選擇遷移到其他供應商。到頭來，即使Okta不是直接目標，這也并不重要。這是一個很好的例子，說明潛在和現有客戶由于第三方的問題而對一個組織失去信任。

　　一個的組織的網絡安全實力是很重要的。GoDaddy必然會遭受聲譽上的打擊，這將導致品牌信譽度降低，幾乎肯定會導致客戶流失。然而，面對GoDaddy遭遇的漏洞，GoDaddy自己的一些客戶可能也會失去客戶。Okta也很可能因為第三方呼叫中心的違規事件而失去了客戶，原因是客戶對其品牌的信任的降低。

　　云的使用及其對數字信任的影響（或缺乏影響）

　　這是一個值得點擊的小標題，但要注意的是，如果一個組織正在使用基于云的資源，并且出現安全問題，那么與本地部署資源相比，它是基于云這一事實造成的影響似乎差別不大。

　　再次，值得關注的是Okta。它被曝光在2022年12月又遭遇了另一次入侵。在該事件中，托管在GitHub上的Okta代碼庫被攻破，Okta的一條產品線的源代碼被復制了。關于入侵者是如何訪問這些存儲庫的，目前還沒有公開的細節。即使有，事實仍然是，所有的審查和責任又一次落在了Okta身上。

　　關于該事件的報道中沒有提到Github基于云的事實，只是作為對那些了解Github的人的一個知識點。因此，Okta使用基于云的代碼庫似乎不是影響Okta品牌的一個因素。如今，使用基于云的資源是一種預期的做法，而且在大多數情況下，人們對其的處理與對本地資源的處理沒有任何區別。實際上，Okta的服務是建立在亞馬遜網絡服務（AWS）提供的功能之上的，這意味著它們完全是基于云的?；氐紾itHub，如果GitHub的實施有缺陷，Okta的客戶可能也不會關心，原因與GoDaddy的客戶不關心一樣。

　　需要明確的是，Okta不是第一個遭受云端資源入侵的組織，當然也不會是最后一個。該組織是一個有趣的案例，因為它的漏洞是最近發生的，尤其是LAPSUS$黑客事件，它的弱點可能是業界沒有認真考慮過的，直到它發生在Okta身上。在使用云時，重要的是要記住有一個共享的安全模型，這意味著安全不僅僅是提供商單方面的責任。例如，人們會期望提供商處理物理安全，但提供商無法阻止客戶實施糟糕的身份和訪問管理（IAM）模式，這可能會導致漏洞?？蛻魝葻o疑是共享安全模型中的一個弱點。也許是由于云計算對太多的IT專業人士來說仍然是一個模糊的概念，但許多轉移到云計算的組織都在試圖盡力地保護資源。例如，2020年的一項研究發現，大量的AWSS3存儲桶的安全防護不當。自這項研究以來，媒體持續對更多組織（包括私營部門和政府）進行定期報道。

　　這就引出了一個問題：云重要嗎？不，它不重要。簡而言之，客戶和潛在合作伙伴并不關心資源的位置。他們關心的是，自己已經被入侵了。這不再是關于云或本地的問題了，它是關于一個組織的網絡安全/信息安全態勢是否足以覆蓋其資源。

　　一些組織有（部分）豁免權嗎？

　　有些組織確實對導致失去信任的事件至少享有部分豁免權。通常情況下，這些組織處于利基市場，或處于這樣的位置，以至于他們的客戶和合作伙伴除了與他們打交道外沒有其他選擇。例如，在一篇反映ColonialPipeline勒索軟件攻擊的文章中，唯一引用的美元數字是支付的原始金額和追回的金額。沒有關于客戶損失或聲譽損失的討論。畢竟，ColonialPipeline并沒有像GoDaddy或Okta那樣的競爭對手。即使失去了信任，一些組織也不會看到對其底線的影響。

　　然而，大多數組織都會看到數字信任越來越重要。如果我不能信任一個組織，我就不會和它做生意，除非我別無選擇。作為一名合伙人，我不希望導致組織聲譽不佳的因素影響我的聲譽。作為一名客戶，如果我可以在兩個供應商之間做出選擇，除非有什么令人信服的事情使我能夠給不太信任的組織一個機會，否則我會選擇更受信任的組織。其中一個令人信服的因素可能是巨大的成本差異。但這意味著受到質疑的組織從與我的任何交易中賺取的利潤更少。因此，提高其可信度對該組織的底線很重要。

　　網絡安全不容忽視

　　ColonialPipeline可能沒有失去客戶，但由于其網絡安全態勢，僅在贖金支付方面就損失了數百萬美元。所以，顯然它只有部分豁免權。即使是一個不依賴數字信任的組織，也需要確保其網絡安全是達到標準的。

　　對于大多數組織來說，網絡安全態勢對整體數字信任至關重要，并影響到合作伙伴和客戶（以及潛在的合作伙伴和客戶）對組織的看法。GoDaddy可能因為宣布漏洞而失去客戶的例子，以及Okta可能將失去一些客戶的預期，都是基于這種反復發生的結果。

　　不同組織的多項研究顯示了相同的結論：數據泄露會導致信任的喪失，從而導致業務的損失。例如，普華永道（PwC）的一份報告發現，85%的消費者如果擔心某個組織的（網絡）安全實踐，就不會與該組織進行交易。很顯然，網絡安全不容忽視。雖然數字信任生態系統的其他方面也很重要，但它們都可能在一夜之間被一次數據泄露事件所破壞。網絡安全并不是數字信任的全部，但它是一個不應該被忽視或低估的關鍵組成部分。