黑客窃取企业数据是一种怎样的体验？

美国Anthem医疗保险公司的信息泄密事件经过一周的发酵逐渐降温，或许Anthem的事件只是医疗行业信息泄露的开始，未来医疗行业的泄密危机依然存在。企业会在数据遭窃后迅速通报，控诉黑客的行径，而对于黑客来说，窃取Anthem的数据是怎么做到的呢，或许我们应该看看黑客窃密的体验，对未来，也是一种借鉴。

据美联社报道，黑客至少利用了Anthem五名内部员工的系统口令。Anthem自己则声称，至少有一名管理员权限的账户被黑客入侵，因为该账户的所有者发现他的账户被用来查询系统的数据库。那么，黑客是从哪里开始入侵呢？

利用员工信息进行定制化钓鱼攻击

首先，黑客在职业社交网站上对Anthem的员工进行钓鱼邮件攻击，职业社交网站上用户的企业信息一览无遗，黑客获得员工的邮件账号几乎不费力气。黑客使用恶意软件作为邮件附件，攻击众多员工中的一个，只要一个人点开了邮件的附件，钓鱼攻击便成功得逞。黑客通过受害者的系统账号得以访问内部数据，由于黑客针对受害者进行定制化攻击，而Anthem的安全人员在黑客入侵之前都没有定期更新和升级安全软件，因此成功避开企业内部大多数防病毒软件的检测并不是难事。

企业内部不正确的访问控制

值得注意的是，黑客得以进入Anthem系统的关键点在于，Anthem并未设置额外的认证机制，仅凭一个登陆口令或一个key就能够以管理员权限访问整个数据库。客观的说，Anthem最主要的安全失误不是缺少数据加密，而是不正确的访问控制。实际上用户的数据也没有加密，否则即便攻击者拿到管理员权限的账户也无济于事。访问控制的懈怠是今天许多机构都普遍存在的问题，它不仅会增加外部钓鱼攻击的风险，同样也是严重的内部威胁，高级别用户的一些简单错误就会引发，Anthem并非个例。黑客攻击企业数据系统，或许就像玩游戏节节闯关那般地顺利。

企业最常见的八大信息安全疏漏

去年英国曾发布过一份报告分析关于威胁个人和企业IT安全的八大常见的信息安全疏漏，报告指出影响企业安全的八大疏漏包括：

未能及时升级更新安全软件；

缺乏对SQL注入的防护；

使用了不必要的服务；

对不再使用的旧软件和服务的处置不当；

数据库弱密码访问限制；

未能加密在线通讯（正确配置SSL/TLS）；

没有对数据库进行加密处理；

使用包含密码的默认账户；

Anthem企业内部也存在上述的某些漏洞，才导致黑客能够入侵成功。如果Anthem有定期升级更新安全软件，当黑客的钓鱼邮件发送至员工的邮箱时，安全软件会进行扫描检测，识别恶意软件及时报警，危机在这一关口得以控制，黑客的计划也无法继续推进。另外，Anthem的管理员登陆口令没有设置多重限制，仅凭单一密码便可以管理员权限访问整个数据库，更糟糕的是没有对数据库进行加密处理……

我们不难得出结论，其实所谓的“道高一尺魔高一丈”不过是自欺欺人的说法，黑客能够得逞，更多时候是因为企业的安全防御真的太弱了。黑客或许在成功入侵数据库后，会很失望地说，一点也不刺激，我想要的体验可不止这些！黑客攻击手法在变化，企业安全防御要提高，医疗信息可别成为黑客的体验游戏。

文章取材：信息防泄露大讲堂