索尼被黑警示中国企业 如何远离“索尼”式悲剧

典典典妞

来源：中国新闻网   |   编辑：郑青莹
　　最近一段时间，索尼被黑事件持续发酵，美联社称之为企业安全史上损失最惨重的黑客攻击事件，这次事件对索尼造成了严重的创伤，黑客获取了索尼内部大量内部资料，包括员工及明星信息、合约和其他敏感文件。索尼被黑事件也再次给中国企业和机构敲响了警钟，在互联网和信息技术越来越普及的今天，企业如何做好自己的安全防护，避免索尼式悲剧重演。
　　专家分析黑客入侵索尼的6种可能手段

　　目前有关索尼被黑事件的幕后黑手以及攻击方法仍众说纷纭，360网络攻防实验室负责人林伟认为，这次黑客对索尼影业的攻击，可能有几种入侵手段：一种是内鬼。通过控制某一个员工的终端或者获取其访问权限，进而控制整个公司的内网系统；第二种可能是鱼叉攻击。即给员工发送邮件、恶意文件或者恶意网页，只要一个员工中招，就能搞定内网系统；第三种可能是水坑攻击。就是在索尼员工经常访问的网站上挂马；第四种可能是物理入侵。通过给员工寄送包裹或在公司附近故意遗留U盘等存储设备，将恶意程序植入其中；第五种可能是无线网络入侵。通过搞定公司无线网络密码，入侵到内网系统。还有一种可能是利用员工在家庭办公的时候入侵，相对来说，员工家庭网络的安全防范会比较薄弱。

　　林伟在接受记者采访时表示，黑客采用的攻击手段其实非常普遍，只是企业安全防护太脆弱。“我们在30多家企业委托下进行的渗透实验时发现，很多重要的机构和企业，不用任何高级的攻击手段，只用最简单的Web攻击，绝大部分渗透成功。两到三个人，用2-3天的时间，就能搞定。”

典典典妞

　从索尼被黑事件看新的安全威胁

　　林伟称，从索尼被黑等一系列近期的安全事件看，现在真正的安全威胁已经发生了“质”的变化：攻击者不再是一个个个体，而是有组织的团队；攻击目的也不再漫无目的，而是瞄准特定目标；攻击表现也不再是炫技，而是潜伏窃取；攻击工具也很少利用已知工具和漏洞，而是利用未知工具、零日漏洞甚至社会工程学。

　　但真正可怕的是，“攻”进步了，“防”却没有跟上。不可否认，无论是防病毒还是防攻击，无论是已知威胁检测还是未知威胁检测，安全似乎一直处于后知后觉的状态——发现威胁、分析威胁、形成具体的或通用的特征规则，然后才能对这个威胁进行防御。所以，在面对复杂、未知、定向攻击等高等级安全威胁时，传统安全产品频频失手，缓不救急。

典典典妞

　综合立体防御体系保护企业安全

　　360副总裁谭晓生前不久在一次论坛上曾经提到建立企业安全体系的四个“假设”：第一个假设，系统一定有未发现的漏洞，所以要考虑如何发现漏洞利用行为，如何检测攻击行为；第二个假设，系统一定有已发现但仍未修补的漏洞，需要及时发现漏洞，强制修补漏洞，但漏洞本身也不能盲目修补，以免影响到关键业务系统；第三个假设，系统已经被渗透，因此要考虑的是如何发现系统已经被渗透、如何处理已经被渗透的漏洞、如果重现攻击过程、如何溯源；第四个假设，员工并不可靠，因此关键在于如何发现员工的异常行为、如何检测并阻断来自内部的攻击。

　　基于这四个假设，要想全面解决安全问题，企业需要的绝对不是一个个单一的安全产品。为此，360企业安全提供了“云+端+边界联动”的综合立体防御体系。只有“云+端+边界联动”的综合立体防御体系，才能帮助企业灵活、快速、最大限度地减少来自安全威胁的影响和损失。

　　360利用全球最大的云安全体系，建立了威胁感知云，为所有安全产品提供云端的威胁感知能力。通过对边界网络流量的全流量的感知和分析，来发现边界威胁。通过对终端的文件与通信进行安全监控，利用云端威胁感知数据来发现终端威胁。无论是网络内部产生的威胁，还是由外网带入的威胁，都可以通过联动接口，利用边界和终端的检测结果，利用云端的威胁感知数据和大数据分析能力，利用边界和终端的安全控制能力，实现对整个网络威胁的联合感知和联合防御。

典典典妞

360从2013年进军企业市场，目前已经为工信部、最高法、水利部、商务部、国税总局、国土资源部、新华社、国家电网、中石油、神华集团、山西省公安厅、江苏省公安厅、天津市工商局、云南检察院、南方航空、广发证券等119.3万家包括中央部委、地方政府组织、央企、世界500强企业在内的机构和企业提供了安全保护。

　　谭晓生表示，360利用自身的技术优势和整体防御能力，可以为中国机构和企业提供全方位安全保护，帮助企业和机构远离“索尼式”悲剧。

典典典妞

苹果明年或推iPhone 6sMini 迎合小掌用户需求

典典典妞

　苹果终于顺应时代潮流，于今年推出了iPhone6/6 Plus两款大屏智能机。但很快就有人开始怀念老款iPhone的“一手掌控”，毕竟不是所有人都有一双大手。不过近期就有传言称，苹果将于明年重新推出一款4寸屏幕的新品，以迎合小手用户的需求。
　　据国外科技媒体PC Mag报道，著名金融服务公司柯文(Cowen & Company)本周向投资者提交的报告中显示，苹果在即将到来的2015年可能会发布三款新品，包括4.7寸屏幕的iPhone6S、5.5英寸的iPhone6S Plus和一部新的4寸机型，该产品暂且被称之为iPhone 6s mini。

　　柯文分析师蒂莫西 阿库里表示，iPhone 6s mini的配置会与 iPhone 5S相仿，但在外形上，尤其是弧形屏幕边缘等设计细节会与iPhone6接轨。此外为了控制价格，可能会采用低成本的配件。

　　目前苹果并没有对这一传言做出回应。不过有分析认为，鉴于之前的低价iPhone 5C在14年并没有得到升级，推出一款新的小尺寸iPhone产品来代替5C还是有可能的。

　　与大多数分析师类似，阿库里在之前的苹果新品预测上并不是百发百中。而相信苹果还是会尽力为消费者带来惊喜。所以新的一年苹果究竟向世界呈现怎样的产品，我们拭目以待。

典典典妞

苹果在俄重新开卖 iPhone6两次调价上涨近七成

典典典妞

　据外媒消息，美国苹果公司的俄罗斯官网12月23日重新恢复了销售，该网站之前受卢布对美元暴跌影响已关停1周左右。重开后，商品价格纷纷上调了35%左右。iPhone 6定价为53990卢布（按24日北京时间9时汇率约合人民币6090元）起，iPhone 6 Plus定价为61990卢布起。
　　苹果在不到1个月时间里第二次提高iPhone在俄罗斯的售价，以应对卢布兑美元汇率的暴跌。今年11月底苹果曾将16GB版iPhone6在俄罗斯的售价上调了25%。随着再次调价，16GB版iPhone6按卢布计算的价格在不到1个月时间里上涨了69%。总部位于加州库珀蒂诺的苹果也提高了俄罗斯应用店的内部售价，基本应用价格从原先的33卢布提高到62卢布。

　　据悉，今年12月16日，受卢布持续大幅贬值的影响，苹果关闭了俄罗斯在线商店，当时16G版iPhone 6在俄罗斯官网上的售价为39990卢布。

　　据中国经济网记者了解，三星和Cartier等全球消费品牌也提高了在俄罗斯的售价。对俄罗斯人来说，卢布的暴跌使进口商品，从电子产品到汽车、食品和服装变得更为昂贵。在俄罗斯美元汇率今年上升了70%多，从1月初的1美元兑换32.9卢布上升到现在的超过56卢布。

有容乃大

安全性一直是大问题。只怪自己不注意。