钓鱼事件频发：认知升级比技术升级更重要

5月18日6点39分，互联网公司搜狐全体员工收到一份由“搜狐财务部”下发的《5月份员工工资补助通知》邮件。

由于后缀是公司邮箱，发件人又是“财务部”，不少搜狐员工因此放松警惕，扫描邮件里附上的二维码，填写银行卡号等个人信息，最终导致上当受骗，钱财被划走。5月25日，搜狐公司公布声明，称共有24名员工被骗取4万余元人民币。此事一经曝光，就冲上了微博热搜第一。

不光搜狐，类似的事情在中国互联网行业并非新鲜事。今年1月份，B站也曾有过同样的遭遇，导致多名员工遭殃，总共被受骗8万元。

搜狐是中国成立最早，且最早从事邮箱服务的互联网之一，B站同样是一家实力不容小觑的互联网公司，但他们的安全防线还是被黑客攻破了。

互联网企业的内部信息系统安全状况尚且如此，其他领域的中国企业就更加可以想象。

传统网安技术，跟不上时代需求

黑客盗取企业内部权限，发送钓鱼邮件，骗员工钱财这类犯罪行为，人的原因当然不容忽视。

员工账号密码设置过于简单，或者缺乏足够的信息安全意识，一不小心点击、浏览了不安全的网络链接，导致个人信息泄露，网络安全部门存在操作或管理疏漏等等，都有可能造成此类犯罪事件的发生。因此，企业务必要加强对员工信息安全培训，让全体员工都养成防范信息安全事件发生的习惯与警惕性。

除了人的原因，技术层面的原因，同样不应该被低估。

从技术上来讲，钓鱼邮件诈骗事件发生，通常有两种情况：一是外部黑客通过网络技术破解获取公司内部邮箱数据，比如掌握企业邮箱系统的管理缺陷或安全漏洞，安插病毒，并获取密码，二是外部黑客通过技术手段，伪造与目标企业域名类似的域名。

5月25日11时，搜狐公司CEO张朝阳发布微博称，事情的起因是一名搜狐员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工。可见，搜狐企业邮箱钓鱼诈骗事件属于技术层面的第一种情况，也就是黑客盗取搜狐员工的邮件密码，侵入搜狐邮箱系统，并获得财务部的邮箱权限，进而通过财务部邮箱发放钓鱼邮件，诱导员工上当，骗取员工钱财。换句话说，搜狐的网络安全技术的确存在漏洞。

漏洞的出现，可能与其未能及时迭代网络安全技术有关。

传统的网络安全技术主要包括黑名单、防火墙、杀毒软件、身份认证、网络网关。这些技术重在“边界防护”，比如黑名单技术，需要运维人员持续不断地更新漏洞补丁，通过穷尽现有漏洞补丁，持续叠加防护手段，才能尽可能保障信息系统的安全。

但这种被动防御式的“边界防护”无法抵御拥有0Day漏洞（最短时间内出现相关破解）的黑客，或已在边界之内的“内鬼”，尤其是随着计算终端节点数呈现指数级增长，需要处理的数据量越来越大，高级网络威胁手段不断升级，就愈发难以适应时代的需求。

从被动防护，到主动免疫

与以黑名单为代表的传统网安技术对应的，是白名单技术。

所谓白名单技术，指的是，程序或操作只有被允许，才能正常运行，如果未被允许，那就统统默认不安全——就像一份白名单，名字不在其上的人，统统不让通行。

不过，白名单技术并非完美无缺。

由于不同的节点对安全等级的定义不同，因此每一台服务器都需要设置独立的白名单。这种机制虽然能使得黑客顶多只能入侵到唯一一台服务器，进而挡住大部分网络安全威胁，尤其是未知的威胁，从而极大地提升整个系统的安全性，但会给运维人员带来庞大的手动操作工作量，给企业带来沉重的管理负担，甚至是造成巨大的管理漏洞。

既然白名单技术的安全性高，而手动设置白名单又耗时费力，那么是否有办法自动生成白名单，从而实现系统安全性高，同时人力成本又低的效果？

答案是肯定的，也的确有公司这样做，例如北京八分量信息科技有限公司。

大部分传统信息安全技术厂商都专注于解决边界防御问题，而作为一家可信基础设施服务商，八分量走的是一条少有人走的路——从系统内核层面思考如何主动、持续地解决安全问题，并实现安全免疫。

这样的创新性理念之下，八分量基于可信计算技术，并辅之以UEBA（用户实体行为分析）技术、人工智能、区块链等技术，推出新一代的信息安全防护产品——持续免疫系统。

借助可信技术，系统自动生成细颗粒度白名单，在1秒内识破异常进程加载，从而对抗超级管理员权限的黑客，对服务器实现可信硬件级别监控。

借助UEBA技术，系统在10秒内识破异常操作行为，并且以极低的误报率，精准过滤异常进程；

借助人工智能技术，系统在15秒内自动部署对抗措施，为安全管理员赢得时间，同时智能生成威胁情报，辅助安全管理员快速决策。

最后，借助区块链技术，系统以万级TPS（每秒数据存储笔数）、数据库级别的存储效率，对链上数据进行永久存证，并且以比特币账本级别的强度防止数据被篡改，进而实现对恶意行为的防篡改、存证、追溯，防止入侵者抹除系统日志以逃脱追责。

八分量持续免疫系统通过上述技术，建立一套服务器可信任体系，阻止黑客或内部人员拿到最高权限攻入系统后实施滥用行为，进而解决0Day攻击、数据泄露、ROOT提权、非法程序启动等安全威胁，以保障业务稳定、数据安全。

截至目前，八分量持续免疫系统已经在政务、银行、证券、教育等多个行业落地应用。

比如在东吴证券，八分量持续免疫系统以可靠、可用、可维护、安全为目标，结合其已有的信息系统，协助建成一套以传统黑名单防御与动态可信白名单持续免疫相结合的，硬件、系统、数据、引用、网络等全部可信的新一代零信任、全程安全可视的信息安全防御体系。

有了这套信息安全防御体系，东吴证券的服务器安全防护能力、抵御未知攻击的能力和整体安全架构高可用性、安全防护效率等全都得到了质的提升。

截至2020年10月，平台已纳管东吴证券近200套系统、2300余台设备，日均处理指标数据150GB、应用日志数据150 GB、网络报文2 TB，共产生25000余次事件通知，共发现200多次可能的安全风险；盘中紧急切换预警18次，拦截非既定程序159次，故障预判5次。通过该平台，运维人员工作效率和能力得到大幅度提升，每年为公司减少直接经济损失5000万元以上，间接创造收入1000万元以上。

也正是凭借着创新的技术和突出的实践成效，东吴证券《RAMS信息系统支撑平台》项目已申请3篇专利，获得3篇软件著作权，并斩获多项荣誉奖项，其中就包括中国人民银行2020年度金融科技发展奖三等奖。八分量创始人兼CEO阮安邦由此也被东吴证券聘请为金融科技实验室专家。

再比如在光大银行总行，八分量持续免疫服务助其提升主机的安全预警能力、抵御未知威胁能力，加强了对业务系统的安全管理，特别是基于不同用户（设备）的安全机制精细度管理，还从用户和系统两个维度重构安全审视维度，大幅降低了系统安全运维管理的复杂度。

以上只是八分量持续免疫系统所服务客户和行业场景的代表案例，类似的案例还有很多，比如三明学院、某省公安厅等等。

在这些行业场景之中，八分量基于可信计算的持续免疫系统帮助客户建立起一套主动持续免疫的信息安全系统，在大大提升信息系统安全性的同时，也为业务发展保驾护航，扫除安全隐患。

结语

回到文章开头的话题。

张朝阳在微博上透露，虽然遭遇企业邮箱钓鱼邮件，但搜狐技术部门很快进行了处理，使得整体受骗金额不高。作为一家互联网公司，搜狐遭遇钓鱼邮件一事再次引发了用户、企业、媒体对于信息安全的关注。

事实上，这些年，伴随着移动互联的持续深化，联网节点、数据量都呈现爆发式增长，导致信息安全问题频发。国家也意识到信息安全之重要，不仅推动网络安全等级保护制度2.0标准的落地实施，还通过了《信息安全法》《个人隐私保护法》，将企业保护用户信息安全写进法律之中。

道高一尺魔高一丈。信息安全保护，不仅仅需要政策的指引和号召，需要人们提高信息安全意识，也离不开企业及时升级信息安全防护技术。唯有各方共同努力，才能真正让别有用心的网络黑客和信息安全破坏者无处遁形。