钓鱼事件频发：认知升级比技术升级更重要

5月18日6点39分，互联网公司搜狐全体员工收到一份由“搜狐财务部”下发的《5月份员工工资补助通知》邮件。

由于后缀是公司邮箱，发件人又是“财务部”，不少搜狐员工因此放松警惕，扫描邮件里附上的二维码，填写银行卡号等个人信息，最终导致上当受骗，钱财被划走。5月25日，搜狐公司公布声明，称共有24名员工被骗取4万余元人民币。此事一经曝光，就冲上了微博热搜第一。

不光搜狐，类似的事情在中国互联网行业并非新鲜事。今年1月份，B站也曾有过同样的遭遇，导致多名员工遭殃，总共被受骗8万元。

搜狐是中国成立最早，且最早从事邮箱服务的互联网之一，B站同样是一家实力不容小觑的互联网公司，但他们的安全防线还是被黑客攻破了。

互联网企业的内部信息系统安全状况尚且如此，其他领域的中国企业就更加可以想象。

传统网安技术，跟不上时代需求

黑客盗取企业内部权限，发送钓鱼邮件，骗员工钱财这类犯罪行为，人的原因当然不容忽视。

员工账号密码设置过于简单，或者缺乏足够的信息安全意识，一不小心点击、浏览了不安全的网络链接，导致个人信息泄露，网络安全部门存在操作或管理疏漏等等，都有可能造成此类犯罪事件的发生。因此，企业务必要加强对员工信息安全培训，让全体员工都养成防范信息安全事件发生的习惯与警惕性。

除了人的原因，技术层面的原因，同样不应该被低估。

从技术上来讲，钓鱼邮件诈骗事件发生，通常有两种情况：一是外部黑客通过网络技术破解获取公司内部邮箱数据，比如掌握企业邮箱系统的管理缺陷或安全漏洞，安插病毒，并获取密码，二是外部黑客通过技术手段，伪造与目标企业域名类似的域名。

5月25日11时，搜狐公司CEO张朝阳发布微博称，事情的起因是一名搜狐员工的内部邮箱密码被盗，盗贼冒充财务部发信给员工。可见，搜狐企业邮箱钓鱼诈骗事件属于技术层面的第一种情况，也就是黑客盗取搜狐员工的邮件密码，侵入搜狐邮箱系统，并获得财务部的邮箱权限，进而通过财务部邮箱发放钓鱼邮件，诱导员工上当，骗取员工钱财。换句话说，搜狐的网络安全技术的确存在漏洞。

漏洞的出现，可能与其未能及时迭代网络安全技术有关。

传统的网络安全技术主要包括黑名单、防火墙、杀毒软件、身份认证、网络网关。这些技术重在“边界防护”，比如黑名单技术，需要运维人员持续不断地更新漏洞补丁，通过穷尽现有漏洞补丁，持续叠加防护手段，才能尽可能保障信息系统的安全。

但这种被动防御式的“边界防护”无法抵御拥有0Day漏洞（最短时间内出现相关破解）的黑客，或已在边界之内的“内鬼”，尤其是随着计算终端节点数呈现指数级增长，需要处理的数据量越来越大，高级网络威胁手段不断升级，就愈发难以适应时代的需求。

从被动防护，到主动免疫

与以黑名单为代表的传统网安技术对应的，是白名单技术。

所谓白名单技术，指的是，程序或操作只有被允许，才能正常运行，如果未被允许，那就统统默认不安全——就像一份白名单，名字不在其上的人，统统不让通行。

不过，白名单技术并非完美无缺。

由于不同的节点对安全等级的定义不同，因此每一台服务器都需要设置独立的白名单。这种机制虽然能使得黑客顶多只能入侵到唯一一台服务器，进而挡住大部分网络安全威胁，尤其是未知的威胁，从而极大地提升整个系统的安全性，但会给运维人员带来庞大的手动操作工作量，给企业带来沉重的管理负担，甚至是造成巨大的管理漏洞。

既然白名单技术的安全性高，而手动设置白名单又耗时费力，那么是否有办法自动生成白名单，从而实现系统安全性高，同时人力成本又低的效果？

答案是肯定的，也的确有公司这样做，例如北京八分量信息科技有限公司。

大部分传统信息安全技术厂商都专注于解决边界防御问题，而作为一家可信基础设施服务商，八分量走的是一条少有人走的路——从系统内核层面思考如何主动、持续地解决安全问题，并实现安全免疫。

这样的创新性理念之下，八分量基于可信计算技术，并辅之以UEBA（用户实体行为分析）技术、人工智能、区块链等技术，推出新一代的信息安全防护产品——持续免疫系统。

借助可信技术，系统自动生成细颗粒度白名单，在1秒内识破异常进程加载，从而对抗超级管理员权限的黑客，对服务器实现可信硬件级别监控。

借助UEBA技术，系统在10秒内识破异常操作行为，并且以极低的误报率，精准过滤异常进程；

借助人工智能技术，系统在15秒内自动部署对抗措施，为安全管理员赢得时间，同时智能生成威胁情报，辅助安全管理员快速决策。