sony怎么了？近来为何频频被黑？

热心回应 · 2019-10-11 13:20:42

最近这段时间，PSN的一次次被黑客攻击，把Sony推上了舆论的焦点，在一阵诧异后，大家纷纷猜测，到底是哪里出了问题，不差钱的PSN，会一次次的出问题，是GeoHot的兄弟们太厉害了？还是Sony的网络安全防护太菜了，现在谁也说不清楚。

事情的起因，是一个叫做Anonymous的黑客团体觉得Sony有点“逼人太甚”，打算让Sony清醒一下，这个世界到底谁说了算。点燃这帮黑客怒点的是，Sony把破解PS3的著名黑客GeoHot告到倾家荡产逃到南美洲还不罢休，更要“逼”GeoHot写下永不再犯的保证书，彻底不给GeoHot留面子。

于是在4月初，这帮人开始发动攻击，先通过洪水攻击在全世界范围内将PSN的安全防范体系打乱，之后趁机进行渗透攻击，一共获得了近1亿笔个人信息以及1000万个信用卡帐户。很明显这伙人的攻击是有策略层次的，并且有团队配合，打法有点像游击战。

这场由DDoS引发的血案，给Sony带来了巨大的经济损失和负面影响的同时，也给我们做安全的提供了很多看点。

看点1：Prolexic 抗DDoS云服务

从NetCraft的数据分析，在4月初，PSN被攻击后，4月9日，北美的PSN网络切换了新的IP地址，网络运营商也从SCE变换为Prolexic。（见以下链接）

http://uptime.netcraft.co.uk/up/graph?site=us.playstation.com

Prolexic是何方神圣？通过搜索，我们发现该公司是一家总部位于佛罗里达好莱坞的信息安全服务公司，专门从事抗DDoS服务，客户包括世界排名最前的几家大银行和政府机构。由此分析，第一波攻击是一种特别的DDoS攻击，以至于通过PCI-DSS认证的PSN安全系统完全无法抵抗，这时候Sony没有选择自己重新部署来解决问题，他们选择了这个时代最In的选择，Security as a Service，安全云服务。赞一个。

更亮的亮点是，Prolexic选择了Netscaler作为最前线的交付网关，直接作为对抗DDoS的最前沿拦截坝。（向所有购买Netscaler的用户致敬，你们的选择是明智的。）

经过此次事件后，相信会有更多的公司会将网络安全，特别是最前线的暴力攻击防御外包出去给专业公司，通过云安全服务来解决此类问题是可信并且经济的。

看点2：1亿个帐号1000万个卡号外泄，0个被盗事件发生

黑客接连攻破PSN的Apache服务器，黑进数据库，盗走了1亿个用户帐号和1000万个信用卡信息，但是万幸的是，虽然Sony没有在网络和应用上对数据进行必要的安全防护，但至少在数据存放上进行了必要的加密和分离存储，被盗数据是主要是用户密码的哈希值和加密后的信用卡数据，其本身不能直接引发帐户和信用卡盗用事件，这保证了在信用卡信息被盗1个月后，也没有爆出PSN用户信用卡被盗用的情况。

Sony应该给提供数据加密的厂家送一面锦旗，感谢这最后一道防线至今还没有被破解。加密太重要了，无论是经过网络边界时由DLP系统触发的加密还是在数据存储时进行的文件级加密，甚至是最简单的全磁盘加密，都可以在最关键的时刻救你一命。如果没有加密，Sony丢失的这1000万个信用卡帐号落入基地组织手里，足够发动一场针对美国的经济战争了。

如果你实在没有更多的预算加强网络安全防护，那么就把钱花在数据加密上吧，这是最后一道防线。事实证明管用！

看点3：为什么要有最初的一场DDoS攻击，干吗不直捣黄龙？

4月初的DDoS危机发生后，Sony只是把焦点集中在抗DDoS，哪知道这只是黑客们的佯攻，我们猜测黑客使用了AET高级逃逸技术，由于该技术进行逃逸的方式是2的N次方，并且需要进行大量的嗅探式踩点，以确定后端的系统漏洞点，所以黑客制造了一场DDoS来作为背景流量，以掩盖AET的嗅探式踩点攻击，但是显然Sony最初只是把这次攻击当作一场特殊但是又平常的DDoS事件处理，并没有对风险进行彻底全面的评估，对数据安全更是缺乏认识，直接导致了既便在4月9日就引进了专业的安全厂家Prolexic，但是还是未能阻止之后的用户数据外泄事件。

随着AET技术不断被黑客集团熟练使用，未来会有更多的以DDoS为背景流量进行的AET踩点行动，你的IPS要换代了。

看点4：PSN下线近1个月，他们到底在忙什么？

下线一个月，直接经济损失不说，Sony的面子怎么挂得住。为什么需要那么长时间恢复服务？没有建设SoC，定位问题并且进行修补的方式和策略没有系统，Sony系统内的日常安全维护工作欠账太多，是造成PSN下线1个月时间的主要原因。苍蝇不叮无缝的蛋，修补好漏洞，再犀利的攻击也没法子发作。

亡羊补牢，之后亡牛补牢，再之后亡人补牢，不能再亡了，重新建个牢吧？Sony能停一个月，说明Sony对安全对用户的负责态度。但是1个月时间真得有点太长了，而且Sony肯定不会允许再有下一次了。系统地修补系统漏洞是需要一套完整的内部IT管理系统来维持的。ISO27001的标准的执行需要一个很长的过程，平时的欠账在关键时刻都是要还的。

看点5：Sony为什么没有设CSO的职位？

不只是Sony没有设，太多的大公司都还没有CSO这个职位，特别是我们国内的企业，对于信息系统的安全重要性认识非常不足，在CIA这样的大是大非问提上，对安全的认识还只是停留在维持可用性的高度，对于数据安全的认识很不充分。没有高层配合，很多安全项目执行的质量真得无法保证，不仅存在着Sony这样的风险，很多甚至更加严重。我们在安全上花钱是一回事，在安全上花好钱是另外一回事，怎么样才能花好钱，花到位，就需要有专门的人来花！如果PSN事件促使有更多的国内企业设CSO这个职位，这未尝不是坏事变好事。

最后，联想到最近故宫4层防护系统，败在一个毛贼手里，心防在这次PSN事件中肯定也有很大的关系，现在很多管理员为了避免误杀误报在策略的设定上都偏向保守，造成了很多“海绵内的水分没有挤干”，留下很多漏洞，这些还需要进一步的工作。

关于Sony PSN

PSN指的是PlayStation Store，即PlayStation网络商店。PlayStation Store是PSN内一个下载中心，提供PS3/PSP游戏宣传及展示片段、PS3游戏试玩版、收费的下载专用PS3游戏、PS游戏(下载至PSP及 PS3内游玩)、电视及音乐宣传片等下载服务。收费的项目需要使用“电子钱包”来付款，为“电子钱包”充值的方法包括利用信用卡或购买 PlayStation Network Card。Sony于2006年6月15日的“PlayStation Business Conference”中首度公布PSN。

热心回应 · 2019-10-11 13:20:43

其实该事件简而言之就一句话，做人不可学sony，给人一条路，也是给自己一条路。囧

sony怎么了？近来为何频频被黑？

2 个回复