《加勒比海盜》系列電影是美國迪士尼影業的超級IP和吸金神器,它的前4部爲迪士尼帶來了超過37億美元的票房,更不必說還有主題遊樂園的鉅額收入。該系列的最新力作《加勒比海盜5:死無對證》已於上週末全球同步上映。但本片引起國內外主流媒體注目的最大原因之一,竟是“電影海盜”在現實中遭遇“信息海盜”——在電影上映2周前,片源疑似遭到黑客惡意竊取及勒索。
就在不久前Wannacry病毒在全球範圍快速擴散時,迪士尼公開宣稱曾接到黑客的勒索電話,有一部尚在製作中的樣片遭竊取;但情況卻在最近出現反轉,迪士尼CEO出面否認片源被黑客竊取,並拒絕警方介入調查。
片方是否在電影上映前爲吸引媒體關注而進行“狼來了”式炒作,我們尚不得而知;但是,隨着好萊塢電影工業的數字化程度迅速提升,高附加值的影視“數字資產”,確實有被掘金黑客們盯上的趨勢。
實際上,“影視作品被竊”案件是有規律可循的——好萊塢工業化流程製片,專業性強、環節複雜、合作公司衆多,片源泄露極有可能源於製作過程中的某個環節,《加勒比海盜5》此前即被認定爲是從某個合作製作工作室處被竊取的。
事件發生後,不少影視行業專家表示,黑客們在高收益誘惑下容易鋌而走險竊取作品文件,如果對此不加重視,類似泄露案件只會越來越普遍。
好萊塢泄密案例
2002年,經典科幻大片《星球大戰前傳2:克隆人的進攻》上映前兩個月,極客影迷們就在http://aint-it-cool-news.com看到這部影片的第一條評論;在電影上映前一週,網絡上已經到處充斥着低畫質的完整影片。偵破發現,這是一起“監守自盜”案件——在《星球大戰》製片公司盧卡斯影業工作的Shea O’Brien Foley,竊取了價值在45~1700萬美元不等的電影音效、故事板和劇本等機密文件,Foley因此被判處一年徒刑。
2003年,李安版《綠巨人》未完成的影像被泄露給一家廣告公司,根據數字拷貝文件中的電子標籤,警方很快鎖定了文件泄露源頭,盜版人Kerry Gonzalez被判處六個月監禁和7000美元的罰款。
《黑客帝國2:重裝上陣》上映的前一天,高清完整版本就在網上被瘋傳。分析了文件的數字嵌入代碼後,警方不但揪出六名福克斯電影公司的“內鬼”,隨後還粉碎了兩個臭名昭著的非法盜版鏈條。
最廣爲人知的好萊塢黑客案件莫過於《X戰警前傳:金剛狼》文件泄露案。在影片上映前一個月,一個“特效未完成版”影片文件被泄露,它的流傳範圍之廣,使得許多人在電影公映前就已經在網上看了片子,給本片全球票房造成重大損失。
2014年,索尼影業被一個叫“和平衛士”(Guardians of Peace)的黑客組織襲擊,旗下的衆多影片、甚至包括公司內部郵件、員工薪酬和衆多員工個人信息都在網上被曝光。索尼在這次信息襲擊中顏面盡失且損失慘重,導致接下來的2015年需要預留1500萬美元預算以應對後續餘波。
2017年,美國娛樂內容巨頭Netflix和迪士尼都受到一個名爲“黑暗霸主” (Dark Overlord)的黑客集團威脅。今年初,Netflix熱播劇《女子監獄》(Orange Is the New Black)被竊,黑客揚言要將之提前泄露;這一黑客集團還威脅要提前把影片《加勒比海盜5》前20分鐘放到網上——除非迪士尼支付8萬美元贖金。於是,纔有了文章開頭的“大片泄露門”事件。
聚光燈下的好萊塢屢遭黑客襲擊而備受關注,而聚光燈以外的企業,也不可避免的在信息時代受到信息安全的威脅。
未來商業競爭就是信息科技的競爭,只有提前做好預防措施,才能從根本上抵禦隨時可能發生的信息安全威脅。企業需要將數據資產和商業祕密的保護重視起來,才能在企業發展的道路上立於不敗之地。不久前發生在國內的《人民的名義》送審樣片泄露、“老乾媽”機密配方被盜、Wannacry勒索病毒等事件,已經給我們敲了足夠響的警鐘。
▌目前市面上關於企業信息安全的產品和解決方案可謂是琳琅滿目,這通常讓企業感到無所適從。針對這種情況,我以多年從事企業信息安全管理的經驗,和大家分享三點乾貨:
❶“安全機制”比“零散的安全功能”更靠譜。
經常看到一些用戶過份地強調某個細分場景下的安全功能,認爲只要有了某個功能就可以高枕無憂。但我不得不遺憾地指出,沒有絕對的安全,只有相對的安全,因爲威脅往往是全方位的。例如,在大部分的文件管理軟件中,防止word文件內容的拷貝功能,僅能防住小白用戶在界面層的操作,卻防不了專業人員對於文件格式底層的數據轉移。退一萬步來說,就算能在技術上防住,有心人也大可以截圖或拍照,利用OCR(Optical Character Recognition)文字識別技術來實現非法拷貝。
因此,我們需要的是建立一套安全機制,在各個點上都加入控制手段,這樣纔能有效地保護企業的數據資產和商業祕密。以下我舉三個例子:
➤➤文件權限的細粒度管理,它可以確保每位企業成員僅能看到自己權限範圍內的文件;
➤➤文件的動態水印,如果出現文件被惡意截圖的情況,動態水印可以快速幫助企業追溯到泄密源;
➤➤文件的使用審計,企業會將所有文件的使用記錄都留存下來,以便在事故發生時可以逐條審計。
❷從“被動防護”到“主動防護”。
殺毒軟件、防火牆、安全補丁等我們常見的安全產品,事實上是一種被動防護。被動防護就像是打預防針時需要用到的疫苗,可以很好的抵禦已知病毒威脅。但被動防護也有侷限性,以傳統殺毒軟件爲例,正如醫療機構在研發疫苗前必須先研究病毒一樣,廠商需要先對電腦病毒進行分析,才能制定有針對性的殺毒方案。這一過程從幾個小時到數年不等,而絕大多數的新型威脅正是利用了這個時間差,給用戶造成重大損失。
而主動防護則可以跳脫出後知後覺的尷尬,它可以是一種對網絡或系統行爲的智能分析預測、一個威脅發生時的可追蹤方案、或一個損失發生後的兜底方案。主動防護的重點,是將威脅扼殺在發生之前,或者即使威脅已發生,也能掌握控制權。
對於企業的數據資產和商業祕密來說,一個安全靠譜的文件保管和備份方案是必須的,因爲它可以做到即使個人電腦被黑客攻破,仍可以保證核心文件數據的安全。另外,如果威脅更進一步,存儲文件數據的硬件都遭到了毀壞,那麼至少我們還有一套完整的數據可供使用。
❸認清私有云的價值,提升IT認知。
曾經見過一些公有云企業的銷售,在並沒有將產品特性解說清楚的情況下,惡意貶低私有云,並不斷勸導客戶將敏感數據上傳至公有云,很多企業也糊塗照辦。但事情的真相卻是,購買私有云就像買房子,私有云是你的物業財產,受物權法保護;而公有云的“租賃”特性則決定了客戶對雲平臺只有使用權而沒有所有權,就像租房子,由於物業不是自己的,哪怕有租約在身,房東執行違約條款強行讓你搬家時,你也無可奈何。
需要明確的一點是,我並非認爲公有云不好或不安全,燕麥雲也有公有云產品,但我認爲公有云的價值應該體現在靈活、便捷、分享和短週期上,而對於在安全方面有要求的客戶,我會堅定地建議使用私有云。數據資產和商業祕密,應該由企業自身去掌握,在這個過程中,企業管理層對信息化和IT的認知和重視程度就會成爲關鍵。
最後我有個小貼士貢獻給大家,那就是儘量去選擇輕量易安裝的私有云產品。輕量意味着不給企業帶來額外IT負擔,而且可以同時去滿足企業對於文件安全和管控的需求,企業管理者們可以好好利用和學習。