《加勒比海盗》系列电影是美国迪士尼影业的超级IP和吸金神器,它的前4部为迪士尼带来了超过37亿美元的票房,更不必说还有主题游乐园的巨额收入。该系列的最新力作《加勒比海盗5:死无对证》已于上周末全球同步上映。但本片引起国内外主流媒体注目的最大原因之一,竟是“电影海盗”在现实中遭遇“信息海盗”——在电影上映2周前,片源疑似遭到黑客恶意窃取及勒索。
就在不久前Wannacry病毒在全球范围快速扩散时,迪士尼公开宣称曾接到黑客的勒索电话,有一部尚在制作中的样片遭窃取;但情况却在最近出现反转,迪士尼CEO出面否认片源被黑客窃取,并拒绝警方介入调查。
片方是否在电影上映前为吸引媒体关注而进行“狼来了”式炒作,我们尚不得而知;但是,随着好莱坞电影工业的数字化程度迅速提升,高附加值的影视“数字资产”,确实有被掘金黑客们盯上的趋势。
实际上,“影视作品被窃”案件是有规律可循的——好莱坞工业化流程制片,专业性强、环节复杂、合作公司众多,片源泄露极有可能源于制作过程中的某个环节,《加勒比海盗5》此前即被认定为是从某个合作制作工作室处被窃取的。
事件发生后,不少影视行业专家表示,黑客们在高收益诱惑下容易铤而走险窃取作品文件,如果对此不加重视,类似泄露案件只会越来越普遍。
好莱坞泄密案例
2002年,经典科幻大片《星球大战前传2:克隆人的进攻》上映前两个月,极客影迷们就在http://aint-it-cool-news.com看到这部影片的第一条评论;在电影上映前一周,网络上已经到处充斥着低画质的完整影片。侦破发现,这是一起“监守自盗”案件——在《星球大战》制片公司卢卡斯影业工作的Shea O’Brien Foley,窃取了价值在45~1700万美元不等的电影音效、故事板和剧本等机密文件,Foley因此被判处一年徒刑。
2003年,李安版《绿巨人》未完成的影像被泄露给一家广告公司,根据数字拷贝文件中的电子标签,警方很快锁定了文件泄露源头,盗版人Kerry Gonzalez被判处六个月监禁和7000美元的罚款。
《黑客帝国2:重装上阵》上映的前一天,高清完整版本就在网上被疯传。分析了文件的数字嵌入代码后,警方不但揪出六名福克斯电影公司的“内鬼”,随后还粉碎了两个臭名昭著的非法盗版链条。
最广为人知的好莱坞黑客案件莫过于《X战警前传:金刚狼》文件泄露案。在影片上映前一个月,一个“特效未完成版”影片文件被泄露,它的流传范围之广,使得许多人在电影公映前就已经在网上看了片子,给本片全球票房造成重大损失。
2014年,索尼影业被一个叫“和平卫士”(Guardians of Peace)的黑客组织袭击,旗下的众多影片、甚至包括公司内部邮件、员工薪酬和众多员工个人信息都在网上被曝光。索尼在这次信息袭击中颜面尽失且损失惨重,导致接下来的2015年需要预留1500万美元预算以应对后续余波。
2017年,美国娱乐内容巨头Netflix和迪士尼都受到一个名为“黑暗霸主” (Dark Overlord)的黑客集团威胁。今年初,Netflix热播剧《女子监狱》(Orange Is the New Black)被窃,黑客扬言要将之提前泄露;这一黑客集团还威胁要提前把影片《加勒比海盗5》前20分钟放到网上——除非迪士尼支付8万美元赎金。于是,才有了文章开头的“大片泄露门”事件。
聚光灯下的好莱坞屡遭黑客袭击而备受关注,而聚光灯以外的企业,也不可避免的在信息时代受到信息安全的威胁。
未来商业竞争就是信息科技的竞争,只有提前做好预防措施,才能从根本上抵御随时可能发生的信息安全威胁。企业需要将数据资产和商业秘密的保护重视起来,才能在企业发展的道路上立于不败之地。不久前发生在国内的《人民的名义》送审样片泄露、“老干妈”机密配方被盗、Wannacry勒索病毒等事件,已经给我们敲了足够响的警钟。
▌目前市面上关于企业信息安全的产品和解决方案可谓是琳琅满目,这通常让企业感到无所适从。针对这种情况,我以多年从事企业信息安全管理的经验,和大家分享三点干货:
❶“安全机制”比“零散的安全功能”更靠谱。
经常看到一些用户过份地强调某个细分场景下的安全功能,认为只要有了某个功能就可以高枕无忧。但我不得不遗憾地指出,没有绝对的安全,只有相对的安全,因为威胁往往是全方位的。例如,在大部分的文件管理软件中,防止word文件内容的拷贝功能,仅能防住小白用户在界面层的操作,却防不了专业人员对于文件格式底层的数据转移。退一万步来说,就算能在技术上防住,有心人也大可以截图或拍照,利用OCR(Optical Character Recognition)文字识别技术来实现非法拷贝。
因此,我们需要的是建立一套安全机制,在各个点上都加入控制手段,这样才能有效地保护企业的数据资产和商业秘密。以下我举三个例子:
➤➤文件权限的细粒度管理,它可以确保每位企业成员仅能看到自己权限范围内的文件;
➤➤文件的动态水印,如果出现文件被恶意截图的情况,动态水印可以快速帮助企业追溯到泄密源;
➤➤文件的使用审计,企业会将所有文件的使用记录都留存下来,以便在事故发生时可以逐条审计。
❷从“被动防护”到“主动防护”。
杀毒软件、防火墙、安全补丁等我们常见的安全产品,事实上是一种被动防护。被动防护就像是打预防针时需要用到的疫苗,可以很好的抵御已知病毒威胁。但被动防护也有局限性,以传统杀毒软件为例,正如医疗机构在研发疫苗前必须先研究病毒一样,厂商需要先对电脑病毒进行分析,才能制定有针对性的杀毒方案。这一过程从几个小时到数年不等,而绝大多数的新型威胁正是利用了这个时间差,给用户造成重大损失。
而主动防护则可以跳脱出后知后觉的尴尬,它可以是一种对网络或系统行为的智能分析预测、一个威胁发生时的可追踪方案、或一个损失发生后的兜底方案。主动防护的重点,是将威胁扼杀在发生之前,或者即使威胁已发生,也能掌握控制权。
对于企业的数据资产和商业秘密来说,一个安全靠谱的文件保管和备份方案是必须的,因为它可以做到即使个人电脑被黑客攻破,仍可以保证核心文件数据的安全。另外,如果威胁更进一步,存储文件数据的硬件都遭到了毁坏,那么至少我们还有一套完整的数据可供使用。
❸认清私有云的价值,提升IT认知。
曾经见过一些公有云企业的销售,在并没有将产品特性解说清楚的情况下,恶意贬低私有云,并不断劝导客户将敏感数据上传至公有云,很多企业也糊涂照办。但事情的真相却是,购买私有云就像买房子,私有云是你的物业财产,受物权法保护;而公有云的“租赁”特性则决定了客户对云平台只有使用权而没有所有权,就像租房子,由于物业不是自己的,哪怕有租约在身,房东执行违约条款强行让你搬家时,你也无可奈何。
需要明确的一点是,我并非认为公有云不好或不安全,燕麦云也有公有云产品,但我认为公有云的价值应该体现在灵活、便捷、分享和短周期上,而对于在安全方面有要求的客户,我会坚定地建议使用私有云。数据资产和商业秘密,应该由企业自身去掌握,在这个过程中,企业管理层对信息化和IT的认知和重视程度就会成为关键。
最后我有个小贴士贡献给大家,那就是尽量去选择轻量易安装的私有云产品。轻量意味着不给企业带来额外IT负担,而且可以同时去满足企业对于文件安全和管控的需求,企业管理者们可以好好利用和学习。