燕麥云何洋開講丨「真假海盜」遭遇戰：黑客不但杠上好萊塢，還要把電影變成現實

來自專欄 何洋開講

《加勒比海盜》系列電影是美國迪士尼影業的超級IP和吸金神器，它的前4部為迪士尼帶來了超過37億美元的票房，更不必說還有主題遊樂園的巨額收入。該系列的最新力作《加勒比海盜5：死無對證》已於上周末全球同步上映。但本片引起國內外主流媒體注目的最大原因之一，竟是「電影海盜」在現實中遭遇「信息海盜」——在電影上映2周前，片源疑似遭到黑客惡意竊取及勒索。

就在不久前Wannacry病毒在全球範圍快速擴散時，迪士尼公開宣稱曾接到黑客的勒索電話，有一部尚在製作中的樣片遭竊取；但情況卻在最近出現反轉，迪士尼CEO出面否認片源被黑客竊取，並拒絕警方介入調查。

片方是否在電影上映前為吸引媒體關注而進行「狼來了」式炒作，我們尚不得而知；但是，隨著好萊塢電影工業的數字化程度迅速提升，高附加值的影視「數字資產」，確實有被掘金黑客們盯上的趨勢。

實際上，「影視作品被竊」案件是有規律可循的——好萊塢工業化流程製片，專業性強、環節複雜、合作公司眾多，片源泄露極有可能源於製作過程中的某個環節，《加勒比海盜5》此前即被認定為是從某個合作製作工作室處被竊取的。

事件發生後，不少影視行業專家表示，黑客們在高收益誘惑下容易鋌而走險竊取作品文件，如果對此不加重視，類似泄露案件只會越來越普遍。

好萊塢泄密案例

2002年，經典科幻大片《星球大戰前傳2：克隆人的進攻》上映前兩個月，極客影迷們就在http://aint-it-cool-news.com看到這部影片的第一條評論；在電影上映前一周，網路上已經到處充斥著低畫質的完整影片。偵破發現，這是一起「監守自盜」案件——在《星球大戰》製片公司盧卡斯影業工作的Shea O』Brien Foley，竊取了價值在45~1700萬美元不等的電影音效、故事板和劇本等機密文件，Foley因此被判處一年徒刑。

2003年，李安版《綠巨人》未完成的影像被泄露給一家廣告公司，根據數字拷貝文件中的電子標籤，警方很快鎖定了文件泄露源頭，盜版人Kerry Gonzalez被判處六個月監禁和7000美元的罰款。

《黑客帝國2：重裝上陣》上映的前一天，高清完整版本就在網上被瘋傳。分析了文件的數字嵌入代碼後，警方不但揪出六名福克斯電影公司的「內鬼」，隨後還粉碎了兩個臭名昭著的非法盜版鏈條。

最廣為人知的好萊塢黑客案件莫過於《X戰警前傳：金剛狼》文件泄露案。在影片上映前一個月，一個「特效未完成版」影片文件被泄露，它的流傳範圍之廣，使得許多人在電影公映前就已經在網上看了片子，給本片全球票房造成重大損失。

2014年，索尼影業被一個叫「和平衛士」（Guardians of Peace）的黑客組織襲擊，旗下的眾多影片、甚至包括公司內部郵件、員工薪酬和眾多員工個人信息都在網上被曝光。索尼在這次信息襲擊中顏面盡失且損失慘重，導致接下來的2015年需要預留1500萬美元預算以應對後續餘波。

2017年，美國娛樂內容巨頭Netflix和迪士尼都受到一個名為「黑暗霸主」 （Dark Overlord）的黑客集團威脅。今年初，Netflix熱播劇《女子監獄》（Orange Is the New Black）被竊，黑客揚言要將之提前泄露；這一黑客集團還威脅要提前把影片《加勒比海盜5》前20分鐘放到網上——除非迪士尼支付8萬美元贖金。於是，才有了文章開頭的「大片泄露門」事件。

聚光燈下的好萊塢屢遭黑客襲擊而備受關注，而聚光燈以外的企業，也不可避免的在信息時代受到信息安全的威脅。

未來商業競爭就是信息科技的競爭，只有提前做好預防措施，才能從根本上抵禦隨時可能發生的信息安全威脅。企業需要將數據資產和商業秘密的保護重視起來，才能在企業發展的道路上立於不敗之地。不久前發生在國內的《人民的名義》送審樣片泄露、「老乾媽」機密配方被盜、Wannacry勒索病毒等事件，已經給我們敲了足夠響的警鐘。

目前市面上關於企業信息安全的產品和解決方案可謂是琳琅滿目，這通常讓企業感到無所適從。針對這種情況，我以多年從事企業信息安全管理的經驗，和大家分享三點乾貨：

?「安全機制」比「零散的安全功能」更靠譜。

經常看到一些用戶過份地強調某個細分場景下的安全功能，認為只要有了某個功能就可以高枕無憂。但我不得不遺憾地指出，沒有絕對的安全，只有相對的安全，因為威脅往往是全方位的。例如，在大部分的文件管理軟體中，防止word文件內容的拷貝功能，僅能防住小白用戶在界面層的操作，卻防不了專業人員對於文件格式底層的數據轉移。退一萬步來說，就算能在技術上防住，有心人也大可以截圖或拍照，利用OCR（Optical Character Recognition）文字識別技術來實現非法拷貝。

因此，我們需要的是建立一套安全機制，在各個點上都加入控制手段，這樣才能有效地保護企業的數據資產和商業秘密。以下我舉三個例子：

??文件許可權的細粒度管理，它可以確保每位企業成員僅能看到自己許可權範圍內的文件；

??文件的動態水印，如果出現文件被惡意截圖的情況，動態水印可以快速幫助企業追溯到泄密源；

??文件的使用審計，企業會將所有文件的使用記錄都留存下來，以便在事故發生時可以逐條審計。

?從「被動防護」到「主動防護」。

殺毒軟體、防火牆、安全補丁等我們常見的安全產品，事實上是一種被動防護。被動防護就像是打預防針時需要用到的疫苗，可以很好的抵禦已知病毒威脅。但被動防護也有局限性，以傳統殺毒軟體為例，正如醫療機構在研發疫苗前必須先研究病毒一樣，廠商需要先對電腦病毒進行分析，才能制定有針對性的殺毒方案。這一過程從幾個小時到數年不等，而絕大多數的新型威脅正是利用了這個時間差，給用戶造成重大損失。

而主動防護則可以跳脫出後知後覺的尷尬，它可以是一種對網路或系統行為的智能分析預測、一個威脅發生時的可追蹤方案、或一個損失發生後的兜底方案。主動防護的重點，是將威脅扼殺在發生之前，或者即使威脅已發生，也能掌握控制權。

對於企業的數據資產和商業秘密來說，一個安全靠譜的文件保管和備份方案是必須的，因為它可以做到即使個人電腦被黑客攻破，仍可以保證核心文件數據的安全。另外，如果威脅更進一步，存儲文件數據的硬體都遭到了毀壞，那麼至少我們還有一套完整的數據可供使用。

?認清私有雲的價值，提升IT認知。

曾經見過一些公有雲企業的銷售，在並沒有將產品特性解說清楚的情況下，惡意貶低私有雲，並不斷勸導客戶將敏感數據上傳至公有雲，很多企業也糊塗照辦。但事情的真相卻是，購買私有雲就像買房子，私有雲是你的物業財產，受物權法保護；而公有雲的「租賃」特性則決定了客戶對雲平台只有使用權而沒有所有權，就像租房子，由於物業不是自己的，哪怕有租約在身，房東執行違約條款強行讓你搬家時，你也無可奈何。

需要明確的一點是，我並非認為公有雲不好或不安全，燕麥雲也有公有雲產品，但我認為公有雲的價值應該體現在靈活、便捷、分享和短周期上，而對於在安全方面有要求的客戶，我會堅定地建議使用私有雲。數據資產和商業秘密，應該由企業自身去掌握，在這個過程中，企業管理層對信息化和IT的認知和重視程度就會成為關鍵。

最後我有個小貼士貢獻給大家，那就是盡量去選擇輕量易安裝的私有雲產品。輕量意味著不給企業帶來額外IT負擔，而且可以同時去滿足企業對於文件安全和管控的需求，企業管理者們可以好好利用和學習。