2021年7月,一场跨国调查报道将一家名为NSO Group的以色列公司推到了全球舆论的风口浪尖。多家国际媒体联合发布的调查显示,NSO Group开发的Pegasus间谍软件被多个国家的政府客户用于监控记者、人权活动人士、政治异见人士和企业高管。这一事件的严重性在于,它揭示了商业间谍软件已经发展成为一个庞大的灰色产业链,任何拥有足够资金的人都可以购买到原本属于专业情报机构才具备的监控能力。
Pegasus间谍软件的运作方式可以用"恐怖"二字来形容。它利用iOS和Android系统的零日漏洞,通过一条短信或一个未接电话,就能完成对目标手机的远程感染。一旦感染成功,攻击者可以读取目标手机上的所有数据:包括微信和WhatsApp等加密聊天应用的对话内容、通讯录、照片、邮件、定位信息,甚至能够远程开启手机的麦克风和摄像头进行实时监听和录像。这意味着被监控者的手机在同一瞬间变成了一台24小时运转的窃听器和监视器。
NSO Group声称其产品只卖给经过审查的政府客户,用于打击恐怖主义和重大犯罪。但调查发现,Pegasus被大量用于监控对政府持批评态度的记者和维权人士,甚至商界领袖和企业家也成为了监控目标。据联合国人权事务高级专员办公室统计,来自数十个国家的超过5万个电话号码被列入Pegasus的监控目标名单。这些被监控者中,有人因为消息被提前获取而遭遇逮捕,有人因为行踪被掌握而受到威胁,还有人在谈判中完全暴露了底牌。
从商业角度看,Pegasus事件给企业高管和商业领袖敲响了警钟。商业间谍活动不再是谍战片中才有的事情,而是实实在发生在每个人身边的风险。企业高管的手机上存储着公司的商业秘密、战略规划、并购谈判细节、客户名单、供应链信息等高度敏感的内容。一旦这些信息被竞争对手或不法分子获取,企业可能面临难以估量的损失。高管出差期间的通信安全、会议内容的保密性、谈判底线的保护,这些都不再仅仅是安全部门关心的事,而应当成为企业决策层的共识。
移动终端安全的脆弱性在Pegasus事件中得到了深刻体现。无论是iOS还是Android系统,在零日漏洞面前都无法做到绝对安全。苹果公司虽然在安全方面投入了巨大的资源,但Pegasus仍然能够利用其未公开的系统漏洞完成攻击。这说明移动设备的安全防护不能仅依赖操作系统厂商,用户自身的安全意识和防护措施同样重要。企业应当建立移动设备安全管理规范,为高管和关键岗位员工配备经过安全加固的设备,部署移动威胁防御解决方案,对设备的异常行为进行监控。
对于企业而言,还需要关注商业间谍软件产业链的治理。NSO Group只是这个产业链中的一个环节,类似的间谍软件厂商在全球范围内并不少见。这些公司以"合法监控"的名义开发产品,但产品一经售出便脱离了控制,实际的使用场景往往超出了厂商声称的边界。企业在进行国际市场拓展和海外业务运营时,应当对当地的信息安全环境进行充分的评估,对高风险地区的通信实施额外的加密保护措施。高管在海外出差期间使用公务设备时,应避免连接公共WiFi,使用企业VPN进行网络通信,敏感会议尽量安排在经过安全检测的环境中进行。手机是现代人亲密又危险的设备,这句话在企业信息安全领域尤其适用。
北京企密安信息安全技术有限公司
/ 010-87562232
邮箱:px@baomiwang.com
公众号:Qi-Mi-An
