若是擱在20年前,恐怕沒(méi)有哪一個(gè)學(xué)者或?qū)嵏杉視?huì)站出來(lái)說(shuō):保護(hù)企業(yè)的網(wǎng)絡(luò)資產(chǎn)應(yīng)當(dāng)被納入管理學(xué)的范疇。然而時(shí)至今日,情況已然大不相同?;ヂ?lián)網(wǎng)四通八達(dá),專門(mén)針對(duì)企業(yè)的黑客事件時(shí)時(shí)刻刻都在發(fā)生。如何做好企業(yè)在互聯(lián)網(wǎng)上的安全防護(hù)工作、保護(hù)好企業(yè)的網(wǎng)絡(luò)資產(chǎn),已經(jīng)日益成為企業(yè)高級(jí)管理團(tuán)隊(duì)的重要任務(wù)之一。
為了免受“被黑”的困擾,大部分企業(yè)都嘗試從雜訊中解析出信號(hào)。他們?cè)谧约鹤顚氋F的資產(chǎn)四周建立圍墻高筑的城堡,但現(xiàn)在甚至連一般大學(xué)生都擁有七個(gè)啟用IP的裝置,這種情況下邊界并不重要。當(dāng)網(wǎng)絡(luò)上出現(xiàn)惡意的事物,而這些情況符合先前出現(xiàn)過(guò)的不良事件的時(shí)候,企業(yè)仰賴自動(dòng)警示來(lái)通知他們,但是,這種做法雖然讓他們看到大量的警示,卻仍然無(wú)法注意到之前不知道的新威脅。
有太多雜訊需要處理。比方說(shuō),安全分析師在某一天可能看到一千起事件,但是擁有的時(shí)間和資源只夠用來(lái)調(diào)查其中一小部分。因此黑客能夠竊取某大型零售商超過(guò)四千萬(wàn)筆的信用卡數(shù)據(jù),即使實(shí)際上有個(gè)周邊網(wǎng)絡(luò)裝置的確有偵測(cè)到惡意軟件。基于同樣的原因,尼曼馬庫(kù)斯(Neiman Marcus)精品百貨的系統(tǒng)雖然產(chǎn)生相當(dāng)于六十天以上的惡意軟件警示,但還是遭到黑客入侵。此外,這也解釋了為何索尼的資訊團(tuán)隊(duì)發(fā)現(xiàn)公司遭受攻擊已經(jīng)兩年之后,索尼又遭到黑客入侵。
企業(yè)的高級(jí)管理團(tuán)隊(duì)?wèi)?yīng)當(dāng)更了解自家公司,并且為不可避免的攻擊加強(qiáng)防備。以下是大部分企業(yè)從競(jìng)爭(zhēng)對(duì)手(黑客)的角度觀察的方式:
?他們的安全措施過(guò)度偏重在一般的惡意軟件偵測(cè),并防范那些未精確受到引導(dǎo)的自動(dòng)化威脅。
?他們并未看清以下事項(xiàng)的全貌:他們的網(wǎng)絡(luò)上有什么東西、他們使用的云端服務(wù)、在這些服務(wù)上運(yùn)作的應(yīng)用程序,以及他們的供應(yīng)鏈和合作伙伴的安全情形。資訊和安全團(tuán)隊(duì)對(duì)公司來(lái)說(shuō)是次要的關(guān)切事項(xiàng),是必須控管的成本,而非支援核心業(yè)務(wù)的卓越營(yíng)運(yùn)中心。
?整體而言,他們?cè)诎踩龇ㄉ虾鼙粍?dòng),而非積極主動(dòng)。
?
?
上述每一項(xiàng)都是競(jìng)爭(zhēng)對(duì)手可以利用的弱點(diǎn),因此企業(yè)應(yīng)該向競(jìng)爭(zhēng)對(duì)手學(xué)習(xí)如何選定自我防護(hù)的方法。以下就是企業(yè)應(yīng)采取的做法。
1.了解你的主要風(fēng)險(xiǎn),以及對(duì)手打算如何利用那些風(fēng)險(xiǎn)。
如果安全是可以計(jì)算的,那么對(duì)手就會(huì)是分子。企業(yè)必須盡量了解自己面臨的獨(dú)特威脅概況,光有一般的數(shù)據(jù)并不足夠。有效的安全必須整合入侵指標(biāo)(我們已遭到攻擊了嗎?)、戰(zhàn)術(shù)、技巧和程序(我們?nèi)绾卧獾芥i定?)、身分情報(bào)(誰(shuí)會(huì)鎖定我們,為什么?)、漏洞情報(bào)(在網(wǎng)絡(luò)上遭到利用的是什么?),以及攻擊歸因(這是普遍情況,還是遭到特別鎖定?)。只有掌握目標(biāo)明確的威脅情報(bào),分析師才能夠?qū)⑺麄儗氋F而重要的時(shí)間,花在調(diào)查最重要的事件上,優(yōu)先處理那些與你最難纏的對(duì)手和最大的業(yè)務(wù)風(fēng)險(xiǎn)相關(guān)的部分。你或許可以拚命(同時(shí)耗費(fèi)大量資源)試著用打鼴鼠游戲的方式對(duì)付它們,但你其實(shí)應(yīng)該確認(rèn)你最主要的資產(chǎn)是什么,并將稀少寶貴的資源只用于那些真正對(duì)你公司構(gòu)成風(fēng)險(xiǎn)的威脅。
2.盤(pán)點(diǎn)并持續(xù)監(jiān)控你的資產(chǎn)。
如果安全是可以計(jì)算的,庫(kù)存就會(huì)是分母。在最簡(jiǎn)單的層次,企業(yè)必須確認(rèn)和監(jiān)控自家里所有相互連結(jié)的資產(chǎn):某個(gè)開(kāi)發(fā)人員是否未告知你,就啟動(dòng)一千部虛擬機(jī)器?保存你最寶貴資訊的數(shù)據(jù)庫(kù)服務(wù)器,是采用什么應(yīng)用程序?員工將一部新裝置連結(jié)到你的企業(yè)網(wǎng)絡(luò)嗎?你的一家距離遙遠(yuǎn)的子公司有新合作伙伴嗎?你的空調(diào)系統(tǒng)以某種方式與你的銷(xiāo)售點(diǎn)情報(bào)系統(tǒng)(POS)連結(jié)嗎?定期評(píng)估、要花數(shù)周準(zhǔn)備的報(bào)告,以及需要精密解讀的結(jié)論,都促成了安全上的漏洞。企業(yè)必須保有動(dòng)態(tài)、即時(shí)的資產(chǎn)庫(kù)存,持續(xù)監(jiān)控那些資產(chǎn),并且以對(duì)安全與營(yíng)運(yùn)團(tuán)隊(duì)而言既簡(jiǎn)單又直覺(jué)的方式,將它們視覺(jué)化。
3.使安全成為公司使命的一部分。
普遍的安全對(duì)策是以遵循法規(guī)為主、限制成本、在核心業(yè)務(wù)的外圍,并且可由最高級(jí)領(lǐng)導(dǎo)人授權(quán)給其他主管負(fù)責(zé)。無(wú)論是哪一家企業(yè),待在這種團(tuán)隊(duì)里工作并不有趣,它輸給21世紀(jì)的對(duì)手,這些對(duì)手知道當(dāng)海盜比加入海軍有趣。任何防護(hù)做得好不好,取決于執(zhí)行防護(hù)的人員水準(zhǔn)如何。新的安全模式必須與使命和領(lǐng)導(dǎo)力有關(guān),確保我們擁有最佳防護(hù)人員,足以對(duì)抗最佳競(jìng)爭(zhēng)對(duì)手。安全的責(zé)任不能再授權(quán)給其他主管,安全團(tuán)隊(duì)的使命必須等同于公司的使命。
4.要主動(dòng)而非被動(dòng)搜索自家網(wǎng)絡(luò)上的對(duì)手,并排除他們。
「積極防護(hù)」一詞被視為「反黑回去」(hacking back)的委婉說(shuō)法,企業(yè)未作周全考慮就進(jìn)行攻擊:首先,未經(jīng)同意存取他人的網(wǎng)絡(luò)是非法行為,即使你認(rèn)定這種行動(dòng)是自我防護(hù);其次,除非你可以支配掌控整個(gè)情況,否則升高情勢(shì)并不明智,即使最大的企業(yè)最終也會(huì)輸給國(guó)家或是國(guó)家贊助的對(duì)手。因此,雖然你不能在其他團(tuán)隊(duì)的地盤(pán)上攻擊他們,但你可以而且越來(lái)越必須主動(dòng)在你自己的網(wǎng)絡(luò)內(nèi)對(duì)抗對(duì)手。這表示你要假設(shè)自己不只是受到攻擊,而且競(jìng)爭(zhēng)對(duì)手是在你的網(wǎng)絡(luò)里,所以你必須先追捕鬼鬼祟祟、持續(xù)作怪的敵人,以抑制和補(bǔ)救風(fēng)險(xiǎn),避免他們?cè)斐蓚Α涯銖脑夂诳凸舻絺蓽y(cè)到已遭駭之間的時(shí)間,從目前平均兩百多天大幅縮短。
如今網(wǎng)絡(luò)攻擊既頻繁又具破壞性,碰到這種情況很容易杞人憂天,大嘆互聯(lián)網(wǎng)這個(gè)受信任可從事商務(wù)和通訊的領(lǐng)域未來(lái)將面臨風(fēng)險(xiǎn),岌岌可危。但若是就此將近年的數(shù)據(jù)點(diǎn)推論成一條走向毀滅的直線,那就是錯(cuò)誤之舉。太多人有太多資產(chǎn)面臨風(fēng)險(xiǎn),高級(jí)管理團(tuán)隊(duì)、創(chuàng)業(yè)家、軟件開(kāi)發(fā)人員、安全團(tuán)隊(duì)和投資人應(yīng)該更多地從競(jìng)爭(zhēng)對(duì)手的角度看待問(wèn)題,方能防御這新一代的對(duì)手。