保護(hù)好企業(yè)的網(wǎng)絡(luò)資產(chǎn)

若是擱在20年前，恐怕沒(méi)有哪一個(gè)學(xué)者或?qū)嵏杉視?huì)站出來(lái)說(shuō)：保護(hù)企業(yè)的網(wǎng)絡(luò)資產(chǎn)應(yīng)當(dāng)被納入管理學(xué)的范疇。然而時(shí)至今日，情況已然大不相同?；ヂ?lián)網(wǎng)四通八達(dá)，專(zhuān)門(mén)針對(duì)企業(yè)的黑客事件時(shí)時(shí)刻刻都在發(fā)生。如何做好企業(yè)在互聯(lián)網(wǎng)上的安全防護(hù)工作、保護(hù)好企業(yè)的網(wǎng)絡(luò)資產(chǎn)，已經(jīng)日益成為企業(yè)高級(jí)管理團(tuán)隊(duì)的重要任務(wù)之一。

為了免受“被黑”的困擾，大部分企業(yè)都嘗試從雜訊中解析出信號(hào)。他們?cè)谧约鹤顚氋F的資產(chǎn)四周建立圍墻高筑的城堡，但現(xiàn)在甚至連一般大學(xué)生都擁有七個(gè)啟用IP的裝置，這種情況下邊界并不重要。當(dāng)網(wǎng)絡(luò)上出現(xiàn)惡意的事物，而這些情況符合先前出現(xiàn)過(guò)的不良事件的時(shí)候，企業(yè)仰賴(lài)自動(dòng)警示來(lái)通知他們，但是，這種做法雖然讓他們看到大量的警示，卻仍然無(wú)法注意到之前不知道的新威脅。

有太多雜訊需要處理。比方說(shuō)，安全分析師在某一天可能看到一千起事件，但是擁有的時(shí)間和資源只夠用來(lái)調(diào)查其中一小部分。因此黑客能夠竊取某大型零售商超過(guò)四千萬(wàn)筆的信用卡數(shù)據(jù)，即使實(shí)際上有個(gè)周邊網(wǎng)絡(luò)裝置的確有偵測(cè)到惡意軟件?；谕瑯拥脑颍崧R庫(kù)斯（Neiman Marcus）精品百貨的系統(tǒng)雖然產(chǎn)生相當(dāng)于六十天以上的惡意軟件警示，但還是遭到黑客入侵。此外，這也解釋了為何索尼的資訊團(tuán)隊(duì)發(fā)現(xiàn)公司遭受攻擊已經(jīng)兩年之后，索尼又遭到黑客入侵。

企業(yè)的高級(jí)管理團(tuán)隊(duì)?wèi)?yīng)當(dāng)更了解自家公司，并且為不可避免的攻擊加強(qiáng)防備。以下是大部分企業(yè)從競(jìng)爭(zhēng)對(duì)手（黑客）的角度觀(guān)察的方式：

?他們的安全措施過(guò)度偏重在一般的惡意軟件偵測(cè)，并防范那些未精確受到引導(dǎo)的自動(dòng)化威脅。

?他們并未看清以下事項(xiàng)的全貌：他們的網(wǎng)絡(luò)上有什么東西、他們使用的云端服務(wù)、在這些服務(wù)上運(yùn)作的應(yīng)用程序，以及他們的供應(yīng)鏈和合作伙伴的安全情形。資訊和安全團(tuán)隊(duì)對(duì)公司來(lái)說(shuō)是次要的關(guān)切事項(xiàng)，是必須控管的成本，而非支援核心業(yè)務(wù)的卓越營(yíng)運(yùn)中心。

?整體而言，他們?cè)诎踩龇ㄉ虾鼙粍?dòng)，而非積極主動(dòng)。

 

 

上述每一項(xiàng)都是競(jìng)爭(zhēng)對(duì)手可以利用的弱點(diǎn)，因此企業(yè)應(yīng)該向競(jìng)爭(zhēng)對(duì)手學(xué)習(xí)如何選定自我防護(hù)的方法。以下就是企業(yè)應(yīng)采取的做法。

1.了解你的主要風(fēng)險(xiǎn)，以及對(duì)手打算如何利用那些風(fēng)險(xiǎn)。

如果安全是可以計(jì)算的，那么對(duì)手就會(huì)是分子。企業(yè)必須盡量了解自己面臨的獨(dú)特威脅概況，光有一般的數(shù)據(jù)并不足夠。有效的安全必須整合入侵指標(biāo)（我們已遭到攻擊了嗎？）、戰(zhàn)術(shù)、技巧和程序（我們?nèi)绾卧獾芥i定？）、身分情報(bào)（誰(shuí)會(huì)鎖定我們，為什么？）、漏洞情報(bào)（在網(wǎng)絡(luò)上遭到利用的是什么？），以及攻擊歸因（這是普遍情況，還是遭到特別鎖定？）。只有掌握目標(biāo)明確的威脅情報(bào)，分析師才能夠?qū)⑺麄儗氋F而重要的時(shí)間，花在調(diào)查最重要的事件上，優(yōu)先處理那些與你最難纏的對(duì)手和最大的業(yè)務(wù)風(fēng)險(xiǎn)相關(guān)的部分。你或許可以拚命（同時(shí)耗費(fèi)大量資源）試著用打鼴鼠游戲的方式對(duì)付它們，但你其實(shí)應(yīng)該確認(rèn)你最主要的資產(chǎn)是什么，并將稀少寶貴的資源只用于那些真正對(duì)你公司構(gòu)成風(fēng)險(xiǎn)的威脅。

2.盤(pán)點(diǎn)并持續(xù)監(jiān)控你的資產(chǎn)。

如果安全是可以計(jì)算的，庫(kù)存就會(huì)是分母。在最簡(jiǎn)單的層次，企業(yè)必須確認(rèn)和監(jiān)控自家里所有相互連結(jié)的資產(chǎn)：某個(gè)開(kāi)發(fā)人員是否未告知你，就啟動(dòng)一千部虛擬機(jī)器？保存你最寶貴資訊的數(shù)據(jù)庫(kù)服務(wù)器，是采用什么應(yīng)用程序？員工將一部新裝置連結(jié)到你的企業(yè)網(wǎng)絡(luò)嗎？你的一家距離遙遠(yuǎn)的子公司有新合作伙伴嗎？你的空調(diào)系統(tǒng)以某種方式與你的銷(xiāo)售點(diǎn)情報(bào)系統(tǒng)（POS）連結(jié)嗎？定期評(píng)估、要花數(shù)周準(zhǔn)備的報(bào)告，以及需要精密解讀的結(jié)論，都促成了安全上的漏洞。企業(yè)必須保有動(dòng)態(tài)、即時(shí)的資產(chǎn)庫(kù)存，持續(xù)監(jiān)控那些資產(chǎn)，并且以對(duì)安全與營(yíng)運(yùn)團(tuán)隊(duì)而言既簡(jiǎn)單又直覺(jué)的方式，將它們視覺(jué)化。

3.使安全成為公司使命的一部分。

普遍的安全對(duì)策是以遵循法規(guī)為主、限制成本、在核心業(yè)務(wù)的外圍，并且可由最高級(jí)領(lǐng)導(dǎo)人授權(quán)給其他主管負(fù)責(zé)。無(wú)論是哪一家企業(yè)，待在這種團(tuán)隊(duì)里工作并不有趣，它輸給21世紀(jì)的對(duì)手，這些對(duì)手知道當(dāng)海盜比加入海軍有趣。任何防護(hù)做得好不好，取決于執(zhí)行防護(hù)的人員水準(zhǔn)如何。新的安全模式必須與使命和領(lǐng)導(dǎo)力有關(guān)，確保我們擁有最佳防護(hù)人員，足以對(duì)抗最佳競(jìng)爭(zhēng)對(duì)手。安全的責(zé)任不能再授權(quán)給其他主管，安全團(tuán)隊(duì)的使命必須等同于公司的使命。

4.要主動(dòng)而非被動(dòng)搜索自家網(wǎng)絡(luò)上的對(duì)手，并排除他們。

「積極防護(hù)」一詞被視為「反黑回去」（hacking back）的委婉說(shuō)法，企業(yè)未作周全考慮就進(jìn)行攻擊：首先，未經(jīng)同意存取他人的網(wǎng)絡(luò)是非法行為，即使你認(rèn)定這種行動(dòng)是自我防護(hù)；其次，除非你可以支配掌控整個(gè)情況，否則升高情勢(shì)并不明智，即使最大的企業(yè)最終也會(huì)輸給國(guó)家或是國(guó)家贊助的對(duì)手。因此，雖然你不能在其他團(tuán)隊(duì)的地盤(pán)上攻擊他們，但你可以而且越來(lái)越必須主動(dòng)在你自己的網(wǎng)絡(luò)內(nèi)對(duì)抗對(duì)手。這表示你要假設(shè)自己不只是受到攻擊，而且競(jìng)爭(zhēng)對(duì)手是在你的網(wǎng)絡(luò)里，所以你必須先追捕鬼鬼祟祟、持續(xù)作怪的敵人，以抑制和補(bǔ)救風(fēng)險(xiǎn)，避免他們?cè)斐蓚Α涯銖脑夂诳凸舻絺蓽y(cè)到已遭駭之間的時(shí)間，從目前平均兩百多天大幅縮短。

如今網(wǎng)絡(luò)攻擊既頻繁又具破壞性，碰到這種情況很容易杞人憂(yōu)天，大嘆互聯(lián)網(wǎng)這個(gè)受信任可從事商務(wù)和通訊的領(lǐng)域未來(lái)將面臨風(fēng)險(xiǎn)，岌岌可危。但若是就此將近年的數(shù)據(jù)點(diǎn)推論成一條走向毀滅的直線(xiàn)，那就是錯(cuò)誤之舉。太多人有太多資產(chǎn)面臨風(fēng)險(xiǎn)，高級(jí)管理團(tuán)隊(duì)、創(chuàng)業(yè)家、軟件開(kāi)發(fā)人員、安全團(tuán)隊(duì)和投資人應(yīng)該更多地從競(jìng)爭(zhēng)對(duì)手的角度看待問(wèn)題，方能防御這新一代的對(duì)手。