保護好企業(yè)的網(wǎng)絡(luò)資產(chǎn)

若是擱在20年前，恐怕沒有哪一個學(xué)者或?qū)嵏杉視境鰜碚f：保護企業(yè)的網(wǎng)絡(luò)資產(chǎn)應(yīng)當(dāng)被納入管理學(xué)的范疇。然而時至今日，情況已然大不相同。互聯(lián)網(wǎng)四通八達，專門針對企業(yè)的黑客事件時時刻刻都在發(fā)生。如何做好企業(yè)在互聯(lián)網(wǎng)上的安全防護工作、保護好企業(yè)的網(wǎng)絡(luò)資產(chǎn)，已經(jīng)日益成為企業(yè)高級管理團隊的重要任務(wù)之一。

為了免受“被黑”的困擾，大部分企業(yè)都嘗試從雜訊中解析出信號。他們在自己最寶貴的資產(chǎn)四周建立圍墻高筑的城堡，但現(xiàn)在甚至連一般大學(xué)生都擁有七個啟用IP的裝置，這種情況下邊界并不重要。當(dāng)網(wǎng)絡(luò)上出現(xiàn)惡意的事物，而這些情況符合先前出現(xiàn)過的不良事件的時候，企業(yè)仰賴自動警示來通知他們，但是，這種做法雖然讓他們看到大量的警示，卻仍然無法注意到之前不知道的新威脅。

有太多雜訊需要處理。比方說，安全分析師在某一天可能看到一千起事件，但是擁有的時間和資源只夠用來調(diào)查其中一小部分。因此黑客能夠竊取某大型零售商超過四千萬筆的信用卡數(shù)據(jù)，即使實際上有個周邊網(wǎng)絡(luò)裝置的確有偵測到惡意軟件?；谕瑯拥脑?，尼曼馬庫斯（Neiman Marcus）精品百貨的系統(tǒng)雖然產(chǎn)生相當(dāng)于六十天以上的惡意軟件警示，但還是遭到黑客入侵。此外，這也解釋了為何索尼的資訊團隊發(fā)現(xiàn)公司遭受攻擊已經(jīng)兩年之后，索尼又遭到黑客入侵。

企業(yè)的高級管理團隊?wèi)?yīng)當(dāng)更了解自家公司，并且為不可避免的攻擊加強防備。以下是大部分企業(yè)從競爭對手（黑客）的角度觀察的方式：

?他們的安全措施過度偏重在一般的惡意軟件偵測，并防范那些未精確受到引導(dǎo)的自動化威脅。

?他們并未看清以下事項的全貌：他們的網(wǎng)絡(luò)上有什么東西、他們使用的云端服務(wù)、在這些服務(wù)上運作的應(yīng)用程序，以及他們的供應(yīng)鏈和合作伙伴的安全情形。資訊和安全團隊對公司來說是次要的關(guān)切事項，是必須控管的成本，而非支援核心業(yè)務(wù)的卓越營運中心。

?整體而言，他們在安全做法上很被動，而非積極主動。

?

?

上述每一項都是競爭對手可以利用的弱點，因此企業(yè)應(yīng)該向競爭對手學(xué)習(xí)如何選定自我防護的方法。以下就是企業(yè)應(yīng)采取的做法。

1.了解你的主要風(fēng)險，以及對手打算如何利用那些風(fēng)險。

如果安全是可以計算的，那么對手就會是分子。企業(yè)必須盡量了解自己面臨的獨特威脅概況，光有一般的數(shù)據(jù)并不足夠。有效的安全必須整合入侵指標（我們已遭到攻擊了嗎？）、戰(zhàn)術(shù)、技巧和程序（我們?nèi)绾卧獾芥i定？）、身分情報（誰會鎖定我們，為什么？）、漏洞情報（在網(wǎng)絡(luò)上遭到利用的是什么？），以及攻擊歸因（這是普遍情況，還是遭到特別鎖定？）。只有掌握目標明確的威脅情報，分析師才能夠?qū)⑺麄儗氋F而重要的時間，花在調(diào)查最重要的事件上，優(yōu)先處理那些與你最難纏的對手和最大的業(yè)務(wù)風(fēng)險相關(guān)的部分。你或許可以拚命（同時耗費大量資源）試著用打鼴鼠游戲的方式對付它們，但你其實應(yīng)該確認你最主要的資產(chǎn)是什么，并將稀少寶貴的資源只用于那些真正對你公司構(gòu)成風(fēng)險的威脅。

2.盤點并持續(xù)監(jiān)控你的資產(chǎn)。

如果安全是可以計算的，庫存就會是分母。在最簡單的層次，企業(yè)必須確認和監(jiān)控自家里所有相互連結(jié)的資產(chǎn)：某個開發(fā)人員是否未告知你，就啟動一千部虛擬機器？保存你最寶貴資訊的數(shù)據(jù)庫服務(wù)器，是采用什么應(yīng)用程序？員工將一部新裝置連結(jié)到你的企業(yè)網(wǎng)絡(luò)嗎？你的一家距離遙遠的子公司有新合作伙伴嗎？你的空調(diào)系統(tǒng)以某種方式與你的銷售點情報系統(tǒng)（POS）連結(jié)嗎？定期評估、要花數(shù)周準備的報告，以及需要精密解讀的結(jié)論，都促成了安全上的漏洞。企業(yè)必須保有動態(tài)、即時的資產(chǎn)庫存，持續(xù)監(jiān)控那些資產(chǎn)，并且以對安全與營運團隊而言既簡單又直覺的方式，將它們視覺化。

3.使安全成為公司使命的一部分。

普遍的安全對策是以遵循法規(guī)為主、限制成本、在核心業(yè)務(wù)的外圍，并且可由最高級領(lǐng)導(dǎo)人授權(quán)給其他主管負責(zé)。無論是哪一家企業(yè)，待在這種團隊里工作并不有趣，它輸給21世紀的對手，這些對手知道當(dāng)海盜比加入海軍有趣。任何防護做得好不好，取決于執(zhí)行防護的人員水準如何。新的安全模式必須與使命和領(lǐng)導(dǎo)力有關(guān)，確保我們擁有最佳防護人員，足以對抗最佳競爭對手。安全的責(zé)任不能再授權(quán)給其他主管，安全團隊的使命必須等同于公司的使命。

4.要主動而非被動搜索自家網(wǎng)絡(luò)上的對手，并排除他們。

「積極防護」一詞被視為「反黑回去」（hacking back）的委婉說法，企業(yè)未作周全考慮就進行攻擊：首先，未經(jīng)同意存取他人的網(wǎng)絡(luò)是非法行為，即使你認定這種行動是自我防護；其次，除非你可以支配掌控整個情況，否則升高情勢并不明智，即使最大的企業(yè)最終也會輸給國家或是國家贊助的對手。因此，雖然你不能在其他團隊的地盤上攻擊他們，但你可以而且越來越必須主動在你自己的網(wǎng)絡(luò)內(nèi)對抗對手。這表示你要假設(shè)自己不只是受到攻擊，而且競爭對手是在你的網(wǎng)絡(luò)里，所以你必須先追捕鬼鬼祟祟、持續(xù)作怪的敵人，以抑制和補救風(fēng)險，避免他們造成傷害—把你從遭黑客攻擊到偵測到已遭駭之間的時間，從目前平均兩百多天大幅縮短。

如今網(wǎng)絡(luò)攻擊既頻繁又具破壞性，碰到這種情況很容易杞人憂天，大嘆互聯(lián)網(wǎng)這個受信任可從事商務(wù)和通訊的領(lǐng)域未來將面臨風(fēng)險，岌岌可危。但若是就此將近年的數(shù)據(jù)點推論成一條走向毀滅的直線，那就是錯誤之舉。太多人有太多資產(chǎn)面臨風(fēng)險，高級管理團隊、創(chuàng)業(yè)家、軟件開發(fā)人員、安全團隊和投資人應(yīng)該更多地從競爭對手的角度看待問題，方能防御這新一代的對手。