若是搁在20年前,恐怕没有哪一个学者或实干家会站出来说:保护企业的网络资产应当被纳入管理学的范畴。然而时至今日,情况已然大不相同。互联网四通八达,专门针对企业的黑客事件时时刻刻都在发生。如何做好企业在互联网上的安全防护工作、保护好企业的网络资产,已经日益成为企业高级管理团队的重要任务之一。
为了免受“被黑”的困扰,大部分企业都尝试从杂讯中解析出信号。他们在自己最宝贵的资产四周建立围墙高筑的城堡,但现在甚至连一般大学生都拥有七个启用IP的装置,这种情况下边界并不重要。当网络上出现恶意的事物,而这些情况符合先前出现过的不良事件的时候,企业仰赖自动警示来通知他们,但是,这种做法虽然让他们看到大量的警示,却仍然无法注意到之前不知道的新威胁。
有太多杂讯需要处理。比方说,安全分析师在某一天可能看到一千起事件,但是拥有的时间和资源只够用来调查其中一小部分。因此黑客能够窃取某大型零售商超过四千万笔的信用卡数据,即使实际上有个周边网络装置的确有侦测到恶意软件。基于同样的原因,尼曼马库斯(Neiman Marcus)精品百货的系统虽然产生相当于六十天以上的恶意软件警示,但还是遭到黑客入侵。此外,这也解释了为何索尼的资讯团队发现公司遭受攻击已经两年之后,索尼又遭到黑客入侵。
企业的高级管理团队应当更了解自家公司,并且为不可避免的攻击加强防备。以下是大部分企业从竞争对手(黑客)的角度观察的方式:
․他们的安全措施过度偏重在一般的恶意软件侦测,并防范那些未精确受到引导的自动化威胁。
․他们并未看清以下事项的全貌:他们的网络上有什么东西、他们使用的云端服务、在这些服务上运作的应用程序,以及他们的供应链和合作伙伴的安全情形。资讯和安全团队对公司来说是次要的关切事项,是必须控管的成本,而非支援核心业务的卓越营运中心。
․整体而言,他们在安全做法上很被动,而非积极主动。
上述每一项都是竞争对手可以利用的弱点,因此企业应该向竞争对手学习如何选定自我防护的方法。以下就是企业应采取的做法。
1.了解你的主要风险,以及对手打算如何利用那些风险。
如果安全是可以计算的,那么对手就会是分子。企业必须尽量了解自己面临的独特威胁概况,光有一般的数据并不足够。有效的安全必须整合入侵指标(我们已遭到攻击了吗?)、战术、技巧和程序(我们如何遭到锁定?)、身分情报(谁会锁定我们,为什么?)、漏洞情报(在网络上遭到利用的是什么?),以及攻击归因(这是普遍情况,还是遭到特别锁定?)。只有掌握目标明确的威胁情报,分析师才能够将他们宝贵而重要的时间,花在调查最重要的事件上,优先处理那些与你最难缠的对手和最大的业务风险相关的部分。你或许可以拚命(同时耗费大量资源)试着用打鼹鼠游戏的方式对付它们,但你其实应该确认你最主要的资产是什么,并将稀少宝贵的资源只用于那些真正对你公司构成风险的威胁。
2.盘点并持续监控你的资产。
如果安全是可以计算的,库存就会是分母。在最简单的层次,企业必须确认和监控自家里所有相互连结的资产:某个开发人员是否未告知你,就启动一千部虚拟机器?保存你最宝贵资讯的数据库服务器,是采用什么应用程序?员工将一部新装置连结到你的企业网络吗?你的一家距离遥远的子公司有新合作伙伴吗?你的空调系统以某种方式与你的销售点情报系统(POS)连结吗?定期评估、要花数周准备的报告,以及需要精密解读的结论,都促成了安全上的漏洞。企业必须保有动态、即时的资产库存,持续监控那些资产,并且以对安全与营运团队而言既简单又直觉的方式,将它们视觉化。
3.使安全成为公司使命的一部分。
普遍的安全对策是以遵循法规为主、限制成本、在核心业务的外围,并且可由最高级领导人授权给其他主管负责。无论是哪一家企业,待在这种团队里工作并不有趣,它输给21世纪的对手,这些对手知道当海盗比加入海军有趣。任何防护做得好不好,取决于执行防护的人员水准如何。新的安全模式必须与使命和领导力有关,确保我们拥有最佳防护人员,足以对抗最佳竞争对手。安全的责任不能再授权给其他主管,安全团队的使命必须等同于公司的使命。
4.要主动而非被动搜索自家网络上的对手,并排除他们。
「积极防护」一词被视为「反黑回去」(hacking back)的委婉说法,企业未作周全考虑就进行攻击:首先,未经同意存取他人的网络是非法行为,即使你认定这种行动是自我防护;其次,除非你可以支配掌控整个情况,否则升高情势并不明智,即使最大的企业最终也会输给国家或是国家赞助的对手。因此,虽然你不能在其他团队的地盘上攻击他们,但你可以而且越来越必须主动在你自己的网络内对抗对手。这表示你要假设自己不只是受到攻击,而且竞争对手是在你的网络里,所以你必须先追捕鬼鬼祟祟、持续作怪的敌人,以抑制和补救风险,避免他们造成伤害—把你从遭黑客攻击到侦测到已遭骇之间的时间,从目前平均两百多天大幅缩短。
如今网络攻击既频繁又具破坏性,碰到这种情况很容易杞人忧天,大叹互联网这个受信任可从事商务和通讯的领域未来将面临风险,岌岌可危。但若是就此将近年的数据点推论成一条走向毁灭的直线,那就是错误之举。太多人有太多资产面临风险,高级管理团队、创业家、软件开发人员、安全团队和投资人应该更多地从竞争对手的角度看待问题,方能防御这新一代的对手。