朱麗

互聯(lián)網(wǎng)時(shí)代，如果企業(yè)不能從根本——內(nèi)部管理上重視信息安全，那么隨互聯(lián)網(wǎng)裹挾而來(lái)的開(kāi)放與無(wú)邊界將不僅僅是風(fēng)險(xiǎn)，還可能是災(zāi)難！

即使在保密工作做得相當(dāng)完備的蘋(píng)果公司，也難逃被黑客攻擊的噩運(yùn)，而且時(shí)有發(fā)生。

早在此前，經(jīng)常有黑客或者不明身份的人接近蘋(píng)果員工，用高達(dá)上萬(wàn)美元的報(bào)酬或者其他引誘方式讓后者提供關(guān)于蘋(píng)果內(nèi)部的數(shù)據(jù)信息，比如在iPhone 6發(fā)布之前，就有黑客想竊取到相關(guān)產(chǎn)品原型的信息甚至蘋(píng)果未來(lái)的產(chǎn)品計(jì)劃。顯然，如果企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊，那么損失的不僅僅是自身的寶貴資源，同時(shí)還會(huì)讓用戶的隱私處于巨大危險(xiǎn)境地。

不只蘋(píng)果公司，這已經(jīng)成為如今數(shù)字化的世界中，所有企業(yè)都會(huì)遇到的信息安全挑戰(zhàn)。然而，這種情形之所以發(fā)生頻密，是因?yàn)楣魺o(wú)處不在，而企業(yè)的安全防御能力又極為欠缺或者信息安全意識(shí)不足。

安永2016年發(fā)布的“締造可信的數(shù)字世界——安永第18屆全球信息安全調(diào)查報(bào)告”顯示：超三成的全球受訪企業(yè)依然無(wú)法識(shí)別出復(fù)雜的網(wǎng)絡(luò)攻擊，從而導(dǎo)致企業(yè)的網(wǎng)絡(luò)脆弱性加劇。

該調(diào)查報(bào)告建議，企業(yè)若想建立更加安全和可持續(xù)的網(wǎng)絡(luò)，就需要戴上網(wǎng)絡(luò)風(fēng)險(xiǎn)“透視鏡”，對(duì)所做的一切活動(dòng)進(jìn)行審視，識(shí)別它們的風(fēng)險(xiǎn)和漏洞，設(shè)定風(fēng)險(xiǎn)偏好，作好應(yīng)對(duì)各類事件、及時(shí)采取果斷行動(dòng)的準(zhǔn)備。

或許10年前，商業(yè)行為的信息化、數(shù)字化還沒(méi)有像今天這樣深入，因而，企業(yè)對(duì)信息安全更多的措施是“守”，但往往守不住。今天，隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的普及與快速滲透，“防”更應(yīng)成為企業(yè)管理的一道“安全閥門”。

安全，是數(shù)字世界的最大挑戰(zhàn)

數(shù)字世界充滿了無(wú)窮的創(chuàng)新機(jī)遇。無(wú)論何種行業(yè)，企業(yè)均可通過(guò)開(kāi)發(fā)新市場(chǎng)、新產(chǎn)品，更好地對(duì)接用戶的消費(fèi)需求，找到與他們溝通的便捷方式。

然而這一過(guò)程中，許多不易察覺(jué)的危險(xiǎn)常常被忽視，風(fēng)險(xiǎn)被低估。機(jī)遇與風(fēng)險(xiǎn)并存，數(shù)字世界為網(wǎng)絡(luò)犯罪分子和有意制造麻煩的人提供了巨大的操作空間，但當(dāng)企業(yè)的信息安全遭到威脅，已經(jīng)為時(shí)太晚。

安永大中華區(qū)信息安全咨詢服務(wù)合伙人阮祺康，對(duì)《中外管理》這樣描述：在網(wǎng)絡(luò)領(lǐng)域，有一些專業(yè)黑客每天盯著漏洞“做文章”，他們找到某家企業(yè)的信息漏洞之后，以要挾或者勒索的方式，讓這些漏洞變成交易的籌碼從而獲利。

此外，還有不少黑客或是犯罪集團(tuán)會(huì)運(yùn)用勒索軟件給企業(yè)的文件或者信息加密，影響企業(yè)的正常使用，而若要解密，必須向他們支付一筆巨額費(fèi)用來(lái)?yè)Q取企業(yè)的寶貴信息。這些“生意”同幾年前相比越來(lái)越多，并且形成了黑色產(chǎn)業(yè)鏈，讓很多企業(yè)吃到了苦頭，卻又無(wú)力屏蔽。

是不是這些企業(yè)的信息價(jià)值不菲呢？也不一定。正如安永華北區(qū)信息安全服務(wù)合伙人李睿對(duì)《中外管理》所說(shuō)：“這些黑色產(chǎn)業(yè)鏈往往以經(jīng)濟(jì)價(jià)值為導(dǎo)向，攻破之后可以更快地拿到黑市上變現(xiàn)。更有甚者，一些更大的威脅也可能是來(lái)自于競(jìng)爭(zhēng)對(duì)手所雇傭的黑客，針對(duì)同行企業(yè)的薄弱環(huán)節(jié)開(kāi)展針對(duì)性的惡意攻擊，以打擊對(duì)手?！北热缡謾C(jī)芯片，半年或者三個(gè)月就需迭代一次，假如企業(yè)正在研發(fā)高價(jià)值的芯片產(chǎn)品，那么一旦被攻破，手機(jī)上市之前就已經(jīng)泄露了。

我們能夠想象，智能設(shè)備與服務(wù)給商業(yè)世界帶來(lái)層出不窮的功能與體驗(yàn)，同時(shí)生成大量的數(shù)據(jù)，而隨著互聯(lián)網(wǎng)的開(kāi)放與協(xié)同，企業(yè)需要利用互聯(lián)網(wǎng)將自己的技術(shù)接入到各個(gè)層面，甚至是客戶、供應(yīng)鏈體系當(dāng)中，一旦企業(yè)高度依賴互聯(lián)網(wǎng)的時(shí)候，網(wǎng)絡(luò)攻擊的脆弱性加劇，安全堡壘被無(wú)聲無(wú)息地攻破。

安永對(duì)千余家企業(yè)調(diào)研的結(jié)果顯示，88%的認(rèn)為企業(yè)內(nèi)部的安全工作不能滿足企業(yè)的需求。這意味著什么呢？企業(yè)的信息安全能力跟不上互聯(lián)網(wǎng)的快速發(fā)展。

如何識(shí)別不易察覺(jué)的攻擊跡象？

較之幾年前，網(wǎng)絡(luò)攻擊越來(lái)越復(fù)雜，而且難以察覺(jué)。企業(yè)是不是就任由攻擊者入侵，束手無(wú)策了呢？

“由于網(wǎng)絡(luò)攻擊者技術(shù)不停改變、持續(xù)性加劇、能力增強(qiáng)，網(wǎng)絡(luò)威脅性質(zhì)也發(fā)生了變化?！比铎骺嫡f(shuō)，隨著數(shù)字化的快速發(fā)展，企業(yè)之間的互聯(lián)互通日益加強(qiáng)，我們個(gè)人的生活也和移動(dòng)技術(shù)、互聯(lián)網(wǎng)越來(lái)越多地交織在一起。網(wǎng)絡(luò)攻擊者在不斷尋找更新更好的攻擊方式，如果企業(yè)也在尋找解決辦法應(yīng)對(duì)目前這個(gè)形勢(shì)的話，并非不可以保衛(wèi)自己的安全。

盡管一家企業(yè)很難去識(shí)別一些復(fù)雜的網(wǎng)絡(luò)攻擊，但安永方面認(rèn)為，其實(shí)99%的攻擊行為是有方法避免的，或者將這個(gè)風(fēng)險(xiǎn)降低至最小化。

針對(duì)這一點(diǎn)，李睿的觀點(diǎn)是：“企業(yè)有意識(shí)地建立端到端的安全體系和管理機(jī)制，加強(qiáng)安全能力和流程建設(shè)，并結(jié)合信息安全平臺(tái)和工具，多數(shù)的安全風(fēng)險(xiǎn)是可以防御的?！倍鴮?duì)于難以預(yù)見(jiàn)的風(fēng)險(xiǎn)，最好的解決辦法是建立有效的應(yīng)急機(jī)制和應(yīng)急預(yù)案，當(dāng)發(fā)生事件時(shí)能夠及時(shí)有效地處理和解決。

要將被攻擊的危害降至最低，關(guān)鍵在于企業(yè)對(duì)最有價(jià)值且風(fēng)險(xiǎn)最高的領(lǐng)域給予高度重視，并采取最強(qiáng)的防范和應(yīng)對(duì)措施。同時(shí)建立全方位的“雷達(dá)圖”——超過(guò)臨界值時(shí)會(huì)發(fā)出警報(bào)，確定臨界值要考慮風(fēng)險(xiǎn)偏好以及可能給企業(yè)造成最大危害的事件類型。

安永的調(diào)研還表明，一些攻擊行為是突發(fā)且顯而易見(jiàn)的，這種情況下，所有的注意力都會(huì)集中于采取有效的應(yīng)對(duì)措施。但是，請(qǐng)注意：這些明顯的攻擊很有可能是“調(diào)虎離山計(jì)”。此時(shí)，具備分析事件的能力，獲取充足的數(shù)據(jù)，進(jìn)而判定攻擊的模式，才是企業(yè)真正需要攻克的難題。

值得關(guān)注的是，攻擊者往往會(huì)從企業(yè)內(nèi)部的薄弱點(diǎn)入手。蘋(píng)果公司在這方面就曾吃過(guò)虧。據(jù)了解，黑客會(huì)聰明地挑選那些在蘋(píng)果內(nèi)部發(fā)展不得志或者不能長(zhǎng)期做事的人，作為切入蘋(píng)果內(nèi)部系統(tǒng)的橋梁，“獲得密碼即登入”后，來(lái)套取重要信息與數(shù)據(jù)。

所以，對(duì)“薄弱點(diǎn)”進(jìn)行監(jiān)測(cè)及保護(hù)，并就攻擊者如何操作的情境展開(kāi)創(chuàng)新性思考，在相對(duì)隱秘處添加額外的防范和監(jiān)測(cè)工具成為一個(gè)重要防線。

像“全民防恐”一樣主動(dòng)防御

但有時(shí)候，攻擊者會(huì)想方設(shè)法入侵企業(yè)內(nèi)部最有價(jià)值的領(lǐng)域。

再以推出新產(chǎn)品為例。若競(jìng)爭(zhēng)對(duì)手與你司研發(fā)的、擁有知識(shí)產(chǎn)權(quán)的產(chǎn)品極其相似，又恰巧在你的產(chǎn)品推出前上市，“這意味著你的知識(shí)產(chǎn)權(quán)可能被盜，產(chǎn)品規(guī)劃和周期信息被竊?！比铎骺嫡f(shuō)。

正因?yàn)榇?，企業(yè)需要了解自身重點(diǎn)領(lǐng)域，哪些會(huì)對(duì)企業(yè)造成最大危害，哪些對(duì)競(jìng)爭(zhēng)對(duì)手具有重要價(jià)值，乃是企業(yè)至關(guān)重要的“價(jià)值點(diǎn)”。事實(shí)上，往往在這些“價(jià)值領(lǐng)域”的交叉點(diǎn)，就有可能發(fā)現(xiàn)細(xì)微指標(biāo)變化或者異常跡象的地方。

拿極其重要的數(shù)據(jù)來(lái)說(shuō)，其價(jià)值是不可估量的。企業(yè)在信息安全方面，應(yīng)該做哪些商業(yè)化的投入？從哪些環(huán)節(jié)來(lái)保證數(shù)據(jù)的安全性？

對(duì)安全極為重視的人士甚至認(rèn)為，如果企業(yè)沉淀在數(shù)據(jù)上的“核心機(jī)密”價(jià)值為1億元，那么就有必要花100萬(wàn)元來(lái)保護(hù)它。但在現(xiàn)實(shí)中，除了高度依賴互聯(lián)網(wǎng)的企業(yè)和金融企業(yè)以外，很多人尚未認(rèn)識(shí)到這一問(wèn)題的致命性——為了信息安全，非常有必要對(duì)自身的核心數(shù)據(jù)進(jìn)行保護(hù)。

安永給企業(yè)的建議是，信息安全防御要像“全民反恐”一樣。包括財(cái)務(wù)、市場(chǎng)、營(yíng)運(yùn)、研發(fā)、人力資源在內(nèi)的重要部門，都必須高度警惕異常現(xiàn)象，意識(shí)到每個(gè)職責(zé)領(lǐng)域中包含的網(wǎng)絡(luò)業(yè)務(wù)風(fēng)險(xiǎn)，重要的是將信息報(bào)告到有關(guān)部門，他們能夠?qū)⑿畔⑵丛谝黄鸢l(fā)現(xiàn)線索。

于是，建立主動(dòng)防御機(jī)制成為必須?！捌髽I(yè)應(yīng)當(dāng)建立更為先進(jìn)的安全管理平臺(tái)，并使用網(wǎng)絡(luò)威脅智能感知系統(tǒng)尋找潛在攻擊者、分析和評(píng)估威脅，以便在威脅破壞企業(yè)的關(guān)鍵資產(chǎn)之前，迅速將其解除。”李睿進(jìn)一步說(shuō)，“主動(dòng)防御不是替代傳統(tǒng)安全運(yùn)營(yíng)，而是對(duì)其加以組織和鞏固，使企業(yè)能夠主動(dòng)管理威脅并采取反制措施。”

如何進(jìn)行主動(dòng)防御？根據(jù)安永的調(diào)研報(bào)告，需要整合和提高企業(yè)現(xiàn)有的安全能力，以更有效應(yīng)對(duì)攻擊。

第一是智能感知。通過(guò)技術(shù)手段，由網(wǎng)絡(luò)威脅智能感知系統(tǒng)實(shí)時(shí)分析潛在的攻擊者，并且推測(cè)到可能會(huì)被攻擊企業(yè)內(nèi)部的對(duì)象，然后制定一些有預(yù)見(jiàn)性的措施。

第二是動(dòng)態(tài)運(yùn)營(yíng)。因?yàn)橥獠康恼麄€(gè)環(huán)境生態(tài)安全或者說(shuō)整個(gè)商業(yè)系統(tǒng)是動(dòng)態(tài)的，企業(yè)本身運(yùn)營(yíng)也處于動(dòng)態(tài)的環(huán)境中，如何以迭代的周期進(jìn)行持續(xù)的企業(yè)安全能力建設(shè)是企業(yè)必須去做的。

第三是集中響應(yīng)。對(duì)于重大的安全漏洞或者事件進(jìn)行分析，并且能夠進(jìn)行響應(yīng)和建立一個(gè)集中化的響應(yīng)機(jī)制，從而進(jìn)行很多的證據(jù)收集和處理。

毫不夸張地講，信息安全已經(jīng)被列為數(shù)字世界常態(tài)化的戰(zhàn)略管理。互聯(lián)網(wǎng)越來(lái)越開(kāi)放、虛擬、交互，也使信息安全的邊界日漸模糊，任何企業(yè)都無(wú)法高枕無(wú)憂?！八员仨氈鲃?dòng)建立一套安全防御機(jī)制，識(shí)別企業(yè)本身的風(fēng)險(xiǎn)偏好是什么，清楚自己的安全防線在哪里，需要保護(hù)的對(duì)象是什么?！崩铑Ｕf(shuō)道。