埃森哲

隨著網(wǎng)絡(luò)應(yīng)用的廣泛普及，信息安全問題日益嚴(yán)峻，信息泄密事件更是令許多企業(yè)和組織損失慘重。

合氣道創(chuàng)始人植芝盛平曾說過，“當(dāng)對手攻上前，要順勢引之；當(dāng)對手想退后，要送其上路”。合氣道高手對敵時，不會直接硬碰硬，而是順勢借力引對方到其他方向。當(dāng)今，企業(yè)和組織在面臨日益復(fù)雜的網(wǎng)絡(luò)安全威脅時，應(yīng)對之道是什么？企業(yè)不妨借鑒合氣道大師的智慧，采取一種積極主動的防御模式。

隨著網(wǎng)絡(luò)應(yīng)用的廣泛普及，信息安全問題日益嚴(yán)峻，信息泄密事件更是令許多企業(yè)和組織損失慘重。索尼（Sony）、塔吉特（Target）、摩根大通銀行、Anthem等公司在這方面都有過慘痛的教訓(xùn)。

在傳統(tǒng)網(wǎng)絡(luò)安全防御模式下，許多企業(yè)即使投入了大量精力和資源，面對網(wǎng)絡(luò)攻擊時還是防不勝防。

如今，一種全新的安全策略可幫助企業(yè)應(yīng)對諸多挑戰(zhàn)：滿足全球性員工隊伍的多變需求、實現(xiàn)主動防護、發(fā)現(xiàn)潛在威脅和攻擊路徑。

這種新策略能夠與企業(yè)的云服務(wù)集群、供應(yīng)商、身份識別標(biāo)準(zhǔn)和接入管理技術(shù)迅速整合在一起，并有效契合當(dāng)前已實施的信息安全基本原則。

這種主動性網(wǎng)絡(luò)安全模式從自身業(yè)務(wù)目標(biāo)出發(fā)，在本質(zhì)上有別于以控制為核心的傳統(tǒng)防御模式。

主動安全模式需先掃清五大障礙

要成功部署這一防御策略，企業(yè)首先需要掃清五大障礙。

障礙一：業(yè)務(wù)和安全工作脫節(jié)。當(dāng)今世界，以移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算為代表的數(shù)字技術(shù)正在徹底顛覆企業(yè)的業(yè)務(wù)模式。而為業(yè)務(wù)保駕護航理應(yīng)是所有信息安全方案的首要目標(biāo)，但許多企業(yè)并未將其化為一種核心競爭力。

企業(yè)應(yīng)當(dāng)將安全方案、整體業(yè)務(wù)目標(biāo)及當(dāng)前要務(wù)三者緊密聯(lián)系起來，積極與業(yè)務(wù)利益相關(guān)方展開信息安全對話，確定方針路線。

為確保安全方案與自身商業(yè)目標(biāo)配套，企業(yè)要深入了解技術(shù)領(lǐng)域（數(shù)字技術(shù)在企業(yè)內(nèi)部的部署方式）及其業(yè)務(wù)的相關(guān)性（防御方案如何支持業(yè)務(wù)戰(zhàn)略目標(biāo)）。

企業(yè)CIO們應(yīng)該搞清楚所提供的安全防護對客戶滿意度、忠誠度及業(yè)務(wù)收入的影響。只有把安全戰(zhàn)略跟業(yè)務(wù)績效指標(biāo)掛鉤，企業(yè)才能真正在業(yè)務(wù)和安全之間建立起緊密的聯(lián)系。

障礙二：受困于舊有合規(guī)思維模式。當(dāng)公司數(shù)字化防線曝出新漏洞時，許多管理者都百思不得其解：企業(yè)明明已經(jīng)嚴(yán)格遵守了業(yè)內(nèi)網(wǎng)絡(luò)安全規(guī)定，為何還會屢屢出現(xiàn)漏洞？

實際上，合規(guī)并不能確保安全。企業(yè)應(yīng)該將合規(guī)要求視為網(wǎng)絡(luò)安全的最低標(biāo)準(zhǔn)。只關(guān)注管控或?qū)徲嬕蟮陌踩桨副貙⑹?，因為它們忽視了兩大關(guān)鍵因素—企業(yè)業(yè)務(wù)本身以及當(dāng)前的安全威脅究竟屬于何種性質(zhì)。

合規(guī)離安全仍然有很大的距離，過于依賴控制型方案（mandated program）的防御能力讓許多企業(yè)蒙受重大損失（參見圖1）。合規(guī)方案常常依據(jù)審計要求，采取“一刀切”的方法，重點強調(diào)如何去落實監(jiān)管要求，審計人員往往按季或逐年評估企業(yè)的合規(guī)情況，但新的威脅每天甚至每小時都在出現(xiàn)。

而在新的信息安全方案下，企業(yè)不再以審出問題的多少來衡量安全防護成功與否，而是看實際的損失和對業(yè)務(wù)的影響。

此外，審計發(fā)現(xiàn)的問題并非真的是風(fēng)險，只是預(yù)示或可能引發(fā)風(fēng)險。合理落實安全措施的企業(yè)更有可能實現(xiàn)高度合規(guī)，明確風(fēng)險承受能力。

障礙三：業(yè)務(wù)管理不善。云計算、移動技術(shù)和社交網(wǎng)絡(luò)解決方案是許多重要業(yè)務(wù)系統(tǒng)的基石。這些數(shù)字技術(shù)創(chuàng)造了一些新的業(yè)務(wù)模式，如標(biāo)準(zhǔn)化的按需付費服務(wù)。很多企業(yè)在適應(yīng)這種轉(zhuǎn)變的同時，未能及時建立合適的安全框架、政策和管控措施，無法為不斷變化的信息技術(shù)環(huán)境提供有效的安全防護。

不僅如此，業(yè)務(wù)部門如今期望能夠隨時隨地訪問系統(tǒng)和應(yīng)用，并且允許員工除了使用企業(yè)配備的辦公設(shè)備外，還可以使用個人智能手機和平板電腦。

因此，IT安全團隊不得不面對錯綜復(fù)雜的管理局面—需要保護更多的接入點和外部托管服務(wù)，而這些接入點和外部托管服務(wù)并非完全歸企業(yè)所有。

在許多組織中，延伸性企業(yè)（extended enterprise）典型性日常工作包括：實時調(diào)用多臺服務(wù)器，支持云端CRM系統(tǒng)測試；幫助現(xiàn)場工作人員通過移動端接入新功能；建立促進銷售、產(chǎn)品和營銷協(xié)作的業(yè)務(wù)社交網(wǎng)絡(luò)。

這些工作是業(yè)務(wù)部門不斷探索、創(chuàng)新的結(jié)果，安全高管應(yīng)當(dāng)特別注意避免因缺乏治理和充分的數(shù)據(jù)保護而暴露出安全漏洞。

障礙四：忽視持久存在的威脅。網(wǎng)絡(luò)安全威脅往往有特定的意圖和目標(biāo)，任何組織都無法完全幸免。

現(xiàn)在，許多精密設(shè)計的攻擊都是由多方配合，以盈利、出名、市場優(yōu)勢和知識產(chǎn)權(quán)為目標(biāo)的，并且這種趨勢愈演愈烈。令人頭疼的是，這種威脅往往很難識別。

此外，網(wǎng)絡(luò)的攻擊者可能是政府機構(gòu)、激進組織和普通黑客，它們動機不同、目標(biāo)各異。它們瞄準(zhǔn)的可能是技術(shù)系統(tǒng)，也可能是企業(yè)員工—讓員工在知情或不知情的情況下淪為內(nèi)部幫兇。

鑒于攻擊者愈加精明，企業(yè)很少在自己熟知的、防衛(wèi)森嚴(yán)的正門遭受攻擊，而防御稍顯薄弱的企業(yè)供應(yīng)商，成為攻擊開始和擴散的最佳切入點。

為了進一步強化自身防御，企業(yè)需要采用動態(tài)化手段，包括情報、數(shù)據(jù)分析和響應(yīng)措施，有效應(yīng)對花樣翻新的攻擊手段。正如合氣道大師植芝盛平對弟子的教誨：“最佳戰(zhàn)略有賴于智慧應(yīng)對?！?/p>

障礙五：安全服務(wù)供需失衡。根據(jù)最新研究，多數(shù)企業(yè)都缺乏足夠的安全人才，難以滿足當(dāng)前的安全防御需求。就吸引并保留關(guān)鍵安全技術(shù)人才而言，各類企業(yè)也面臨諸多挑戰(zhàn)，如缺乏恰當(dāng)、適量的資源組合，難以實施安全方案；存在技能缺口；員工士氣消沉和專業(yè)人才流失等。

企業(yè)構(gòu)建積極主動的網(wǎng)絡(luò)安全模式，安全團隊需要加強自身適應(yīng)性，緊跟不斷發(fā)展的業(yè)務(wù)目標(biāo)。企業(yè)必須將眾多差別顯著且分屬于不同實體的要素納入到統(tǒng)一框架內(nèi)，以此抵御安全威脅。如圖2所示，在這個以抵御威脅為工作重心的整體化安全方案中，各個組成部分可以相互支撐，協(xié)同發(fā)揮作用。

其中，核心業(yè)務(wù)資產(chǎn)位于中心，由強有力的企業(yè)安全管控機制保護。位于其上的是針對延伸性企業(yè)的防御措施，主要支持云技術(shù)、移動技術(shù)和社交網(wǎng)絡(luò)的應(yīng)用。高級數(shù)據(jù)分析技術(shù)與網(wǎng)絡(luò)威脅情報的結(jié)合有助企業(yè)更積極、快速地行動。

同時，企業(yè)應(yīng)當(dāng)制定清晰的安全指標(biāo)，以便通過量化方式評測對業(yè)務(wù)成果的影響。安全和業(yè)務(wù)管理者已認(rèn)識到，需要借助新的治理戰(zhàn)略、技術(shù)伙伴、技能和綜合架構(gòu)，轉(zhuǎn)變自身運營模式。雖然許多企業(yè)已對分散在這些領(lǐng)域內(nèi)的工具和技術(shù)進行了配置，但是還要將這些要素加以整合，才能充分實現(xiàn)可預(yù)見的價值。

五大舉措構(gòu)建智能安全防護

在抵御網(wǎng)絡(luò)攻擊時，企業(yè)應(yīng)像合氣道大師那樣，主動防御，有準(zhǔn)備地迎擊和化解安全攻擊。具體而言，企業(yè)可以采取以下五大舉措，通過分析型安全防御手段，識別、預(yù)測安全威脅。

舉措一：評估安全方案實際效能。企業(yè)制定以業(yè)務(wù)為中心的網(wǎng)絡(luò)安全戰(zhàn)略前，需要先確定當(dāng)前狀態(tài)及轉(zhuǎn)型所需資源。通過評估安全方案的成熟度，建立明確的戰(zhàn)略和路線圖（參見圖3）。

通過評估，企業(yè)能夠得出安全運營、技術(shù)和基礎(chǔ)流程的成熟度。成熟度一般依次分三個階段。

第一，了解面臨的威脅。處于該階段的企業(yè)應(yīng)建立流程，明確資產(chǎn)的重要等級，推動安全技能的合理化；進而積極管理薄弱環(huán)節(jié)、監(jiān)控威脅情報。

第二，了解企業(yè)的安全形勢、防御措施以及存在的差距。

第三，偵測與響應(yīng)。如果已達到最完善的網(wǎng)絡(luò)安全成熟階段，這些組織將像合氣道大師那樣，設(shè)法改變敵人的攻擊方向，并盡可能地借力還擊。

舉措二：與企業(yè)現(xiàn)有架構(gòu)實現(xiàn)整合管理。領(lǐng)先企業(yè)已建立了端到端的業(yè)務(wù)安全方案，并將其納入現(xiàn)有業(yè)務(wù)架構(gòu)流程中，由此降低了復(fù)雜性，并創(chuàng)造出業(yè)務(wù)部門認(rèn)可的成果。在實際工作中，達成這一目標(biāo)需要建立全新的安全認(rèn)識，了解怎樣將安全工作與IT和自身業(yè)務(wù)進行整合，使三者協(xié)調(diào)發(fā)展，從而有效創(chuàng)建一種新的安全運營模式。

通過一系列職責(zé)、流程、指標(biāo)和管制政策的合理搭配，安全運營模式可在各組織職能中得到貫徹和落實。

最終，該模式將與企業(yè)的整體架構(gòu)、技術(shù)和流程實現(xiàn)整合。例如，某跨國金融服務(wù)機構(gòu)已將原有的被動應(yīng)對型安全職能部門，改造為十分有效的全球化組織，主動保護信息資產(chǎn)。

通過同時關(guān)注業(yè)務(wù)和安全，新的安全組織發(fā)起了一系列優(yōu)先項目，成功打造出諸多至關(guān)重要的安全技能，包括：移動及遠(yuǎn)程身份和訪問管理；基礎(chǔ)設(shè)施和應(yīng)用軟件安全；數(shù)據(jù)保護。

此外，依托基礎(chǔ)整合方法、預(yù)先集成技術(shù)和行業(yè)領(lǐng)先服務(wù)，企業(yè)還能夠迅速部署大量的核心服務(wù)業(yè)務(wù)。而快速部署無疑有助于降低風(fēng)險，實現(xiàn)業(yè)務(wù)效益。

舉措三：提高敏捷性。領(lǐng)軍企業(yè)正在積極利用云計算技術(shù)提高IT工作的敏捷性，更快地與消費者建立聯(lián)系。他們允許員工使用個人移動設(shè)備訪問敏感的內(nèi)部數(shù)據(jù)和社交網(wǎng)絡(luò)，以此銷售產(chǎn)品、了解客戶行為趨勢。這些機構(gòu)不斷提升效率和降低成本，同時確保風(fēng)險在可控范圍。

隨著業(yè)務(wù)的不斷拓展，領(lǐng)先組織還通過盡職調(diào)查、主動治理、標(biāo)準(zhǔn)化和利用第三方安全解決方案，持續(xù)打造與之相匹配的安全體系，由此獲取更多洞見、擴大管控范圍，免除業(yè)務(wù)人員的后顧之憂。

當(dāng)前，企業(yè)紛紛將服務(wù)化產(chǎn)品打造為核心業(yè)務(wù)，而高管人員也在為此建立一套安全和技術(shù)治理手段，妥善管理復(fù)雜性，把風(fēng)險控制在可接受范圍內(nèi)。他們將接入管理、數(shù)據(jù)加密、標(biāo)記化、數(shù)據(jù)防泄露等技術(shù)加以整合，主動改進敏感型業(yè)務(wù)數(shù)據(jù)和客戶數(shù)據(jù)的處理與儲存方法。

此外，領(lǐng)先企業(yè)還會建立一種“安全即服務(wù)”的方法，借助云安全服務(wù)滿足業(yè)務(wù)需要，同時達到監(jiān)管、隱私保護和安全等方面的要求。

依托云技術(shù)、移動技術(shù)和社交網(wǎng)絡(luò)的綜合安全防護能力，領(lǐng)軍企業(yè)能夠保持現(xiàn)有的安全水平，甚至達到更高等級。企業(yè)可采取三項關(guān)鍵舉措，使該方法發(fā)揮切實功效：第一，針對延伸性企業(yè)的云端業(yè)務(wù)，實行不間斷的技術(shù)管控；第二，訂立安全服務(wù)協(xié)議，化解第三方服務(wù)供應(yīng)商風(fēng)險；第三，與云技術(shù)、移動技術(shù)和社交網(wǎng)絡(luò)提供商共擔(dān)責(zé)任，提高安全工作的敏捷性。

最為關(guān)鍵的是，針對延伸性企業(yè)，領(lǐng)先企業(yè)紛紛采用了同時聚焦數(shù)據(jù)與威脅的安全工作模式。該模式有助于識別和定位敏感數(shù)據(jù)、了解數(shù)據(jù)的使用方式、跟蹤數(shù)據(jù)走向，并最終決定何時、以何種方式展開最有效的管控行動。

舉措四：加快實現(xiàn)安全智能化。有些企業(yè)采取積極的防御策略，不但增加了對手的攻擊難度，還可以靈活、巧妙地予以反擊，從而達到事半功倍的效果。

領(lǐng)軍企業(yè)通常都會利用高級數(shù)據(jù)分析技術(shù)來實現(xiàn)“情境感知”：其安全運營團隊可以恰當(dāng)選用監(jiān)測和偵測工具，創(chuàng)建警報流。高效的團隊能夠圍繞這些警報培養(yǎng)深入情境的感知能力，幫助判定事件的緊急程度并改善應(yīng)對效果。

某全球性能源企業(yè)通過多種方式展示了自身的主動防御策略。首先，它調(diào)動業(yè)務(wù)部門普遍使用的工具，將其與多種威脅情報獲取方式和新的安全事件數(shù)據(jù)來源組合在一起。

此外，主動型防御還幫助該企業(yè)運用高級分析技術(shù)來掌握精準(zhǔn)的網(wǎng)絡(luò)安全情報，借此統(tǒng)一協(xié)調(diào)應(yīng)對舉措。

采取積極的防御策略有助于企業(yè)將關(guān)注重點從監(jiān)測結(jié)果轉(zhuǎn)向了解問題，以及快速而巧妙地應(yīng)對迫在眉睫的威脅。

不僅如此，該策略還可以幫助領(lǐng)導(dǎo)者更好地預(yù)測、預(yù)防延伸性企業(yè)內(nèi)部出現(xiàn)的威脅或安全事件，并快速做出響應(yīng)。通過將高價值數(shù)據(jù)集和傳統(tǒng)的企業(yè)安全數(shù)據(jù)相結(jié)合，企業(yè)能夠更加深入地了解安全警報背后的整體情況。

舉措五：實現(xiàn)端到端安全交付；建立靈活外包策略。高效的安全組織會為其每一項安全服務(wù)制定交付和運作策略。

為此，他們需要確定哪些端到端安全服務(wù)應(yīng)當(dāng)部署在組織內(nèi)部，而哪些應(yīng)外包給服務(wù)提供商。故而在設(shè)計、構(gòu)建和部署網(wǎng)絡(luò)安全方案的各項要素之前，領(lǐng)軍企業(yè)首先會對內(nèi)部能力進行仔細(xì)評估。

在最初將安全工作向業(yè)務(wù)方向靠攏時，領(lǐng)導(dǎo)者應(yīng)根據(jù)整體風(fēng)險承受能力、業(yè)務(wù)模式和商業(yè)戰(zhàn)略，做出正確的能力獲取決策。他們還要認(rèn)識到，自身的安全及業(yè)務(wù)成果將依賴于企業(yè)能否選擇恰當(dāng)?shù)暮献骰锇?，并借助其技能和解決方案來不斷完善自身。

領(lǐng)軍企業(yè)可以通過將安全工作外包的方式，降低成本及復(fù)雜性，從而集中精力構(gòu)建主動防御系統(tǒng)，提供前瞻性安全能力并為業(yè)務(wù)部門提供支持。

通過全天候監(jiān)視并持續(xù)識別潛在威脅與安全狀況，領(lǐng)軍企業(yè)獲益良多。他們建立了核心安全支持團隊，能夠確保落實預(yù)先確定的安全與風(fēng)險策略，并且可以快速進行擴張或收縮以滿足業(yè)務(wù)需求。

企業(yè)如能找到出色的合作伙伴，便可準(zhǔn)確了解當(dāng)前的安全績效，采取舉措管理復(fù)雜性，并通過端到端的安全方案整合內(nèi)部組織，從而為迎接未來的挑戰(zhàn)做好準(zhǔn)備。這將使領(lǐng)軍企業(yè)變得更加敏捷，能夠針對威脅迅速作出改變，同時建立卓越的端到端安全交付能力。

在全球范圍，各行各業(yè)的安全服務(wù)領(lǐng)軍企業(yè)在提高防御能力的同時，也面臨一些巨大挑戰(zhàn)：業(yè)務(wù)邊界不斷擴展且日益模糊；僅滿足合規(guī)要求已無法有效解決安全問題；員工流動性不斷升高；新一代具有行業(yè)針對性的攻擊者正在崛起；業(yè)務(wù)需求和安全目標(biāo)之間存在顯著差距；以及對網(wǎng)絡(luò)安全人才的持續(xù)爭奪。企業(yè)應(yīng)對上述挑戰(zhàn)的過程將有效提升企業(yè)網(wǎng)絡(luò)安全能力。

企業(yè)首先需要評估當(dāng)前的形勢，并采用與業(yè)務(wù)目標(biāo)相一致的安全策略。接下來，企業(yè)必須留住人才，借助他們的相關(guān)經(jīng)驗，促進業(yè)務(wù)發(fā)展。

在一系列集成安全解決方案的支持下，企業(yè)能夠以模塊化的方式，根據(jù)具體的威脅領(lǐng)域，逐步建立企業(yè)端到端的安全交付能力。這些新技能可幫助企業(yè)將安全建設(shè)從靜態(tài)轉(zhuǎn)變?yōu)閯討B(tài)。

此外，通過多樣化的技術(shù)手段，還能夠干擾和阻止各類攻擊。作為網(wǎng)絡(luò)安全新常態(tài)的一部分，主動防御將發(fā)揮重要作用。為了有效協(xié)調(diào)實施主動防御策略，企業(yè)需要借助一種治理模型來支持業(yè)務(wù)規(guī)則、生命周期和機遇。

目前，由于無力將技術(shù)資產(chǎn)與企業(yè)運營結(jié)合起來，因此擁有此類安全管理先進技能和技術(shù)的企業(yè)仍寥寥無幾。我們認(rèn)為，安全組織應(yīng)當(dāng)通過已收集和分析的數(shù)據(jù)獲取更多價值。通過建立數(shù)據(jù)管理、安全和分析等一系列核心能力，安全組織可以有效建立并拓展安全管理方案，從而支持延伸性企業(yè)的發(fā)展。

企業(yè)在大力發(fā)展數(shù)字化新業(yè)務(wù)同時，如何破解網(wǎng)絡(luò)安全威脅顯得尤為緊迫。萬法歸一。企業(yè)不妨借鑒合氣道大師的戰(zhàn)法，主動出擊，建立全新的智能安全管理方案，實現(xiàn)主動數(shù)據(jù)防護，及時發(fā)現(xiàn)潛在威脅，將安全隱患消滅于萌芽之中。