對于網(wǎng)絡(luò)安全，無論你的組織在最新軟硬件、培訓(xùn)和人員方面投入多大，也無論是否保護(hù)隔離核心系統(tǒng)，結(jié)果都一樣：只要關(guān)鍵系統(tǒng)是數(shù)字化的，且以某種形式與外部網(wǎng)絡(luò)相連(即便你認(rèn)為它沒有聯(lián)網(wǎng)，實(shí)際上也極有可能)，它就永遠(yuǎn)不可能是安全的。這就是殘酷的事實(shí)。

今天，在美國全部16個(gè)基礎(chǔ)設(shè)施部門中，12個(gè)已被國土安全部定義為“關(guān)鍵”，因?yàn)樗鼈兊?ldquo;實(shí)體或虛擬資產(chǎn)、系統(tǒng)和網(wǎng)絡(luò)對美國非常重要，一旦失靈或被摧毀，將威脅到國家安全、國民經(jīng)濟(jì)、公共健康和安全”，而這些部門部分或完全依賴數(shù)字化的控制和安全系統(tǒng)。

數(shù)字技術(shù)的確帶來了令人贊嘆的新功能和效率提升，但它們極易遭受網(wǎng)絡(luò)攻擊。自動(dòng)探測軟件時(shí)時(shí)在尋找大型企業(yè)、政府部門和學(xué)術(shù)機(jī)構(gòu)的安全漏洞——這些軟件很容易在地下網(wǎng)絡(luò)中獲取，很多是免費(fèi)的，貴的也不過幾百或幾千美元，甚至還提供技術(shù)支持。網(wǎng)絡(luò)防御措施通常能阻擋這些探測，但基本無法抵擋花費(fèi)數(shù)月甚至數(shù)年精心籌劃的重點(diǎn)攻擊。

網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失不斷飆升。僅過去兩年中，WannaCry和NotPetya攻擊事件就分別造成超過40億美元和8.5億美元損失。美國和英國指控朝鮮發(fā)動(dòng)的WannaCry攻擊，據(jù)稱使用了從美國國家安全局竊取的工具。這種病毒利用部分Windows計(jì)算機(jī)未安裝微軟安全補(bǔ)丁的機(jī)會(huì)，對數(shù)據(jù)進(jìn)行鎖定加密，使150個(gè)國家醫(yī)院、學(xué)校、企業(yè)和家庭中的數(shù)十萬臺計(jì)算機(jī)陷于癱瘓，并進(jìn)行勒索。NotPetya攻擊據(jù)信為俄羅斯破壞烏克蘭穩(wěn)定活動(dòng)的一部分，發(fā)起點(diǎn)是一家烏克蘭會(huì)計(jì)公司的軟件升級漏洞。這次攻擊從最初的烏克蘭政府和計(jì)算機(jī)系統(tǒng)擴(kuò)散到其他國家，受害者包括丹麥航運(yùn)公司馬士基、制藥公司默沙東、巧克力制造商吉百利、廣告巨頭WPP等眾多企業(yè)。

隱患增多

隨著自動(dòng)化、物聯(lián)網(wǎng)、云處理及存儲、人工智能和機(jī)器學(xué)習(xí)的發(fā)展，數(shù)字化轉(zhuǎn)型的進(jìn)程持續(xù)加快。復(fù)雜度高、可聯(lián)網(wǎng)、軟件密集型的數(shù)字技術(shù)得到廣泛傳播，被依賴程度越來越高，在網(wǎng)絡(luò)安全方面形成很大隱患。

這些技術(shù)的復(fù)雜度超乎想象，甚至最了解它們的創(chuàng)造者和供應(yīng)商，也并不完全清楚其脆弱性。供應(yīng)商總是聲稱自動(dòng)化能消除人為錯(cuò)誤的風(fēng)險(xiǎn)，但實(shí)際上會(huì)產(chǎn)生其他類型的風(fēng)險(xiǎn)。對隱私、數(shù)據(jù)保護(hù)和信息安全政策進(jìn)行獨(dú)立研究的Ponemon Institute指出，信息系統(tǒng)的復(fù)雜度如此之高，以至于美國企業(yè)僅偵測到系統(tǒng)入侵就平均需要200天以上。大部分時(shí)候，企業(yè)不是自己發(fā)現(xiàn)入侵，而是從第三方獲知。

在世界范圍內(nèi)，造成重大損失和廣泛影響的網(wǎng)絡(luò)安全事件越來越多，Target、SonyPictures、Equifax、Home Depot、馬士基、默沙東、沙特阿美等企業(yè)都曾遭受攻擊。但企業(yè)領(lǐng)導(dǎo)者無力拒絕數(shù)字技術(shù)及其眾多好處的誘惑：效率提升、人力成本降低、人為錯(cuò)誤的減少或消除、收集更多客戶信息的機(jī)會(huì)、創(chuàng)造新產(chǎn)品或服務(wù)的能力等。年復(fù)一年，領(lǐng)導(dǎo)者延續(xù)傳統(tǒng)的網(wǎng)絡(luò)防御思路，花在最新安全解決方案和高端咨詢服務(wù)上的錢越來越多，對此寄予厚望。但這只是一廂情愿。

傳統(tǒng)方法的局限

傳統(tǒng)網(wǎng)絡(luò)防御方法關(guān)注“網(wǎng)絡(luò)健康度”，主要措施包括：

建立企業(yè)硬件和軟件資產(chǎn)的完整清單

購買并部署最新的軟硬件防御工具，包括終端安全保護(hù)、防火墻和入侵檢測系統(tǒng)

定期培訓(xùn)員工識別并規(guī)避釣魚郵件

建立“網(wǎng)閘”——理論上可以將重要系統(tǒng)與其他局域網(wǎng)和互聯(lián)網(wǎng)隔開，但在實(shí)踐中不存在完全的隔離

建立大規(guī)模網(wǎng)絡(luò)安全團(tuán)隊(duì)并使用各類外部服務(wù)，進(jìn)行上述各項(xiàng)工作

很多組織遵循網(wǎng)絡(luò)安全指導(dǎo)框架，如美國標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的網(wǎng)絡(luò)安全框架，或SANS Institute的20項(xiàng)重要安全控制。這些框架要求組織無差錯(cuò)地持續(xù)進(jìn)行數(shù)百項(xiàng)活動(dòng)：員工必須使用復(fù)雜密碼并定期更換、傳輸數(shù)據(jù)時(shí)加密、用防火墻區(qū)隔不同網(wǎng)絡(luò)、第一時(shí)間下載最新安全補(bǔ)丁、限制敏感系統(tǒng)的訪問人數(shù)、審查供應(yīng)商，等等。

很多CEO似乎認(rèn)為，只要遵守這些規(guī)范，就能讓組織免遭嚴(yán)重?fù)p失。但多起影響巨大的網(wǎng)絡(luò)攻擊事件充分表明，這種預(yù)設(shè)是錯(cuò)誤的。前述遭受攻擊的企業(yè)都有龐大的網(wǎng)絡(luò)安全團(tuán)隊(duì)，相關(guān)支出也很高。傳統(tǒng)方法能夠應(yīng)付常規(guī)的探測軟件和初級黑客，但無法抵御越來越多高水準(zhǔn)對手針對關(guān)鍵資產(chǎn)的持續(xù)威脅。

在能源、交通運(yùn)輸、重工制造等重資產(chǎn)行業(yè)，無論企業(yè)投入多少人力和資金，都無法保證標(biāo)準(zhǔn)安全步驟全無差錯(cuò)。實(shí)際上，第一步建立硬件和軟件資產(chǎn)的完整清單，大多數(shù)企業(yè)就會(huì)出錯(cuò)。這是一個(gè)巨大的短板：如果都不知道自己有什么，自然也談不上防御。

此外，傳統(tǒng)方法也會(huì)帶來無法回避的權(quán)衡取舍。安裝升級程序時(shí)，系統(tǒng)通常必須關(guān)閉，而這并不總是可行。例如，公用事業(yè)、化工等行業(yè)的企業(yè)非常重視工業(yè)流程或系統(tǒng)的穩(wěn)定性和可靠性，不可能每次軟件公司發(fā)布安全補(bǔ)丁都停工。

最后，即便所有安全規(guī)范都完美落實(shí)，也無法抵擋高水平黑客。這些攻擊者資金充足、有耐心、不斷在進(jìn)步，總能找到足夠多敞開的大門。無論你的公司網(wǎng)絡(luò)健康度多高，目標(biāo)明確的攻擊都將穿透所有網(wǎng)絡(luò)和系統(tǒng)。入侵者可能需要數(shù)周或數(shù)月時(shí)間，但最終肯定會(huì)成功。

這不只是我一個(gè)人的觀點(diǎn)。邁克爾·阿桑特(Michael Assante)曾任American Electric Power首席安全官，現(xiàn)為SANS Institute負(fù)責(zé)人之一，他告訴我，“傳統(tǒng)網(wǎng)絡(luò)防御方法能應(yīng)付小打小鬧的攻擊，理想情況下也許能阻擋95%的入侵”。但在現(xiàn)實(shí)中，“對于目標(biāo)明確的高水平黑客，不過相當(dāng)于減速帶而已”。曾任雅虎和Twitter安全負(fù)責(zé)人的鮑勃·洛德(BobLord)2017年接受《華爾街日報(bào)》采訪時(shí)說：“和很多公司的安全負(fù)責(zé)人聊天時(shí)，我發(fā)現(xiàn)他們有點(diǎn)聽天由命的情緒——‘我沒辦法阻擋來自他國政府的高水平攻擊，注定要輸?shù)暨@場游戲，所以干脆不想太多’。”

新思路

現(xiàn)在我們必須停止對數(shù)字復(fù)雜性與互聯(lián)性的完全依賴，設(shè)計(jì)并采用完全不同的網(wǎng)絡(luò)防御體系。為此，組織必須找出最核心的流程和功能，然后減少或消除可能被攻擊者利用的數(shù)字通路。

愛達(dá)荷國立工程實(shí)驗(yàn)室(INL)已開發(fā)出一種實(shí)用性強(qiáng)的解決方案，即“結(jié)果導(dǎo)向、充分考慮網(wǎng)絡(luò)狀況的工程設(shè)計(jì)”(CCE)。CCE的目標(biāo)不是進(jìn)行一次性的風(fēng)險(xiǎn)評估，而是永久改變領(lǐng)導(dǎo)者對于公司網(wǎng)絡(luò)風(fēng)險(xiǎn)的思考和評估方式。這項(xiàng)方法目前還在試點(diǎn)階段，但已產(chǎn)生良好效果。

CCE方法包含四個(gè)步驟，需要以下人員密切協(xié)作：

CCE專家——現(xiàn)在來自INL，未來則來自INL提供培訓(xùn)的工程服務(wù)公司

所有負(fù)責(zé)合規(guī)、訴訟和風(fēng)險(xiǎn)防控的領(lǐng)導(dǎo)者，包括CEO、COO、CFO、首席風(fēng)險(xiǎn)官、總法律顧問和首席安全官

負(fù)責(zé)核心運(yùn)營部門的管理者

安全系統(tǒng)專家，以及最熟悉公司核心流程的操作員和工程師

了解系統(tǒng)和設(shè)備可能如何被惡意操縱的網(wǎng)絡(luò)專家和工藝工程師

對于部分參與者，實(shí)施CCE可能會(huì)帶來壓力。例如，新暴露出的重大風(fēng)險(xiǎn)，一開始肯定會(huì)讓首席安全官很緊張。但這種壓力需要克服。面對裝備精良的攻擊者，首席安全官不可能指望公司萬無一失。

1. 找出“皇冠寶石”流程

CCE的第一個(gè)階段是INL定義的“結(jié)果優(yōu)先排序”：模擬災(zāi)難性場景或產(chǎn)生嚴(yán)重后果的事件。這要求參與者找出可能影響企業(yè)存續(xù)的核心功能和流程。例如，如果變壓器遭受攻擊，電力公司或許一個(gè)月無法正常供電;又如，壓氣站停止工作，燃?xì)夤緦o法向用戶供氣。此外，化工廠或煉油廠安全系統(tǒng)遭受重點(diǎn)攻擊，將可能由于壓力超過臨界值而引發(fā)爆炸，導(dǎo)致大量人員傷亡，以及天價(jià)訴訟、股價(jià)動(dòng)蕩，讓領(lǐng)導(dǎo)者丟掉工作。

熟悉高水平黑客行動(dòng)方式的分析師，將能幫助團(tuán)隊(duì)設(shè)想潛在攻擊者的最終目標(biāo)。通過思考“如果想擾亂流程或破壞公司，你會(huì)怎么做”“突破防御后你會(huì)先攻擊哪些設(shè)施”等問題，團(tuán)隊(duì)將能找到攻擊后果最嚴(yán)重且最易被攻擊的目標(biāo)，并模擬相關(guān)場景，交由公司高層討論。根據(jù)公司規(guī)模不同，這一階段可能需要數(shù)周到數(shù)月時(shí)間。

2. 測繪數(shù)字領(lǐng)地

下一項(xiàng)任務(wù)一般需要一周，但也可能更長：統(tǒng)計(jì)“末日場景”中的所有硬件、軟件、通信工具、支持人員和流程，包括第三方服務(wù)和供應(yīng)商。參與者應(yīng)列出每個(gè)生產(chǎn)步驟，詳細(xì)記錄所有控制和自動(dòng)化系統(tǒng)的部署位置，以及所有與核心功能和流程相關(guān)的手動(dòng)操作或數(shù)據(jù)輸入。這些關(guān)聯(lián)都可能成為攻擊者的通路，而企業(yè)通常并不完全了解它們。

關(guān)于這些要素的現(xiàn)有統(tǒng)計(jì)資料總會(huì)跟不上現(xiàn)實(shí)。諸如“誰能接觸你的設(shè)備”“信息如何在你的內(nèi)部網(wǎng)絡(luò)中流動(dòng)，你如何保護(hù)信息”等問題，總會(huì)帶來意外發(fā)現(xiàn)。例如，某位網(wǎng)絡(luò)架構(gòu)師或控制工程師可能會(huì)告訴團(tuán)隊(duì)，一個(gè)關(guān)鍵系統(tǒng)不僅與運(yùn)營系統(tǒng)相連，還與處理應(yīng)收付款項(xiàng)、支付和客戶信息的商務(wù)網(wǎng)絡(luò)相連，因此實(shí)際上接入互聯(lián)網(wǎng)。通過詢問負(fù)責(zé)供應(yīng)商事務(wù)的管理者，團(tuán)隊(duì)可能發(fā)現(xiàn)，供應(yīng)商為進(jìn)行遠(yuǎn)程分析和診斷，保留了直接通向關(guān)鍵系統(tǒng)的無線連接。某家安全系統(tǒng)供應(yīng)商可能聲稱無法直接與設(shè)備通信，而對技術(shù)細(xì)節(jié)和升級流程的仔細(xì)檢查可能發(fā)現(xiàn)實(shí)際可以直接通信。任何這種發(fā)現(xiàn)都很有價(jià)值。

3. 標(biāo)明潛在攻擊路徑

下一步，運(yùn)用洛克希德馬丁公司設(shè)計(jì)的一系列方法，團(tuán)隊(duì)找到黑客攻擊核心目標(biāo)最短、最可能的路徑，并根據(jù)攻擊難度排序。主導(dǎo)這個(gè)階段工作的是CCE專家和其他外部專家，包括掌握關(guān)于黑客及其攻擊方法等敏感信息的人士。他們共享政府情報(bào)，了解世界各地發(fā)生的針對類似系統(tǒng)的攻擊事件。公司對安全系統(tǒng)、處理網(wǎng)絡(luò)威脅的能力和流程等方面的其他投入，也能幫助團(tuán)隊(duì)鎖定最可能的攻擊路徑。在下一階段，團(tuán)隊(duì)據(jù)此向領(lǐng)導(dǎo)者推薦防御方案。

4. 制定風(fēng)險(xiǎn)控制和保護(hù)方案

在這個(gè)階段，團(tuán)隊(duì)針對最高等級的網(wǎng)絡(luò)風(fēng)險(xiǎn)設(shè)計(jì)防御方案。假設(shè)一個(gè)目標(biāo)的10條潛在攻擊路徑都經(jīng)過某個(gè)節(jié)點(diǎn)，那么無疑應(yīng)在這里布設(shè)“絆網(wǎng)”——一個(gè)受到密切監(jiān)控的傳感器，在反常情況剛出現(xiàn)時(shí)就向公司的快速反應(yīng)團(tuán)隊(duì)發(fā)出警報(bào)。

有些防御方案其實(shí)很容易實(shí)施，而且成本很低。例如，一種純硬件振動(dòng)傳感器，可以使遭到網(wǎng)絡(luò)攻擊的單元減速或停止運(yùn)行，防止其自我損害或自毀。其他方案則需要更多資金和時(shí)間成本，例如建立與主系統(tǒng)略有差異的冗余系統(tǒng)，以備在受損情況下也能維持核心功能。很多防御方案不會(huì)對運(yùn)營效率和商業(yè)機(jī)會(huì)造成負(fù)面影響，但有些確實(shí)會(huì)。因此企業(yè)領(lǐng)導(dǎo)者最終需要考慮，哪些風(fēng)險(xiǎn)能接受、哪些必須避免、哪些可以轉(zhuǎn)移、哪些需要控制，并據(jù)此決定下一步行動(dòng)。

如果某項(xiàng)關(guān)鍵流程必須具備用于跟蹤和發(fā)送控制信號的數(shù)字通道，防御方案應(yīng)將進(jìn)出雙向的通道數(shù)量限制在最少，并讓識別異常通信變得更容易。此外，企業(yè)可以增加保護(hù)裝置，在系統(tǒng)接收惡意指令時(shí)防止出現(xiàn)災(zāi)難性事件。例如，機(jī)械閥門或開關(guān)可以防止系統(tǒng)的壓力或溫度超過臨界值。有些情況下，企業(yè)也可以讓可信賴的員工介入，例如監(jiān)控機(jī)械溫度計(jì)或壓力表的讀數(shù)，確保數(shù)字儀表真實(shí)準(zhǔn)確。如果你的公司未曾經(jīng)歷嚴(yán)重的網(wǎng)絡(luò)安全事件，盡可能斷連、安裝過時(shí)的機(jī)械設(shè)備、在自動(dòng)化流程中安排人工操作等做法，可能會(huì)顯得是一種退步。但這些實(shí)際上是主動(dòng)的風(fēng)險(xiǎn)管理措施。這些措施可能降低效率，但如果增加的成本能顯著降低災(zāi)難性事件發(fā)生的概率、防御傳統(tǒng)方案無法抵擋的攻擊，那就是值得的。

不難想象，讀到這里的CEO和COO們會(huì)持懷疑態(tài)度。在任何變革管理計(jì)劃中，讓人們的情感和心智告別已經(jīng)堅(jiān)持幾十年的觀念，都是巨大的挑戰(zhàn)。領(lǐng)導(dǎo)者應(yīng)預(yù)想到阻力，尤其在早期階段。公開大量公司信息，并承認(rèn)那些原本不知道或不愿去想的缺陷，會(huì)給管理者帶來很大心理負(fù)擔(dān)。在接下來的步驟中，隨著CCE團(tuán)隊(duì)仔細(xì)探查技術(shù)系統(tǒng)和實(shí)踐中的漏洞，工程師們的韌性將受到考驗(yàn)。即便在對系統(tǒng)進(jìn)行最嚴(yán)苛的評估時(shí)，也一定要讓員工感到安全。最終，你將詳細(xì)了解潛在攻擊者的行動(dòng)方式和可能結(jié)果、預(yù)見到公司可能遭到攻擊的具體方式，這會(huì)很有啟發(fā)性。一旦認(rèn)識到風(fēng)險(xiǎn)并了解控制風(fēng)險(xiǎn)的最佳方式，對新方案最抗拒的人也會(huì)轉(zhuǎn)而支持。

現(xiàn)在能做什么

你必須學(xué)著像對手一樣思考。你甚至可以建立一個(gè)內(nèi)部團(tuán)隊(duì)，讓成員定期嘗試攻擊關(guān)鍵目標(biāo)，以持續(xù)評估公司網(wǎng)絡(luò)防御的強(qiáng)度。這個(gè)團(tuán)隊(duì)?wèi)?yīng)包括核心流程、控制和安全系統(tǒng)、運(yùn)營網(wǎng)絡(luò)方面的專家。

即便能夠保持很高的網(wǎng)絡(luò)健康度，你也必須防范入侵。最好的方法是效仿重要化工廠和核電站，建立網(wǎng)絡(luò)安全文化。從最資深到最初級的所有員工都必須知道，當(dāng)自己操作的計(jì)算機(jī)系統(tǒng)或機(jī)器開始出現(xiàn)異常，一定要快速做出反應(yīng)。這也許只是設(shè)備故障，但也有可能是網(wǎng)絡(luò)攻擊。

最后，考慮到你和防御團(tuán)隊(duì)可能被迫放棄核心功能的支持系統(tǒng)，一定要有備用方案。即便達(dá)不到最佳狀態(tài)，備用系統(tǒng)也應(yīng)能保證公司維持核心運(yùn)營，而且最好不依賴數(shù)字技術(shù)、不接入網(wǎng)絡(luò)(尤其是互聯(lián)網(wǎng))。至少，備用系統(tǒng)不應(yīng)與主系統(tǒng)完全相同，原因很明顯：如果攻擊者能成功入侵主系統(tǒng)，也能輕松入侵一個(gè)完全相同的系統(tǒng)。

每一個(gè)依賴數(shù)字技術(shù)和互聯(lián)網(wǎng)的組織，都有遭受毀滅性網(wǎng)絡(luò)攻擊的危險(xiǎn)。即使是最周密的傳統(tǒng)防御措施，也無法抵擋敵對國家、強(qiáng)大犯罪組織或恐怖組織的攻擊。保護(hù)你的公司的唯一方法，是主動(dòng)在技術(shù)上“后退”一步——其實(shí)是工程上的進(jìn)步。新防御思路的目標(biāo)是，減少或消除關(guān)鍵部門對數(shù)字技術(shù)的依賴及與互聯(lián)網(wǎng)的連接。這樣做有時(shí)會(huì)增加成本，但相比保持現(xiàn)狀可能帶來的災(zāi)難性結(jié)果，一定是值得的。

本文來源：哈佛商業(yè)評論