對于網(wǎng)絡(luò )安全，無(wú)論你的組織在最新軟硬件、培訓和人員方面投入多大，也無(wú)論是否保護隔離核心系統，結果都一樣：只要關(guān)鍵系統是數字化的，且以某種形式與外部網(wǎng)絡(luò )相連(即便你認為它沒(méi)有聯(lián)網(wǎng)，實(shí)際上也極有可能)，它就永遠不可能是安全的。這就是殘酷的事實(shí)。

今天，在美國全部16個(gè)基礎設施部門(mén)中，12個(gè)已被國土安全部定義為“關(guān)鍵”，因為它們的“實(shí)體或虛擬資產(chǎn)、系統和網(wǎng)絡(luò )對美國非常重要，一旦失靈或被摧毀，將威脅到國家安全、國民經(jīng)濟、公共健康和安全”，而這些部門(mén)部分或完全依賴(lài)數字化的控制和安全系統。

數字技術(shù)的確帶來(lái)了令人贊嘆的新功能和效率提升，但它們極易遭受網(wǎng)絡(luò )攻擊。自動(dòng)探測軟件時(shí)時(shí)在尋找大型企業(yè)、政府部門(mén)和學(xué)術(shù)機構的安全漏洞——這些軟件很容易在地下網(wǎng)絡(luò )中獲取，很多是免費的，貴的也不過(guò)幾百或幾千美元，甚至還提供技術(shù)支持。網(wǎng)絡(luò )防御措施通常能阻擋這些探測，但基本無(wú)法抵擋花費數月甚至數年精心籌劃的重點(diǎn)攻擊。

網(wǎng)絡(luò )攻擊造成的經(jīng)濟損失不斷飆升。僅過(guò)去兩年中，WannaCry和NotPetya攻擊事件就分別造成超過(guò)40億美元和8.5億美元損失。美國和英國指控朝鮮發(fā)動(dòng)的WannaCry攻擊，據稱(chēng)使用了從美國國家安全局竊取的工具。這種病毒利用部分Windows計算機未安裝微軟安全補丁的機會(huì )，對數據進(jìn)行鎖定加密，使150個(gè)國家醫院、學(xué)校、企業(yè)和家庭中的數十萬(wàn)臺計算機陷于癱瘓，并進(jìn)行勒索。NotPetya攻擊據信為俄羅斯破壞烏克蘭穩定活動(dòng)的一部分，發(fā)起點(diǎn)是一家烏克蘭會(huì )計公司的軟件升級漏洞。這次攻擊從最初的烏克蘭政府和計算機系統擴散到其他國家，受害者包括丹麥航運公司馬士基、制藥公司默沙東、巧克力制造商吉百利、廣告巨頭WPP等眾多企業(yè)。

隱患增多

隨著(zhù)自動(dòng)化、物聯(lián)網(wǎng)、云處理及存儲、人工智能和機器學(xué)習的發(fā)展，數字化轉型的進(jìn)程持續加快。復雜度高、可聯(lián)網(wǎng)、軟件密集型的數字技術(shù)得到廣泛傳播，被依賴(lài)程度越來(lái)越高，在網(wǎng)絡(luò )安全方面形成很大隱患。

這些技術(shù)的復雜度超乎想象，甚至最了解它們的創(chuàng )造者和供應商，也并不完全清楚其脆弱性。供應商總是聲稱(chēng)自動(dòng)化能消除人為錯誤的風(fēng)險，但實(shí)際上會(huì )產(chǎn)生其他類(lèi)型的風(fēng)險。對隱私、數據保護和信息安全政策進(jìn)行獨立研究的Ponemon Institute指出，信息系統的復雜度如此之高，以至于美國企業(yè)僅偵測到系統入侵就平均需要200天以上。大部分時(shí)候，企業(yè)不是自己發(fā)現入侵，而是從第三方獲知。

在世界范圍內，造成重大損失和廣泛影響的網(wǎng)絡(luò )安全事件越來(lái)越多，Target、SonyPictures、Equifax、Home Depot、馬士基、默沙東、沙特阿美等企業(yè)都曾遭受攻擊。但企業(yè)領(lǐng)導者無(wú)力拒絕數字技術(shù)及其眾多好處的誘惑：效率提升、人力成本降低、人為錯誤的減少或消除、收集更多客戶(hù)信息的機會(huì )、創(chuàng )造新產(chǎn)品或服務(wù)的能力等。年復一年，領(lǐng)導者延續傳統的網(wǎng)絡(luò )防御思路，花在最新安全解決方案和高端咨詢(xún)服務(wù)上的錢(qián)越來(lái)越多，對此寄予厚望。但這只是一廂情愿。

傳統方法的局限

傳統網(wǎng)絡(luò )防御方法關(guān)注“網(wǎng)絡(luò )健康度”，主要措施包括：

建立企業(yè)硬件和軟件資產(chǎn)的完整清單

購買(mǎi)并部署最新的軟硬件防御工具，包括終端安全保護、防火墻和入侵檢測系統

定期培訓員工識別并規避釣魚(yú)郵件

建立“網(wǎng)閘”——理論上可以將重要系統與其他局域網(wǎng)和互聯(lián)網(wǎng)隔開(kāi)，但在實(shí)踐中不存在完全的隔離

建立大規模網(wǎng)絡(luò )安全團隊并使用各類(lèi)外部服務(wù)，進(jìn)行上述各項工作

很多組織遵循網(wǎng)絡(luò )安全指導框架，如美國標準與技術(shù)研究院(NIST)的網(wǎng)絡(luò )安全框架，或SANS Institute的20項重要安全控制。這些框架要求組織無(wú)差錯地持續進(jìn)行數百項活動(dòng)：?jiǎn)T工必須使用復雜密碼并定期更換、傳輸數據時(shí)加密、用防火墻區隔不同網(wǎng)絡(luò )、第一時(shí)間下載最新安全補丁、限制敏感系統的訪(fǎng)問(wèn)人數、審查供應商，等等。

很多CEO似乎認為，只要遵守這些規范，就能讓組織免遭嚴重損失。但多起影響巨大的網(wǎng)絡(luò )攻擊事件充分表明，這種預設是錯誤的。前述遭受攻擊的企業(yè)都有龐大的網(wǎng)絡(luò )安全團隊，相關(guān)支出也很高。傳統方法能夠應付常規的探測軟件和初級黑客，但無(wú)法抵御越來(lái)越多高水準對手針對關(guān)鍵資產(chǎn)的持續威脅。

在能源、交通運輸、重工制造等重資產(chǎn)行業(yè)，無(wú)論企業(yè)投入多少人力和資金，都無(wú)法保證標準安全步驟全無(wú)差錯。實(shí)際上，第一步建立硬件和軟件資產(chǎn)的完整清單，大多數企業(yè)就會(huì )出錯。這是一個(gè)巨大的短板：如果都不知道自己有什么，自然也談不上防御。

此外，傳統方法也會(huì )帶來(lái)無(wú)法回避的權衡取舍。安裝升級程序時(shí)，系統通常必須關(guān)閉，而這并不總是可行。例如，公用事業(yè)、化工等行業(yè)的企業(yè)非常重視工業(yè)流程或系統的穩定性和可靠性，不可能每次軟件公司發(fā)布安全補丁都停工。

最后，即便所有安全規范都完美落實(shí)，也無(wú)法抵擋高水平黑客。這些攻擊者資金充足、有耐心、不斷在進(jìn)步，總能找到足夠多敞開(kāi)的大門(mén)。無(wú)論你的公司網(wǎng)絡(luò )健康度多高，目標明確的攻擊都將穿透所有網(wǎng)絡(luò )和系統。入侵者可能需要數周或數月時(shí)間，但最終肯定會(huì )成功。

這不只是我一個(gè)人的觀(guān)點(diǎn)。邁克爾·阿桑特(Michael Assante)曾任American Electric Power首席安全官，現為SANS Institute負責人之一，他告訴我，“傳統網(wǎng)絡(luò )防御方法能應付小打小鬧的攻擊，理想情況下也許能阻擋95%的入侵”。但在現實(shí)中，“對于目標明確的高水平黑客，不過(guò)相當于減速帶而已”。曾任雅虎和Twitter安全負責人的鮑勃·洛德(BobLord)2017年接受《華爾街日報》采訪(fǎng)時(shí)說(shuō)：“和很多公司的安全負責人聊天時(shí)，我發(fā)現他們有點(diǎn)聽(tīng)天由命的情緒——‘我沒(méi)辦法阻擋來(lái)自他國政府的高水平攻擊，注定要輸掉這場(chǎng)游戲，所以干脆不想太多’。”

新思路

現在我們必須停止對數字復雜性與互聯(lián)性的完全依賴(lài)，設計并采用完全不同的網(wǎng)絡(luò )防御體系。為此，組織必須找出最核心的流程和功能，然后減少或消除可能被攻擊者利用的數字通路。

愛(ài)達荷國立工程實(shí)驗室(INL)已開(kāi)發(fā)出一種實(shí)用性強的解決方案，即“結果導向、充分考慮網(wǎng)絡(luò )狀況的工程設計”(CCE)。CCE的目標不是進(jìn)行一次性的風(fēng)險評估，而是永久改變領(lǐng)導者對于公司網(wǎng)絡(luò )風(fēng)險的思考和評估方式。這項方法目前還在試點(diǎn)階段，但已產(chǎn)生良好效果。

CCE方法包含四個(gè)步驟，需要以下人員密切協(xié)作：

CCE專(zhuān)家——現在來(lái)自INL，未來(lái)則來(lái)自INL提供培訓的工程服務(wù)公司

所有負責合規、訴訟和風(fēng)險防控的領(lǐng)導者，包括CEO、COO、CFO、首席風(fēng)險官、總法律顧問(wèn)和首席安全官

負責核心運營(yíng)部門(mén)的管理者

安全系統專(zhuān)家，以及最熟悉公司核心流程的操作員和工程師

了解系統和設備可能如何被惡意操縱的網(wǎng)絡(luò )專(zhuān)家和工藝工程師

對于部分參與者，實(shí)施CCE可能會(huì )帶來(lái)壓力。例如，新暴露出的重大風(fēng)險，一開(kāi)始肯定會(huì )讓首席安全官很緊張。但這種壓力需要克服。面對裝備精良的攻擊者，首席安全官不可能指望公司萬(wàn)無(wú)一失。

1. 找出“皇冠寶石”流程

CCE的第一個(gè)階段是INL定義的“結果優(yōu)先排序”：模擬災難性場(chǎng)景或產(chǎn)生嚴重后果的事件。這要求參與者找出可能影響企業(yè)存續的核心功能和流程。例如，如果變壓器遭受攻擊，電力公司或許一個(gè)月無(wú)法正常供電;又如，壓氣站停止工作，燃氣公司將無(wú)法向用戶(hù)供氣。此外，化工廠(chǎng)或煉油廠(chǎng)安全系統遭受重點(diǎn)攻擊，將可能由于壓力超過(guò)臨界值而引發(fā)爆炸，導致大量人員傷亡，以及天價(jià)訴訟、股價(jià)動(dòng)蕩，讓領(lǐng)導者丟掉工作。

熟悉高水平黑客行動(dòng)方式的分析師，將能幫助團隊設想潛在攻擊者的最終目標。通過(guò)思考“如果想擾亂流程或破壞公司，你會(huì )怎么做”“突破防御后你會(huì )先攻擊哪些設施”等問(wèn)題，團隊將能找到攻擊后果最嚴重且最易被攻擊的目標，并模擬相關(guān)場(chǎng)景，交由公司高層討論。根據公司規模不同，這一階段可能需要數周到數月時(shí)間。

2. 測繪數字領(lǐng)地

下一項任務(wù)一般需要一周，但也可能更長(cháng)：統計“末日場(chǎng)景”中的所有硬件、軟件、通信工具、支持人員和流程，包括第三方服務(wù)和供應商。參與者應列出每個(gè)生產(chǎn)步驟，詳細記錄所有控制和自動(dòng)化系統的部署位置，以及所有與核心功能和流程相關(guān)的手動(dòng)操作或數據輸入。這些關(guān)聯(lián)都可能成為攻擊者的通路，而企業(yè)通常并不完全了解它們。

關(guān)于這些要素的現有統計資料總會(huì )跟不上現實(shí)。諸如“誰(shuí)能接觸你的設備”“信息如何在你的內部網(wǎng)絡(luò )中流動(dòng)，你如何保護信息”等問(wèn)題，總會(huì )帶來(lái)意外發(fā)現。例如，某位網(wǎng)絡(luò )架構師或控制工程師可能會(huì )告訴團隊，一個(gè)關(guān)鍵系統不僅與運營(yíng)系統相連，還與處理應收付款項、支付和客戶(hù)信息的商務(wù)網(wǎng)絡(luò )相連，因此實(shí)際上接入互聯(lián)網(wǎng)。通過(guò)詢(xún)問(wèn)負責供應商事務(wù)的管理者，團隊可能發(fā)現，供應商為進(jìn)行遠程分析和診斷，保留了直接通向關(guān)鍵系統的無(wú)線(xiàn)連接。某家安全系統供應商可能聲稱(chēng)無(wú)法直接與設備通信，而對技術(shù)細節和升級流程的仔細檢查可能發(fā)現實(shí)際可以直接通信。任何這種發(fā)現都很有價(jià)值。

3. 標明潛在攻擊路徑

下一步，運用洛克希德馬丁公司設計的一系列方法，團隊找到黑客攻擊核心目標最短、最可能的路徑，并根據攻擊難度排序。主導這個(gè)階段工作的是CCE專(zhuān)家和其他外部專(zhuān)家，包括掌握關(guān)于黑客及其攻擊方法等敏感信息的人士。他們共享政府情報，了解世界各地發(fā)生的針對類(lèi)似系統的攻擊事件。公司對安全系統、處理網(wǎng)絡(luò )威脅的能力和流程等方面的其他投入，也能幫助團隊鎖定最可能的攻擊路徑。在下一階段，團隊據此向領(lǐng)導者推薦防御方案。

4. 制定風(fēng)險控制和保護方案

在這個(gè)階段，團隊針對最高等級的網(wǎng)絡(luò )風(fēng)險設計防御方案。假設一個(gè)目標的10條潛在攻擊路徑都經(jīng)過(guò)某個(gè)節點(diǎn)，那么無(wú)疑應在這里布設“絆網(wǎng)”——一個(gè)受到密切監控的傳感器，在反常情況剛出現時(shí)就向公司的快速反應團隊發(fā)出警報。

有些防御方案其實(shí)很容易實(shí)施，而且成本很低。例如，一種純硬件振動(dòng)傳感器，可以使遭到網(wǎng)絡(luò )攻擊的單元減速或停止運行，防止其自我損害或自毀。其他方案則需要更多資金和時(shí)間成本，例如建立與主系統略有差異的冗余系統，以備在受損情況下也能維持核心功能。很多防御方案不會(huì )對運營(yíng)效率和商業(yè)機會(huì )造成負面影響，但有些確實(shí)會(huì )。因此企業(yè)領(lǐng)導者最終需要考慮，哪些風(fēng)險能接受、哪些必須避免、哪些可以轉移、哪些需要控制，并據此決定下一步行動(dòng)。

如果某項關(guān)鍵流程必須具備用于跟蹤和發(fā)送控制信號的數字通道，防御方案應將進(jìn)出雙向的通道數量限制在最少，并讓識別異常通信變得更容易。此外，企業(yè)可以增加保護裝置，在系統接收惡意指令時(shí)防止出現災難性事件。例如，機械閥門(mén)或開(kāi)關(guān)可以防止系統的壓力或溫度超過(guò)臨界值。有些情況下，企業(yè)也可以讓可信賴(lài)的員工介入，例如監控機械溫度計或壓力表的讀數，確保數字儀表真實(shí)準確。如果你的公司未曾經(jīng)歷嚴重的網(wǎng)絡(luò )安全事件，盡可能斷連、安裝過(guò)時(shí)的機械設備、在自動(dòng)化流程中安排人工操作等做法，可能會(huì )顯得是一種退步。但這些實(shí)際上是主動(dòng)的風(fēng)險管理措施。這些措施可能降低效率，但如果增加的成本能顯著(zhù)降低災難性事件發(fā)生的概率、防御傳統方案無(wú)法抵擋的攻擊，那就是值得的。

不難想象，讀到這里的CEO和COO們會(huì )持懷疑態(tài)度。在任何變革管理計劃中，讓人們的情感和心智告別已經(jīng)堅持幾十年的觀(guān)念，都是巨大的挑戰。領(lǐng)導者應預想到阻力，尤其在早期階段。公開(kāi)大量公司信息，并承認那些原本不知道或不愿去想的缺陷，會(huì )給管理者帶來(lái)很大心理負擔。在接下來(lái)的步驟中，隨著(zhù)CCE團隊仔細探查技術(shù)系統和實(shí)踐中的漏洞，工程師們的韌性將受到考驗。即便在對系統進(jìn)行最嚴苛的評估時(shí)，也一定要讓員工感到安全。最終，你將詳細了解潛在攻擊者的行動(dòng)方式和可能結果、預見(jiàn)到公司可能遭到攻擊的具體方式，這會(huì )很有啟發(fā)性。一旦認識到風(fēng)險并了解控制風(fēng)險的最佳方式，對新方案最抗拒的人也會(huì )轉而支持。

現在能做什么

你必須學(xué)著(zhù)像對手一樣思考。你甚至可以建立一個(gè)內部團隊，讓成員定期嘗試攻擊關(guān)鍵目標，以持續評估公司網(wǎng)絡(luò )防御的強度。這個(gè)團隊應包括核心流程、控制和安全系統、運營(yíng)網(wǎng)絡(luò )方面的專(zhuān)家。

即便能夠保持很高的網(wǎng)絡(luò )健康度，你也必須防范入侵。最好的方法是效仿重要化工廠(chǎng)和核電站，建立網(wǎng)絡(luò )安全文化。從最資深到最初級的所有員工都必須知道，當自己操作的計算機系統或機器開(kāi)始出現異常，一定要快速做出反應。這也許只是設備故障，但也有可能是網(wǎng)絡(luò )攻擊。

最后，考慮到你和防御團隊可能被迫放棄核心功能的支持系統，一定要有備用方案。即便達不到最佳狀態(tài)，備用系統也應能保證公司維持核心運營(yíng)，而且最好不依賴(lài)數字技術(shù)、不接入網(wǎng)絡(luò )(尤其是互聯(lián)網(wǎng))。至少，備用系統不應與主系統完全相同，原因很明顯：如果攻擊者能成功入侵主系統，也能輕松入侵一個(gè)完全相同的系統。

每一個(gè)依賴(lài)數字技術(shù)和互聯(lián)網(wǎng)的組織，都有遭受毀滅性網(wǎng)絡(luò )攻擊的危險。即使是最周密的傳統防御措施，也無(wú)法抵擋敵對國家、強大犯罪組織或恐怖組織的攻擊。保護你的公司的唯一方法，是主動(dòng)在技術(shù)上“后退”一步——其實(shí)是工程上的進(jìn)步。新防御思路的目標是，減少或消除關(guān)鍵部門(mén)對數字技術(shù)的依賴(lài)及與互聯(lián)網(wǎng)的連接。這樣做有時(shí)會(huì )增加成本，但相比保持現狀可能帶來(lái)的災難性結果，一定是值得的。

本文來(lái)源：哈佛商業(yè)評論