朱麗

互聯(lián)網(wǎng)時代，如果企業(yè)不能從根本——內(nèi)部管理上重視信息安全，那么隨互聯(lián)網(wǎng)裹挾而來的開放與無邊界將不僅僅是風險，還可能是災難！

即使在保密工作做得相當完備的蘋果公司，也難逃被黑客攻擊的噩運，而且時有發(fā)生。

早在此前，經(jīng)常有黑客或者不明身份的人接近蘋果員工，用高達上萬美元的報酬或者其他引誘方式讓后者提供關(guān)于蘋果內(nèi)部的數(shù)據(jù)信息，比如在iPhone 6發(fā)布之前，就有黑客想竊取到相關(guān)產(chǎn)品原型的信息甚至蘋果未來的產(chǎn)品計劃。顯然，如果企業(yè)內(nèi)部網(wǎng)絡(luò)遭到攻擊，那么損失的不僅僅是自身的寶貴資源，同時還會讓用戶的隱私處于巨大危險境地。

不只蘋果公司，這已經(jīng)成為如今數(shù)字化的世界中，所有企業(yè)都會遇到的信息安全挑戰(zhàn)。然而，這種情形之所以發(fā)生頻密，是因為攻擊無處不在，而企業(yè)的安全防御能力又極為欠缺或者信息安全意識不足。

安永2016年發(fā)布的“締造可信的數(shù)字世界——安永第18屆全球信息安全調(diào)查報告”顯示：超三成的全球受訪企業(yè)依然無法識別出復雜的網(wǎng)絡(luò)攻擊，從而導致企業(yè)的網(wǎng)絡(luò)脆弱性加劇。

該調(diào)查報告建議，企業(yè)若想建立更加安全和可持續(xù)的網(wǎng)絡(luò)，就需要戴上網(wǎng)絡(luò)風險“透視鏡”，對所做的一切活動進行審視，識別它們的風險和漏洞，設(shè)定風險偏好，作好應對各類事件、及時采取果斷行動的準備。

或許10年前，商業(yè)行為的信息化、數(shù)字化還沒有像今天這樣深入，因而，企業(yè)對信息安全更多的措施是“守”，但往往守不住。今天，隨著互聯(lián)網(wǎng)和大數(shù)據(jù)的普及與快速滲透，“防”更應成為企業(yè)管理的一道“安全閥門”。

安全，是數(shù)字世界的最大挑戰(zhàn)

數(shù)字世界充滿了無窮的創(chuàng)新機遇。無論何種行業(yè)，企業(yè)均可通過開發(fā)新市場、新產(chǎn)品，更好地對接用戶的消費需求，找到與他們溝通的便捷方式。

然而這一過程中，許多不易察覺的危險常常被忽視，風險被低估。機遇與風險并存，數(shù)字世界為網(wǎng)絡(luò)犯罪分子和有意制造麻煩的人提供了巨大的操作空間，但當企業(yè)的信息安全遭到威脅，已經(jīng)為時太晚。

安永大中華區(qū)信息安全咨詢服務(wù)合伙人阮祺康，對《中外管理》這樣描述：在網(wǎng)絡(luò)領(lǐng)域，有一些專業(yè)黑客每天盯著漏洞“做文章”，他們找到某家企業(yè)的信息漏洞之后，以要挾或者勒索的方式，讓這些漏洞變成交易的籌碼從而獲利。

此外，還有不少黑客或是犯罪集團會運用勒索軟件給企業(yè)的文件或者信息加密，影響企業(yè)的正常使用，而若要解密，必須向他們支付一筆巨額費用來換取企業(yè)的寶貴信息。這些“生意”同幾年前相比越來越多，并且形成了黑色產(chǎn)業(yè)鏈，讓很多企業(yè)吃到了苦頭，卻又無力屏蔽。

是不是這些企業(yè)的信息價值不菲呢？也不一定。正如安永華北區(qū)信息安全服務(wù)合伙人李睿對《中外管理》所說：“這些黑色產(chǎn)業(yè)鏈往往以經(jīng)濟價值為導向，攻破之后可以更快地拿到黑市上變現(xiàn)。更有甚者，一些更大的威脅也可能是來自于競爭對手所雇傭的黑客，針對同行企業(yè)的薄弱環(huán)節(jié)開展針對性的惡意攻擊，以打擊對手?！北热缡謾C芯片，半年或者三個月就需迭代一次，假如企業(yè)正在研發(fā)高價值的芯片產(chǎn)品，那么一旦被攻破，手機上市之前就已經(jīng)泄露了。

我們能夠想象，智能設(shè)備與服務(wù)給商業(yè)世界帶來層出不窮的功能與體驗，同時生成大量的數(shù)據(jù)，而隨著互聯(lián)網(wǎng)的開放與協(xié)同，企業(yè)需要利用互聯(lián)網(wǎng)將自己的技術(shù)接入到各個層面，甚至是客戶、供應鏈體系當中，一旦企業(yè)高度依賴互聯(lián)網(wǎng)的時候，網(wǎng)絡(luò)攻擊的脆弱性加劇，安全堡壘被無聲無息地攻破。

安永對千余家企業(yè)調(diào)研的結(jié)果顯示，88%的認為企業(yè)內(nèi)部的安全工作不能滿足企業(yè)的需求。這意味著什么呢？企業(yè)的信息安全能力跟不上互聯(lián)網(wǎng)的快速發(fā)展。

如何識別不易察覺的攻擊跡象？

較之幾年前，網(wǎng)絡(luò)攻擊越來越復雜，而且難以察覺。企業(yè)是不是就任由攻擊者入侵，束手無策了呢？

“由于網(wǎng)絡(luò)攻擊者技術(shù)不停改變、持續(xù)性加劇、能力增強，網(wǎng)絡(luò)威脅性質(zhì)也發(fā)生了變化。”阮祺康說，隨著數(shù)字化的快速發(fā)展，企業(yè)之間的互聯(lián)互通日益加強，我們個人的生活也和移動技術(shù)、互聯(lián)網(wǎng)越來越多地交織在一起。網(wǎng)絡(luò)攻擊者在不斷尋找更新更好的攻擊方式，如果企業(yè)也在尋找解決辦法應對目前這個形勢的話，并非不可以保衛(wèi)自己的安全。

盡管一家企業(yè)很難去識別一些復雜的網(wǎng)絡(luò)攻擊，但安永方面認為，其實99%的攻擊行為是有方法避免的，或者將這個風險降低至最小化。

針對這一點，李睿的觀點是：“企業(yè)有意識地建立端到端的安全體系和管理機制，加強安全能力和流程建設(shè)，并結(jié)合信息安全平臺和工具，多數(shù)的安全風險是可以防御的?！倍鴮τ陔y以預見的風險，最好的解決辦法是建立有效的應急機制和應急預案，當發(fā)生事件時能夠及時有效地處理和解決。

要將被攻擊的危害降至最低，關(guān)鍵在于企業(yè)對最有價值且風險最高的領(lǐng)域給予高度重視，并采取最強的防范和應對措施。同時建立全方位的“雷達圖”——超過臨界值時會發(fā)出警報，確定臨界值要考慮風險偏好以及可能給企業(yè)造成最大危害的事件類型。

安永的調(diào)研還表明，一些攻擊行為是突發(fā)且顯而易見的，這種情況下，所有的注意力都會集中于采取有效的應對措施。但是，請注意：這些明顯的攻擊很有可能是“調(diào)虎離山計”。此時，具備分析事件的能力，獲取充足的數(shù)據(jù)，進而判定攻擊的模式，才是企業(yè)真正需要攻克的難題。

值得關(guān)注的是，攻擊者往往會從企業(yè)內(nèi)部的薄弱點入手。蘋果公司在這方面就曾吃過虧。據(jù)了解，黑客會聰明地挑選那些在蘋果內(nèi)部發(fā)展不得志或者不能長期做事的人，作為切入蘋果內(nèi)部系統(tǒng)的橋梁，“獲得密碼即登入”后，來套取重要信息與數(shù)據(jù)。

所以，對“薄弱點”進行監(jiān)測及保護，并就攻擊者如何操作的情境展開創(chuàng)新性思考，在相對隱秘處添加額外的防范和監(jiān)測工具成為一個重要防線。

像“全民防恐”一樣主動防御

但有時候，攻擊者會想方設(shè)法入侵企業(yè)內(nèi)部最有價值的領(lǐng)域。

再以推出新產(chǎn)品為例。若競爭對手與你司研發(fā)的、擁有知識產(chǎn)權(quán)的產(chǎn)品極其相似，又恰巧在你的產(chǎn)品推出前上市，“這意味著你的知識產(chǎn)權(quán)可能被盜，產(chǎn)品規(guī)劃和周期信息被竊?！比铎骺嫡f。

正因為此，企業(yè)需要了解自身重點領(lǐng)域，哪些會對企業(yè)造成最大危害，哪些對競爭對手具有重要價值，乃是企業(yè)至關(guān)重要的“價值點”。事實上，往往在這些“價值領(lǐng)域”的交叉點，就有可能發(fā)現(xiàn)細微指標變化或者異常跡象的地方。

拿極其重要的數(shù)據(jù)來說，其價值是不可估量的。企業(yè)在信息安全方面，應該做哪些商業(yè)化的投入？從哪些環(huán)節(jié)來保證數(shù)據(jù)的安全性？

對安全極為重視的人士甚至認為，如果企業(yè)沉淀在數(shù)據(jù)上的“核心機密”價值為1億元，那么就有必要花100萬元來保護它。但在現(xiàn)實中，除了高度依賴互聯(lián)網(wǎng)的企業(yè)和金融企業(yè)以外，很多人尚未認識到這一問題的致命性——為了信息安全，非常有必要對自身的核心數(shù)據(jù)進行保護。

安永給企業(yè)的建議是，信息安全防御要像“全民反恐”一樣。包括財務(wù)、市場、營運、研發(fā)、人力資源在內(nèi)的重要部門，都必須高度警惕異常現(xiàn)象，意識到每個職責領(lǐng)域中包含的網(wǎng)絡(luò)業(yè)務(wù)風險，重要的是將信息報告到有關(guān)部門，他們能夠?qū)⑿畔⑵丛谝黄鸢l(fā)現(xiàn)線索。

于是，建立主動防御機制成為必須?！捌髽I(yè)應當建立更為先進的安全管理平臺，并使用網(wǎng)絡(luò)威脅智能感知系統(tǒng)尋找潛在攻擊者、分析和評估威脅，以便在威脅破壞企業(yè)的關(guān)鍵資產(chǎn)之前，迅速將其解除?！崩铑＿M一步說，“主動防御不是替代傳統(tǒng)安全運營，而是對其加以組織和鞏固，使企業(yè)能夠主動管理威脅并采取反制措施。”

如何進行主動防御？根據(jù)安永的調(diào)研報告，需要整合和提高企業(yè)現(xiàn)有的安全能力，以更有效應對攻擊。

第一是智能感知。通過技術(shù)手段，由網(wǎng)絡(luò)威脅智能感知系統(tǒng)實時分析潛在的攻擊者，并且推測到可能會被攻擊企業(yè)內(nèi)部的對象，然后制定一些有預見性的措施。

第二是動態(tài)運營。因為外部的整個環(huán)境生態(tài)安全或者說整個商業(yè)系統(tǒng)是動態(tài)的，企業(yè)本身運營也處于動態(tài)的環(huán)境中，如何以迭代的周期進行持續(xù)的企業(yè)安全能力建設(shè)是企業(yè)必須去做的。

第三是集中響應。對于重大的安全漏洞或者事件進行分析，并且能夠進行響應和建立一個集中化的響應機制，從而進行很多的證據(jù)收集和處理。

毫不夸張地講，信息安全已經(jīng)被列為數(shù)字世界常態(tài)化的戰(zhàn)略管理?；ヂ?lián)網(wǎng)越來越開放、虛擬、交互，也使信息安全的邊界日漸模糊，任何企業(yè)都無法高枕無憂。“所以必須主動建立一套安全防御機制，識別企業(yè)本身的風險偏好是什么，清楚自己的安全防線在哪里，需要保護的對象是什么?！崩铑Ｕf道。