埃森哲

隨著網(wǎng)絡應用的廣泛普及，信息安全問題日益嚴峻，信息泄密事件更是令許多企業(yè)和組織損失慘重。

合氣道創(chuàng)始人植芝盛平曾說過，“當對手攻上前，要順勢引之；當對手想退后，要送其上路”。合氣道高手對敵時，不會直接硬碰硬，而是順勢借力引對方到其他方向。當今，企業(yè)和組織在面臨日益復雜的網(wǎng)絡安全威脅時，應對之道是什么？企業(yè)不妨借鑒合氣道大師的智慧，采取一種積極主動的防御模式。

隨著網(wǎng)絡應用的廣泛普及，信息安全問題日益嚴峻，信息泄密事件更是令許多企業(yè)和組織損失慘重。索尼（Sony）、塔吉特（Target）、摩根大通銀行、Anthem等公司在這方面都有過慘痛的教訓。

在傳統(tǒng)網(wǎng)絡安全防御模式下，許多企業(yè)即使投入了大量精力和資源，面對網(wǎng)絡攻擊時還是防不勝防。

如今，一種全新的安全策略可幫助企業(yè)應對諸多挑戰(zhàn)：滿足全球性員工隊伍的多變需求、實現(xiàn)主動防護、發(fā)現(xiàn)潛在威脅和攻擊路徑。

這種新策略能夠與企業(yè)的云服務集群、供應商、身份識別標準和接入管理技術迅速整合在一起，并有效契合當前已實施的信息安全基本原則。

這種主動性網(wǎng)絡安全模式從自身業(yè)務目標出發(fā)，在本質上有別于以控制為核心的傳統(tǒng)防御模式。

主動安全模式需先掃清五大障礙

要成功部署這一防御策略，企業(yè)首先需要掃清五大障礙。

障礙一：業(yè)務和安全工作脫節(jié)。當今世界，以移動互聯(lián)網(wǎng)、大數(shù)據(jù)、物聯(lián)網(wǎng)、云計算為代表的數(shù)字技術正在徹底顛覆企業(yè)的業(yè)務模式。而為業(yè)務保駕護航理應是所有信息安全方案的首要目標，但許多企業(yè)并未將其化為一種核心競爭力。

企業(yè)應當將安全方案、整體業(yè)務目標及當前要務三者緊密聯(lián)系起來，積極與業(yè)務利益相關方展開信息安全對話，確定方針路線。

為確保安全方案與自身商業(yè)目標配套，企業(yè)要深入了解技術領域（數(shù)字技術在企業(yè)內部的部署方式）及其業(yè)務的相關性（防御方案如何支持業(yè)務戰(zhàn)略目標）。

企業(yè)CIO們應該搞清楚所提供的安全防護對客戶滿意度、忠誠度及業(yè)務收入的影響。只有把安全戰(zhàn)略跟業(yè)務績效指標掛鉤，企業(yè)才能真正在業(yè)務和安全之間建立起緊密的聯(lián)系。

障礙二：受困于舊有合規(guī)思維模式。當公司數(shù)字化防線曝出新漏洞時，許多管理者都百思不得其解：企業(yè)明明已經(jīng)嚴格遵守了業(yè)內網(wǎng)絡安全規(guī)定，為何還會屢屢出現(xiàn)漏洞？

實際上，合規(guī)并不能確保安全。企業(yè)應該將合規(guī)要求視為網(wǎng)絡安全的最低標準。只關注管控或審計要求的安全方案必將失敗，因為它們忽視了兩大關鍵因素—企業(yè)業(yè)務本身以及當前的安全威脅究竟屬于何種性質。

合規(guī)離安全仍然有很大的距離，過于依賴控制型方案（mandated program）的防御能力讓許多企業(yè)蒙受重大損失（參見圖1）。合規(guī)方案常常依據(jù)審計要求，采取“一刀切”的方法，重點強調如何去落實監(jiān)管要求，審計人員往往按季或逐年評估企業(yè)的合規(guī)情況，但新的威脅每天甚至每小時都在出現(xiàn)。

而在新的信息安全方案下，企業(yè)不再以審出問題的多少來衡量安全防護成功與否，而是看實際的損失和對業(yè)務的影響。

此外，審計發(fā)現(xiàn)的問題并非真的是風險，只是預示或可能引發(fā)風險。合理落實安全措施的企業(yè)更有可能實現(xiàn)高度合規(guī)，明確風險承受能力。

障礙三：業(yè)務管理不善。云計算、移動技術和社交網(wǎng)絡解決方案是許多重要業(yè)務系統(tǒng)的基石。這些數(shù)字技術創(chuàng)造了一些新的業(yè)務模式，如標準化的按需付費服務。很多企業(yè)在適應這種轉變的同時，未能及時建立合適的安全框架、政策和管控措施，無法為不斷變化的信息技術環(huán)境提供有效的安全防護。

不僅如此，業(yè)務部門如今期望能夠隨時隨地訪問系統(tǒng)和應用，并且允許員工除了使用企業(yè)配備的辦公設備外，還可以使用個人智能手機和平板電腦。

因此，IT安全團隊不得不面對錯綜復雜的管理局面—需要保護更多的接入點和外部托管服務，而這些接入點和外部托管服務并非完全歸企業(yè)所有。

在許多組織中，延伸性企業(yè)（extended enterprise）典型性日常工作包括：實時調用多臺服務器，支持云端CRM系統(tǒng)測試；幫助現(xiàn)場工作人員通過移動端接入新功能；建立促進銷售、產(chǎn)品和營銷協(xié)作的業(yè)務社交網(wǎng)絡。

這些工作是業(yè)務部門不斷探索、創(chuàng)新的結果，安全高管應當特別注意避免因缺乏治理和充分的數(shù)據(jù)保護而暴露出安全漏洞。

障礙四：忽視持久存在的威脅。網(wǎng)絡安全威脅往往有特定的意圖和目標，任何組織都無法完全幸免。

現(xiàn)在，許多精密設計的攻擊都是由多方配合，以盈利、出名、市場優(yōu)勢和知識產(chǎn)權為目標的，并且這種趨勢愈演愈烈。令人頭疼的是，這種威脅往往很難識別。

此外，網(wǎng)絡的攻擊者可能是政府機構、激進組織和普通黑客，它們動機不同、目標各異。它們瞄準的可能是技術系統(tǒng)，也可能是企業(yè)員工—讓員工在知情或不知情的情況下淪為內部幫兇。

鑒于攻擊者愈加精明，企業(yè)很少在自己熟知的、防衛(wèi)森嚴的正門遭受攻擊，而防御稍顯薄弱的企業(yè)供應商，成為攻擊開始和擴散的最佳切入點。

為了進一步強化自身防御，企業(yè)需要采用動態(tài)化手段，包括情報、數(shù)據(jù)分析和響應措施，有效應對花樣翻新的攻擊手段。正如合氣道大師植芝盛平對弟子的教誨：“最佳戰(zhàn)略有賴于智慧應對?！?/p>

障礙五：安全服務供需失衡。根據(jù)最新研究，多數(shù)企業(yè)都缺乏足夠的安全人才，難以滿足當前的安全防御需求。就吸引并保留關鍵安全技術人才而言，各類企業(yè)也面臨諸多挑戰(zhàn)，如缺乏恰當、適量的資源組合，難以實施安全方案；存在技能缺口；員工士氣消沉和專業(yè)人才流失等。

企業(yè)構建積極主動的網(wǎng)絡安全模式，安全團隊需要加強自身適應性，緊跟不斷發(fā)展的業(yè)務目標。企業(yè)必須將眾多差別顯著且分屬于不同實體的要素納入到統(tǒng)一框架內，以此抵御安全威脅。如圖2所示，在這個以抵御威脅為工作重心的整體化安全方案中，各個組成部分可以相互支撐，協(xié)同發(fā)揮作用。

其中，核心業(yè)務資產(chǎn)位于中心，由強有力的企業(yè)安全管控機制保護。位于其上的是針對延伸性企業(yè)的防御措施，主要支持云技術、移動技術和社交網(wǎng)絡的應用。高級數(shù)據(jù)分析技術與網(wǎng)絡威脅情報的結合有助企業(yè)更積極、快速地行動。

同時，企業(yè)應當制定清晰的安全指標，以便通過量化方式評測對業(yè)務成果的影響。安全和業(yè)務管理者已認識到，需要借助新的治理戰(zhàn)略、技術伙伴、技能和綜合架構，轉變自身運營模式。雖然許多企業(yè)已對分散在這些領域內的工具和技術進行了配置，但是還要將這些要素加以整合，才能充分實現(xiàn)可預見的價值。

五大舉措構建智能安全防護

在抵御網(wǎng)絡攻擊時，企業(yè)應像合氣道大師那樣，主動防御，有準備地迎擊和化解安全攻擊。具體而言，企業(yè)可以采取以下五大舉措，通過分析型安全防御手段，識別、預測安全威脅。

舉措一：評估安全方案實際效能。企業(yè)制定以業(yè)務為中心的網(wǎng)絡安全戰(zhàn)略前，需要先確定當前狀態(tài)及轉型所需資源。通過評估安全方案的成熟度，建立明確的戰(zhàn)略和路線圖（參見圖3）。

通過評估，企業(yè)能夠得出安全運營、技術和基礎流程的成熟度。成熟度一般依次分三個階段。

第一，了解面臨的威脅。處于該階段的企業(yè)應建立流程，明確資產(chǎn)的重要等級，推動安全技能的合理化；進而積極管理薄弱環(huán)節(jié)、監(jiān)控威脅情報。

第二，了解企業(yè)的安全形勢、防御措施以及存在的差距。

第三，偵測與響應。如果已達到最完善的網(wǎng)絡安全成熟階段，這些組織將像合氣道大師那樣，設法改變敵人的攻擊方向，并盡可能地借力還擊。

舉措二：與企業(yè)現(xiàn)有架構實現(xiàn)整合管理。領先企業(yè)已建立了端到端的業(yè)務安全方案，并將其納入現(xiàn)有業(yè)務架構流程中，由此降低了復雜性，并創(chuàng)造出業(yè)務部門認可的成果。在實際工作中，達成這一目標需要建立全新的安全認識，了解怎樣將安全工作與IT和自身業(yè)務進行整合，使三者協(xié)調發(fā)展，從而有效創(chuàng)建一種新的安全運營模式。

通過一系列職責、流程、指標和管制政策的合理搭配，安全運營模式可在各組織職能中得到貫徹和落實。

最終，該模式將與企業(yè)的整體架構、技術和流程實現(xiàn)整合。例如，某跨國金融服務機構已將原有的被動應對型安全職能部門，改造為十分有效的全球化組織，主動保護信息資產(chǎn)。

通過同時關注業(yè)務和安全，新的安全組織發(fā)起了一系列優(yōu)先項目，成功打造出諸多至關重要的安全技能，包括：移動及遠程身份和訪問管理；基礎設施和應用軟件安全；數(shù)據(jù)保護。

此外，依托基礎整合方法、預先集成技術和行業(yè)領先服務，企業(yè)還能夠迅速部署大量的核心服務業(yè)務。而快速部署無疑有助于降低風險，實現(xiàn)業(yè)務效益。

舉措三：提高敏捷性。領軍企業(yè)正在積極利用云計算技術提高IT工作的敏捷性，更快地與消費者建立聯(lián)系。他們允許員工使用個人移動設備訪問敏感的內部數(shù)據(jù)和社交網(wǎng)絡，以此銷售產(chǎn)品、了解客戶行為趨勢。這些機構不斷提升效率和降低成本，同時確保風險在可控范圍。

隨著業(yè)務的不斷拓展，領先組織還通過盡職調查、主動治理、標準化和利用第三方安全解決方案，持續(xù)打造與之相匹配的安全體系，由此獲取更多洞見、擴大管控范圍，免除業(yè)務人員的后顧之憂。

當前，企業(yè)紛紛將服務化產(chǎn)品打造為核心業(yè)務，而高管人員也在為此建立一套安全和技術治理手段，妥善管理復雜性，把風險控制在可接受范圍內。他們將接入管理、數(shù)據(jù)加密、標記化、數(shù)據(jù)防泄露等技術加以整合，主動改進敏感型業(yè)務數(shù)據(jù)和客戶數(shù)據(jù)的處理與儲存方法。

此外，領先企業(yè)還會建立一種“安全即服務”的方法，借助云安全服務滿足業(yè)務需要，同時達到監(jiān)管、隱私保護和安全等方面的要求。

依托云技術、移動技術和社交網(wǎng)絡的綜合安全防護能力，領軍企業(yè)能夠保持現(xiàn)有的安全水平，甚至達到更高等級。企業(yè)可采取三項關鍵舉措，使該方法發(fā)揮切實功效：第一，針對延伸性企業(yè)的云端業(yè)務，實行不間斷的技術管控；第二，訂立安全服務協(xié)議，化解第三方服務供應商風險；第三，與云技術、移動技術和社交網(wǎng)絡提供商共擔責任，提高安全工作的敏捷性。

最為關鍵的是，針對延伸性企業(yè)，領先企業(yè)紛紛采用了同時聚焦數(shù)據(jù)與威脅的安全工作模式。該模式有助于識別和定位敏感數(shù)據(jù)、了解數(shù)據(jù)的使用方式、跟蹤數(shù)據(jù)走向，并最終決定何時、以何種方式展開最有效的管控行動。

舉措四：加快實現(xiàn)安全智能化。有些企業(yè)采取積極的防御策略，不但增加了對手的攻擊難度，還可以靈活、巧妙地予以反擊，從而達到事半功倍的效果。

領軍企業(yè)通常都會利用高級數(shù)據(jù)分析技術來實現(xiàn)“情境感知”：其安全運營團隊可以恰當選用監(jiān)測和偵測工具，創(chuàng)建警報流。高效的團隊能夠圍繞這些警報培養(yǎng)深入情境的感知能力，幫助判定事件的緊急程度并改善應對效果。

某全球性能源企業(yè)通過多種方式展示了自身的主動防御策略。首先，它調動業(yè)務部門普遍使用的工具，將其與多種威脅情報獲取方式和新的安全事件數(shù)據(jù)來源組合在一起。

此外，主動型防御還幫助該企業(yè)運用高級分析技術來掌握精準的網(wǎng)絡安全情報，借此統(tǒng)一協(xié)調應對舉措。

采取積極的防御策略有助于企業(yè)將關注重點從監(jiān)測結果轉向了解問題，以及快速而巧妙地應對迫在眉睫的威脅。

不僅如此，該策略還可以幫助領導者更好地預測、預防延伸性企業(yè)內部出現(xiàn)的威脅或安全事件，并快速做出響應。通過將高價值數(shù)據(jù)集和傳統(tǒng)的企業(yè)安全數(shù)據(jù)相結合，企業(yè)能夠更加深入地了解安全警報背后的整體情況。

舉措五：實現(xiàn)端到端安全交付；建立靈活外包策略。高效的安全組織會為其每一項安全服務制定交付和運作策略。

為此，他們需要確定哪些端到端安全服務應當部署在組織內部，而哪些應外包給服務提供商。故而在設計、構建和部署網(wǎng)絡安全方案的各項要素之前，領軍企業(yè)首先會對內部能力進行仔細評估。

在最初將安全工作向業(yè)務方向靠攏時，領導者應根據(jù)整體風險承受能力、業(yè)務模式和商業(yè)戰(zhàn)略，做出正確的能力獲取決策。他們還要認識到，自身的安全及業(yè)務成果將依賴于企業(yè)能否選擇恰當?shù)暮献骰锇椋⒔柚浼寄芎徒鉀Q方案來不斷完善自身。

領軍企業(yè)可以通過將安全工作外包的方式，降低成本及復雜性，從而集中精力構建主動防御系統(tǒng)，提供前瞻性安全能力并為業(yè)務部門提供支持。

通過全天候監(jiān)視并持續(xù)識別潛在威脅與安全狀況，領軍企業(yè)獲益良多。他們建立了核心安全支持團隊，能夠確保落實預先確定的安全與風險策略，并且可以快速進行擴張或收縮以滿足業(yè)務需求。

企業(yè)如能找到出色的合作伙伴，便可準確了解當前的安全績效，采取舉措管理復雜性，并通過端到端的安全方案整合內部組織，從而為迎接未來的挑戰(zhàn)做好準備。這將使領軍企業(yè)變得更加敏捷，能夠針對威脅迅速作出改變，同時建立卓越的端到端安全交付能力。

在全球范圍，各行各業(yè)的安全服務領軍企業(yè)在提高防御能力的同時，也面臨一些巨大挑戰(zhàn)：業(yè)務邊界不斷擴展且日益模糊；僅滿足合規(guī)要求已無法有效解決安全問題；員工流動性不斷升高；新一代具有行業(yè)針對性的攻擊者正在崛起；業(yè)務需求和安全目標之間存在顯著差距；以及對網(wǎng)絡安全人才的持續(xù)爭奪。企業(yè)應對上述挑戰(zhàn)的過程將有效提升企業(yè)網(wǎng)絡安全能力。

企業(yè)首先需要評估當前的形勢，并采用與業(yè)務目標相一致的安全策略。接下來，企業(yè)必須留住人才，借助他們的相關經(jīng)驗，促進業(yè)務發(fā)展。

在一系列集成安全解決方案的支持下，企業(yè)能夠以模塊化的方式，根據(jù)具體的威脅領域，逐步建立企業(yè)端到端的安全交付能力。這些新技能可幫助企業(yè)將安全建設從靜態(tài)轉變?yōu)閯討B(tài)。

此外，通過多樣化的技術手段，還能夠干擾和阻止各類攻擊。作為網(wǎng)絡安全新常態(tài)的一部分，主動防御將發(fā)揮重要作用。為了有效協(xié)調實施主動防御策略，企業(yè)需要借助一種治理模型來支持業(yè)務規(guī)則、生命周期和機遇。

目前，由于無力將技術資產(chǎn)與企業(yè)運營結合起來，因此擁有此類安全管理先進技能和技術的企業(yè)仍寥寥無幾。我們認為，安全組織應當通過已收集和分析的數(shù)據(jù)獲取更多價值。通過建立數(shù)據(jù)管理、安全和分析等一系列核心能力，安全組織可以有效建立并拓展安全管理方案，從而支持延伸性企業(yè)的發(fā)展。

企業(yè)在大力發(fā)展數(shù)字化新業(yè)務同時，如何破解網(wǎng)絡安全威脅顯得尤為緊迫。萬法歸一。企業(yè)不妨借鑒合氣道大師的戰(zhàn)法，主動出擊，建立全新的智能安全管理方案，實現(xiàn)主動數(shù)據(jù)防護，及時發(fā)現(xiàn)潛在威脅，將安全隱患消滅于萌芽之中。