给数字世界加道“安全阀门”
2016-05-14朱丽
朱丽
互联网时代,如果企业不能从根本——内部管理上重视信息安全,那么随互联网裹挟而来的开放与无边界将不仅仅是风险,还可能是灾难!
即使在保密工作做得相当完备的苹果公司,也难逃被黑客攻击的噩运,而且时有发生。
早在此前,经常有黑客或者不明身份的人接近苹果员工,用高达上万美元的报酬或者其他引诱方式让后者提供关于苹果内部的数据信息,比如在iPhone 6发布之前,就有黑客想窃取到相关产品原型的信息甚至苹果未来的产品计划。显然,如果企业内部网络遭到攻击,那么损失的不仅仅是自身的宝贵资源,同时还会让用户的隐私处于巨大危险境地。
不只苹果公司,这已经成为如今数字化的世界中,所有企业都会遇到的信息安全挑战。然而,这种情形之所以发生频密,是因为攻击无处不在,而企业的安全防御能力又极为欠缺或者信息安全意识不足。
安永2016年发布的“缔造可信的数字世界——安永第18届全球信息安全调查报告”显示:超三成的全球受访企业依然无法识别出复杂的网络攻击,从而导致企业的网络脆弱性加剧。
该调查报告建议,企业若想建立更加安全和可持续的网络,就需要戴上网络风险“透视镜”,对所做的一切活动进行审视,识别它们的风险和漏洞,设定风险偏好,作好应对各类事件、及时采取果断行动的准备。
或许10年前,商业行为的信息化、数字化还没有像今天这样深入,因而,企业对信息安全更多的措施是“守”,但往往守不住。今天,随着互联网和大数据的普及与快速渗透,“防”更应成为企业管理的一道“安全阀门”。
安全,是数字世界的最大挑战
数字世界充满了无穷的创新机遇。无论何种行业,企业均可通过开发新市场、新产品,更好地对接用户的消费需求,找到与他们沟通的便捷方式。
然而这一过程中,许多不易察觉的危险常常被忽视,风险被低估。机遇与风险并存,数字世界为网络犯罪分子和有意制造麻烦的人提供了巨大的操作空间,但当企业的信息安全遭到威胁,已经为时太晚。
安永大中华区信息安全咨询服务合伙人阮祺康,对《中外管理》这样描述:在网络领域,有一些专业黑客每天盯着漏洞“做文章”,他们找到某家企业的信息漏洞之后,以要挟或者勒索的方式,让这些漏洞变成交易的筹码从而获利。
此外,还有不少黑客或是犯罪集团会运用勒索软件给企业的文件或者信息加密,影响企业的正常使用,而若要解密,必须向他们支付一笔巨额费用来换取企业的宝贵信息。这些“生意”同几年前相比越来越多,并且形成了黑色产业链,让很多企业吃到了苦头,却又无力屏蔽。
是不是这些企业的信息价值不菲呢?也不一定。正如安永华北区信息安全服务合伙人李睿对《中外管理》所说:“这些黑色产业链往往以经济价值为导向,攻破之后可以更快地拿到黑市上变现。更有甚者,一些更大的威胁也可能是来自于竞争对手所雇佣的黑客,针对同行企业的薄弱环节开展针对性的恶意攻击,以打击对手。”比如手机芯片,半年或者三个月就需迭代一次,假如企业正在研发高价值的芯片产品,那么一旦被攻破,手机上市之前就已经泄露了。
我们能够想象,智能设备与服务给商业世界带来层出不穷的功能与体验,同时生成大量的数据,而随着互联网的开放与协同,企业需要利用互联网将自己的技术接入到各个层面,甚至是客户、供应链体系当中,一旦企业高度依赖互联网的时候,网络攻击的脆弱性加剧,安全堡垒被无声无息地攻破。
安永对千余家企业调研的结果显示,88%的认为企业内部的安全工作不能满足企业的需求。这意味着什么呢?企业的信息安全能力跟不上互联网的快速发展。
如何识别不易察觉的攻击迹象?
较之几年前,网络攻击越来越复杂,而且难以察觉。企业是不是就任由攻击者入侵,束手无策了呢?
“由于网络攻击者技术不停改变、持续性加剧、能力增强,网络威胁性质也发生了变化。”阮祺康说,随着数字化的快速发展,企业之间的互联互通日益加强,我们个人的生活也和移动技术、互联网越来越多地交织在一起。网络攻击者在不断寻找更新更好的攻击方式,如果企业也在寻找解决办法应对目前这个形势的话,并非不可以保卫自己的安全。
尽管一家企业很难去识别一些复杂的网络攻击,但安永方面认为,其实99%的攻击行为是有方法避免的,或者将这个风险降低至最小化。
针对这一点,李睿的观点是:“企业有意识地建立端到端的安全体系和管理机制,加强安全能力和流程建设,并结合信息安全平台和工具,多数的安全风险是可以防御的。”而对于难以预见的风险,最好的解决办法是建立有效的应急机制和应急预案,当发生事件时能够及时有效地处理和解决。
要将被攻击的危害降至最低,关键在于企业对最有价值且风险最高的领域给予高度重视,并采取最强的防范和应对措施。同时建立全方位的“雷达图”——超过临界值时会发出警报,确定临界值要考虑风险偏好以及可能给企业造成最大危害的事件类型。
安永的调研还表明,一些攻击行为是突发且显而易见的,这种情况下,所有的注意力都会集中于采取有效的应对措施。但是,请注意:这些明显的攻击很有可能是“调虎离山计”。此时,具备分析事件的能力,获取充足的数据,进而判定攻击的模式,才是企业真正需要攻克的难题。
值得关注的是,攻击者往往会从企业内部的薄弱点入手。苹果公司在这方面就曾吃过亏。据了解,黑客会聪明地挑选那些在苹果内部发展不得志或者不能长期做事的人,作为切入苹果内部系统的桥梁,“获得密码即登入”后,来套取重要信息与数据。
所以,对“薄弱点”进行监测及保护,并就攻击者如何操作的情境展开创新性思考,在相对隐秘处添加额外的防范和监测工具成为一个重要防线。
像“全民防恐”一样主动防御
但有时候,攻击者会想方设法入侵企业内部最有价值的领域。
再以推出新产品为例。若竞争对手与你司研发的、拥有知识产权的产品极其相似,又恰巧在你的产品推出前上市,“这意味着你的知识产权可能被盗,产品规划和周期信息被窃。”阮祺康说。
正因为此,企业需要了解自身重点领域,哪些会对企业造成最大危害,哪些对竞争对手具有重要价值,乃是企业至关重要的“价值点”。事实上,往往在这些“价值领域”的交叉点,就有可能发现细微指标变化或者异常迹象的地方。
拿极其重要的数据来说,其价值是不可估量的。企业在信息安全方面,应该做哪些商业化的投入?从哪些环节来保证数据的安全性?
对安全极为重视的人士甚至认为,如果企业沉淀在数据上的“核心机密”价值为1亿元,那么就有必要花100万元来保护它。但在现实中,除了高度依赖互联网的企业和金融企业以外,很多人尚未认识到这一问题的致命性——为了信息安全,非常有必要对自身的核心数据进行保护。
安永给企业的建议是,信息安全防御要像“全民反恐”一样。包括财务、市场、营运、研发、人力资源在内的重要部门,都必须高度警惕异常现象,意识到每个职责领域中包含的网络业务风险,重要的是将信息报告到有关部门,他们能够将信息拼在一起发现线索。
于是,建立主动防御机制成为必须。“企业应当建立更为先进的安全管理平台,并使用网络威胁智能感知系统寻找潜在攻击者、分析和评估威胁,以便在威胁破坏企业的关键资产之前,迅速将其解除。”李睿进一步说,“主动防御不是替代传统安全运营,而是对其加以组织和巩固,使企业能够主动管理威胁并采取反制措施。”
如何进行主动防御?根据安永的调研报告,需要整合和提高企业现有的安全能力,以更有效应对攻击。
第一是智能感知。通过技术手段,由网络威胁智能感知系统实时分析潜在的攻击者,并且推测到可能会被攻击企业内部的对象,然后制定一些有预见性的措施。
第二是动态运营。因为外部的整个环境生态安全或者说整个商业系统是动态的,企业本身运营也处于动态的环境中,如何以迭代的周期进行持续的企业安全能力建设是企业必须去做的。
第三是集中响应。对于重大的安全漏洞或者事件进行分析,并且能够进行响应和建立一个集中化的响应机制,从而进行很多的证据收集和处理。
毫不夸张地讲,信息安全已经被列为数字世界常态化的战略管理。互联网越来越开放、虚拟、交互,也使信息安全的边界日渐模糊,任何企业都无法高枕无忧。“所以必须主动建立一套安全防御机制,识别企业本身的风险偏好是什么,清楚自己的安全防线在哪里,需要保护的对象是什么。”李睿说道。