本文来自微信公众号“数世咨询”,作者/nana。
“军用标准”/“军标”(MIL-SPEC)这词儿听起来挺官僚的。但这种要求,即军方所用设备——包括螺丝、电子器件、塑料等部件,都必须符合一定标准,可以说是美国赢得冷战的原因所在了。
美国军方重质量,苏联出于自身“数量是质量关键组成部分”的理论而专注增加数量。他们认为,无穷无尽的飞机坦克能够赢得任何冲突的胜利;这种想法最后被证明是错误的。
对美国军方而言,质量,以及达成高质量所需的细节,一直都很重要。F-16战斗机的生产制造和维修保养就充分表明了这一点。这种战斗机上安装的一切都必须达到军用标准,否则该机型不会如此声名在外。军用标准意味着,连用来制造电路板的材料或组件都要经受直推故障点的测试,质量要求远远超出其设计用途。这包括但不限于冷冻、解冻、加热、振动、坠落、增压、减压和电磁脉冲(EMP)辐射。正是这种对质量的重视,让美国得以将人送上月球,拥有统治蓝天的战斗机,以及“好似在水里钻了个洞”的潜艇。
专注质量也应该成为企业网络安全的指导原则,尤其是在预算有限的情况下。堆数量没用的事实越来越明显:咨询公司麦肯锡的报告表明,网络安全工具和服务方面的开支每年增长12%以上,但数据泄露仍在倍增,到2025年时,数据泄露每年造成的损失可能达到10万亿美元以上。面对这种挑战,从组建团队到测试产品,再到应对攻击,每一步都必须重视质量。
组建拥有军事经验的团队
源自黑客国家队攻击的威胁越来越大,公司的网络团队,无论内部团队还是外部安全供应商,如果能纳入拥有政府或军事部门工作经验的人员,那么公司就会从中受益匪浅。企业逐渐意识到,俄罗斯和朝鲜等国家支持的黑客攻击是种日趋严重的威胁;42%的受访企业称其感受到了国家支持攻击的风险,半数受访企业表示自己成为了此类攻击的目标。但调查发现,企业基本不具备预防和缓解此类复杂攻击所需的资源。
拥有军队或政府工作背景的专业人员在发现和评估黑客国家队威胁方面尤具价值。除了更熟悉此类威胁的技术特征,出身军方或政府的专业人员还可以带来对不断变化的地缘政治格局的宝贵见解——评估黑客国家队的潜在威胁时必须考虑到地缘政治因素。因为拥有军方或政府背景,这些专业人员也充分了解流程和沟通的重要性。这可是公司网络安全状况好坏的两个决定因素。
测试、测试,还是测试
正如F-16战斗机的每个部件都需要经受最严苛场景的考验,公司的网络安全防护也一样。聘请专业红队或道德黑客模拟渗透并控制公司IT系统,是检查防御工具及策略质量的最佳方法之一。实际测试是确定哪些工具和策略有效而哪些需要变更或改进的唯一方法。
类似美国空军进行的联合演习和战备检查,此类网络安全测试也应该定期进行。重大事件,比如出现新的重大威胁或渗透时,也应触发广泛的测试。聘请红队的一个关键部分是确保沟通良好,以便雇主公司能够收到完整的报告,其中包含测试完成了哪些项目、结果如何,以及关于缓解漏洞的建议。这些技术方面的内容还需要转化成非技术企业领导能够理解的语言和概念,比如网络漏洞对公司盈亏、增长潜力和总体风险有何影响。如此,公司决策者才能知晓风险最大处在哪里,哪些地方需要加强投资,从而提高自身网络态势的真实品质。
别低估桌面推演
像发生真实攻击那样搞演习可以测试公司响应和缓解能力的质量,远远超出技术层面。这一点越来越重要,因为网络攻击不再是单纯的技术事件;攻击和数据泄露会导致严重的业务中断,引发法律和公共关系方面的各种挑战。
现实情况是,即便拥有高质量的防御,大多数企业也会在某个时候沦为某种攻击或数据泄露的受害者。但如果公司内部各方都了解响应流程、知晓自身职责,并且沟通良好,就能减轻或清除攻击所造成的损失或破坏。企业需要知道如何以尽可能好的方式处理无法避免的事情。
只要采取了以上措施,公司对抗黑客时的赢面就会更大。网络罪犯往往拥有无限时间和诸多工具,就跟当年的苏联似的。企业必须确保自己的工具和流程具备高质量且能在战斗中证明自己,从而应对网络罪犯层出不穷的各种攻击。