本文來(lái)自微信公眾號(hào)“數(shù)世咨詢”,作者/nana。
“軍用標(biāo)準(zhǔn)”/“軍標(biāo)”(MIL-SPEC)這詞兒聽起來(lái)挺官僚的。但這種要求,即軍方所用設(shè)備——包括螺絲、電子器件、塑料等部件,都必須符合一定標(biāo)準(zhǔn),可以說(shuō)是美國(guó)贏得冷戰(zhàn)的原因所在了。
美國(guó)軍方重質(zhì)量,蘇聯(lián)出于自身“數(shù)量是質(zhì)量關(guān)鍵組成部分”的理論而專注增加數(shù)量。他們認(rèn)為,無(wú)窮無(wú)盡的飛機(jī)坦克能夠贏得任何沖突的勝利;這種想法最后被證明是錯(cuò)誤的。
對(duì)美國(guó)軍方而言,質(zhì)量,以及達(dá)成高質(zhì)量所需的細(xì)節(jié),一直都很重要。F-16戰(zhàn)斗機(jī)的生產(chǎn)制造和維修保養(yǎng)就充分表明了這一點(diǎn)。這種戰(zhàn)斗機(jī)上安裝的一切都必須達(dá)到軍用標(biāo)準(zhǔn),否則該機(jī)型不會(huì)如此聲名在外。軍用標(biāo)準(zhǔn)意味著,連用來(lái)制造電路板的材料或組件都要經(jīng)受直推故障點(diǎn)的測(cè)試,質(zhì)量要求遠(yuǎn)遠(yuǎn)超出其設(shè)計(jì)用途。這包括但不限于冷凍、解凍、加熱、振動(dòng)、墜落、增壓、減壓和電磁脈沖(EMP)輻射。正是這種對(duì)質(zhì)量的重視,讓美國(guó)得以將人送上月球,擁有統(tǒng)治藍(lán)天的戰(zhàn)斗機(jī),以及“好似在水里鉆了個(gè)洞”的潛艇。
專注質(zhì)量也應(yīng)該成為企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)原則,尤其是在預(yù)算有限的情況下。堆數(shù)量沒(méi)用的事實(shí)越來(lái)越明顯:咨詢公司麥肯錫的報(bào)告表明,網(wǎng)絡(luò)安全工具和服務(wù)方面的開支每年增長(zhǎng)12%以上,但數(shù)據(jù)泄露仍在倍增,到2025年時(shí),數(shù)據(jù)泄露每年造成的損失可能達(dá)到10萬(wàn)億美元以上。面對(duì)這種挑戰(zhàn),從組建團(tuán)隊(duì)到測(cè)試產(chǎn)品,再到應(yīng)對(duì)攻擊,每一步都必須重視質(zhì)量。
組建擁有軍事經(jīng)驗(yàn)的團(tuán)隊(duì)
源自黑客國(guó)家隊(duì)攻擊的威脅越來(lái)越大,公司的網(wǎng)絡(luò)團(tuán)隊(duì),無(wú)論內(nèi)部團(tuán)隊(duì)還是外部安全供應(yīng)商,如果能納入擁有政府或軍事部門工作經(jīng)驗(yàn)的人員,那么公司就會(huì)從中受益匪淺。企業(yè)逐漸意識(shí)到,俄羅斯和朝鮮等國(guó)家支持的黑客攻擊是種日趨嚴(yán)重的威脅;42%的受訪企業(yè)稱其感受到了國(guó)家支持攻擊的風(fēng)險(xiǎn),半數(shù)受訪企業(yè)表示自己成為了此類攻擊的目標(biāo)。但調(diào)查發(fā)現(xiàn),企業(yè)基本不具備預(yù)防和緩解此類復(fù)雜攻擊所需的資源。
擁有軍隊(duì)或政府工作背景的專業(yè)人員在發(fā)現(xiàn)和評(píng)估黑客國(guó)家隊(duì)威脅方面尤具價(jià)值。除了更熟悉此類威脅的技術(shù)特征,出身軍方或政府的專業(yè)人員還可以帶來(lái)對(duì)不斷變化的地緣政治格局的寶貴見解——評(píng)估黑客國(guó)家隊(duì)的潛在威脅時(shí)必須考慮到地緣政治因素。因?yàn)閾碛熊姺交蛘尘埃@些專業(yè)人員也充分了解流程和溝通的重要性。這可是公司網(wǎng)絡(luò)安全狀況好壞的兩個(gè)決定因素。
測(cè)試、測(cè)試,還是測(cè)試
正如F-16戰(zhàn)斗機(jī)的每個(gè)部件都需要經(jīng)受最嚴(yán)苛場(chǎng)景的考驗(yàn),公司的網(wǎng)絡(luò)安全防護(hù)也一樣。聘請(qǐng)專業(yè)紅隊(duì)或道德黑客模擬滲透并控制公司IT系統(tǒng),是檢查防御工具及策略質(zhì)量的最佳方法之一。實(shí)際測(cè)試是確定哪些工具和策略有效而哪些需要變更或改進(jìn)的唯一方法。
類似美國(guó)空軍進(jìn)行的聯(lián)合演習(xí)和戰(zhàn)備檢查,此類網(wǎng)絡(luò)安全測(cè)試也應(yīng)該定期進(jìn)行。重大事件,比如出現(xiàn)新的重大威脅或滲透時(shí),也應(yīng)觸發(fā)廣泛的測(cè)試。聘請(qǐng)紅隊(duì)的一個(gè)關(guān)鍵部分是確保溝通良好,以便雇主公司能夠收到完整的報(bào)告,其中包含測(cè)試完成了哪些項(xiàng)目、結(jié)果如何,以及關(guān)于緩解漏洞的建議。這些技術(shù)方面的內(nèi)容還需要轉(zhuǎn)化成非技術(shù)企業(yè)領(lǐng)導(dǎo)能夠理解的語(yǔ)言和概念,比如網(wǎng)絡(luò)漏洞對(duì)公司盈虧、增長(zhǎng)潛力和總體風(fēng)險(xiǎn)有何影響。如此,公司決策者才能知曉風(fēng)險(xiǎn)最大處在哪里,哪些地方需要加強(qiáng)投資,從而提高自身網(wǎng)絡(luò)態(tài)勢(shì)的真實(shí)品質(zhì)。
別低估桌面推演
像發(fā)生真實(shí)攻擊那樣搞演習(xí)可以測(cè)試公司響應(yīng)和緩解能力的質(zhì)量,遠(yuǎn)遠(yuǎn)超出技術(shù)層面。這一點(diǎn)越來(lái)越重要,因?yàn)榫W(wǎng)絡(luò)攻擊不再是單純的技術(shù)事件;攻擊和數(shù)據(jù)泄露會(huì)導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷,引發(fā)法律和公共關(guān)系方面的各種挑戰(zhàn)。
現(xiàn)實(shí)情況是,即便擁有高質(zhì)量的防御,大多數(shù)企業(yè)也會(huì)在某個(gè)時(shí)候淪為某種攻擊或數(shù)據(jù)泄露的受害者。但如果公司內(nèi)部各方都了解響應(yīng)流程、知曉自身職責(zé),并且溝通良好,就能減輕或清除攻擊所造成的損失或破壞。企業(yè)需要知道如何以盡可能好的方式處理無(wú)法避免的事情。
只要采取了以上措施,公司對(duì)抗黑客時(shí)的贏面就會(huì)更大。網(wǎng)絡(luò)罪犯往往擁有無(wú)限時(shí)間和諸多工具,就跟當(dāng)年的蘇聯(lián)似的。企業(yè)必須確保自己的工具和流程具備高質(zhì)量且能在戰(zhàn)斗中證明自己,從而應(yīng)對(duì)網(wǎng)絡(luò)罪犯層出不窮的各種攻擊。