信息化觀察網(wǎng)

本文來自微信公眾號(hào)“數(shù)世咨詢”，作者/nana。

“軍用標(biāo)準(zhǔn)”/“軍標(biāo)”（MIL-SPEC）這詞兒聽起來挺官僚的。但這種要求，即軍方所用設(shè)備——包括螺絲、電子器件、塑料等部件，都必須符合一定標(biāo)準(zhǔn)，可以說是美國贏得冷戰(zhàn)的原因所在了。

美國軍方重質(zhì)量，蘇聯(lián)出于自身“數(shù)量是質(zhì)量關(guān)鍵組成部分”的理論而專注增加數(shù)量。他們認(rèn)為，無窮無盡的飛機(jī)坦克能夠贏得任何沖突的勝利；這種想法最后被證明是錯(cuò)誤的。

對(duì)美國軍方而言，質(zhì)量，以及達(dá)成高質(zhì)量所需的細(xì)節(jié)，一直都很重要。F-16戰(zhàn)斗機(jī)的生產(chǎn)制造和維修保養(yǎng)就充分表明了這一點(diǎn)。這種戰(zhàn)斗機(jī)上安裝的一切都必須達(dá)到軍用標(biāo)準(zhǔn)，否則該機(jī)型不會(huì)如此聲名在外。軍用標(biāo)準(zhǔn)意味著，連用來制造電路板的材料或組件都要經(jīng)受直推故障點(diǎn)的測試，質(zhì)量要求遠(yuǎn)遠(yuǎn)超出其設(shè)計(jì)用途。這包括但不限于冷凍、解凍、加熱、振動(dòng)、墜落、增壓、減壓和電磁脈沖（EMP）輻射。正是這種對(duì)質(zhì)量的重視，讓美國得以將人送上月球，擁有統(tǒng)治藍(lán)天的戰(zhàn)斗機(jī)，以及“好似在水里鉆了個(gè)洞”的潛艇。

專注質(zhì)量也應(yīng)該成為企業(yè)網(wǎng)絡(luò)安全的指導(dǎo)原則，尤其是在預(yù)算有限的情況下。堆數(shù)量沒用的事實(shí)越來越明顯：咨詢公司麥肯錫的報(bào)告表明，網(wǎng)絡(luò)安全工具和服務(wù)方面的開支每年增長12%以上，但數(shù)據(jù)泄露仍在倍增，到2025年時(shí)，數(shù)據(jù)泄露每年造成的損失可能達(dá)到10萬億美元以上。面對(duì)這種挑戰(zhàn)，從組建團(tuán)隊(duì)到測試產(chǎn)品，再到應(yīng)對(duì)攻擊，每一步都必須重視質(zhì)量。

組建擁有軍事經(jīng)驗(yàn)的團(tuán)隊(duì)

源自黑客國家隊(duì)攻擊的威脅越來越大，公司的網(wǎng)絡(luò)團(tuán)隊(duì)，無論內(nèi)部團(tuán)隊(duì)還是外部安全供應(yīng)商，如果能納入擁有政府或軍事部門工作經(jīng)驗(yàn)的人員，那么公司就會(huì)從中受益匪淺。企業(yè)逐漸意識(shí)到，俄羅斯和朝鮮等國家支持的黑客攻擊是種日趨嚴(yán)重的威脅；42%的受訪企業(yè)稱其感受到了國家支持攻擊的風(fēng)險(xiǎn)，半數(shù)受訪企業(yè)表示自己成為了此類攻擊的目標(biāo)。但調(diào)查發(fā)現(xiàn)，企業(yè)基本不具備預(yù)防和緩解此類復(fù)雜攻擊所需的資源。

擁有軍隊(duì)或政府工作背景的專業(yè)人員在發(fā)現(xiàn)和評(píng)估黑客國家隊(duì)威脅方面尤具價(jià)值。除了更熟悉此類威脅的技術(shù)特征，出身軍方或政府的專業(yè)人員還可以帶來對(duì)不斷變化的地緣政治格局的寶貴見解——評(píng)估黑客國家隊(duì)的潛在威脅時(shí)必須考慮到地緣政治因素。因?yàn)閾碛熊姺交蛘尘?，這些專業(yè)人員也充分了解流程和溝通的重要性。這可是公司網(wǎng)絡(luò)安全狀況好壞的兩個(gè)決定因素。

測試、測試，還是測試

正如F-16戰(zhàn)斗機(jī)的每個(gè)部件都需要經(jīng)受最嚴(yán)苛場景的考驗(yàn)，公司的網(wǎng)絡(luò)安全防護(hù)也一樣。聘請(qǐng)專業(yè)紅隊(duì)或道德黑客模擬滲透并控制公司IT系統(tǒng)，是檢查防御工具及策略質(zhì)量的最佳方法之一。實(shí)際測試是確定哪些工具和策略有效而哪些需要變更或改進(jìn)的唯一方法。

類似美國空軍進(jìn)行的聯(lián)合演習(xí)和戰(zhàn)備檢查，此類網(wǎng)絡(luò)安全測試也應(yīng)該定期進(jìn)行。重大事件，比如出現(xiàn)新的重大威脅或滲透時(shí)，也應(yīng)觸發(fā)廣泛的測試。聘請(qǐng)紅隊(duì)的一個(gè)關(guān)鍵部分是確保溝通良好，以便雇主公司能夠收到完整的報(bào)告，其中包含測試完成了哪些項(xiàng)目、結(jié)果如何，以及關(guān)于緩解漏洞的建議。這些技術(shù)方面的內(nèi)容還需要轉(zhuǎn)化成非技術(shù)企業(yè)領(lǐng)導(dǎo)能夠理解的語言和概念，比如網(wǎng)絡(luò)漏洞對(duì)公司盈虧、增長潛力和總體風(fēng)險(xiǎn)有何影響。如此，公司決策者才能知曉風(fēng)險(xiǎn)最大處在哪里，哪些地方需要加強(qiáng)投資，從而提高自身網(wǎng)絡(luò)態(tài)勢的真實(shí)品質(zhì)。

別低估桌面推演

像發(fā)生真實(shí)攻擊那樣搞演習(xí)可以測試公司響應(yīng)和緩解能力的質(zhì)量，遠(yuǎn)遠(yuǎn)超出技術(shù)層面。這一點(diǎn)越來越重要，因?yàn)榫W(wǎng)絡(luò)攻擊不再是單純的技術(shù)事件；攻擊和數(shù)據(jù)泄露會(huì)導(dǎo)致嚴(yán)重的業(yè)務(wù)中斷，引發(fā)法律和公共關(guān)系方面的各種挑戰(zhàn)。

現(xiàn)實(shí)情況是，即便擁有高質(zhì)量的防御，大多數(shù)企業(yè)也會(huì)在某個(gè)時(shí)候淪為某種攻擊或數(shù)據(jù)泄露的受害者。但如果公司內(nèi)部各方都了解響應(yīng)流程、知曉自身職責(zé)，并且溝通良好，就能減輕或清除攻擊所造成的損失或破壞。企業(yè)需要知道如何以盡可能好的方式處理無法避免的事情。

只要采取了以上措施，公司對(duì)抗黑客時(shí)的贏面就會(huì)更大。網(wǎng)絡(luò)罪犯往往擁有無限時(shí)間和諸多工具，就跟當(dāng)年的蘇聯(lián)似的。企業(yè)必須確保自己的工具和流程具備高質(zhì)量且能在戰(zhàn)斗中證明自己，從而應(yīng)對(duì)網(wǎng)絡(luò)罪犯層出不窮的各種攻擊。