網(wǎng)絡(luò)攻擊已經(jīng)成為對(duì)美國(guó)商業(yè)的持續(xù)威脅。用黑客的方式回?fù)裟芙鉀Q問(wèn)題嗎?
圖片來(lái)源:Photo-Illustration by Tres Commas; Original Photographs, Shield: Gabe Ginsberg—Getty Images; arrows: Getty images
參加任何有關(guān)于網(wǎng)絡(luò)安全的非正式會(huì)談,你都會(huì)聽(tīng)到這樣一句話:“世界上有兩種類型的公司:被黑客攻擊過(guò)的公司,和那些不知道曾經(jīng)被黑客攻擊過(guò)的公司。”
這句引發(fā)上千條妙語(yǔ)的話出自于德米特里·艾爾帕洛維蒂奇,他是一位出生于莫斯科的企業(yè)家,也是世界最前沿的黑客偵探之一。2011年,作為反病毒先驅(qū)麥克菲的首席威脅研究員,他在調(diào)查時(shí)發(fā)明了這句話——公眾對(duì)此很感興趣——調(diào)查對(duì)象是五年內(nèi)發(fā)起的對(duì)超過(guò)70個(gè)組織的網(wǎng)絡(luò)攻擊,包括國(guó)防承包商、科技公司和聯(lián)合國(guó)。
現(xiàn)在這句無(wú)可奈何的話該升級(jí)一下了。“我已經(jīng)修改了我的話。”艾爾帕洛維蒂奇告訴《財(cái)富》雜志,“前兩種公司仍然存在,但現(xiàn)在有第三類公司,他們能夠成功地防御黑客入侵。”好吧,還有希望!
你盡可以把他修改后的話,當(dāng)作一種純熟的銷售技巧。作為網(wǎng)絡(luò)安全公司CrowdStrike的聯(lián)合創(chuàng)始人和首席科技官,這家公司在今年6月上市時(shí)的股價(jià)大漲讓投資者側(cè)目,艾爾帕洛維蒂奇確實(shí)有理由得意一下。
但實(shí)際上艾爾帕洛維蒂奇修改這句話,是意有所指的。在布什和克林頓政府任職的前白宮安全顧問(wèn)理查德·克拉克,同意這句新的三段體話。他剛與奧巴馬政府的網(wǎng)絡(luò)主管羅伯特·柯內(nèi)克合寫(xiě)了一本書(shū)《第五領(lǐng)域》(The Fifth Domain),書(shū)中提到網(wǎng)絡(luò)已經(jīng)成為繼陸地、海洋、天空和外太空之后的最新的戰(zhàn)爭(zhēng)威脅。
想想NotPetya病毒吧。俄羅斯在2017年釋放的這一病毒災(zāi)難性地襲擊了全球的許多電腦,導(dǎo)致了像聯(lián)邦快遞、馬士基和默沙東這樣的公司損失數(shù)十億美元。
但是,并非所有公司都受害了。“你所不知道的是,有一批美國(guó)公司在烏克蘭做生意”——可謂處于網(wǎng)絡(luò)攻擊的中心點(diǎn)——“卻沒(méi)有受到損失,”克拉克說(shuō)。一些公司像波音、杜邦和強(qiáng)生“并未吱聲,于是在我們的書(shū)中,就試圖找出原因。”
那么,為什么有些公司被黑客攻擊,有些沒(méi)有?從技術(shù)層面來(lái)說(shuō),未受損的公司把它們的設(shè)備都打了補(bǔ)丁,防止漏洞被NotPetya利用。但一個(gè)更基本的問(wèn)題是,為什么有些公司打補(bǔ)丁,而有些卻忽略了?
原因就一個(gè)詞:優(yōu)先級(jí)。最具韌性的組織,都有預(yù)案。一位主管若是駁回首席信息安全官的建議,得有充足的理由。首席執(zhí)行官肯定也會(huì)過(guò)問(wèn)。
這是很好的防御措施,但如果公司發(fā)起反擊呢?一些美國(guó)國(guó)會(huì)的成員正在提議一項(xiàng)立法,稱之為“黑客反擊”議案,該議案允許公司調(diào)查攻擊者的電腦并摧毀被盜數(shù)據(jù)。
位于亞特蘭大的律所長(zhǎng)盛(Troutman Sanders)的隱私保護(hù)主管馬克·毛,對(duì)此議案表示謹(jǐn)慎地支持。“我個(gè)人認(rèn)為,這主意不錯(cuò)。”他說(shuō),“我覺(jué)得這就像網(wǎng)絡(luò)第二修正案。”(但他補(bǔ)充說(shuō),這種做法應(yīng)該是“有限制的”,并且需要制定很多細(xì)節(jié)。)
毛將網(wǎng)絡(luò)攻擊和反擊,與核平衡相對(duì)比。“核威懾是有效的,因?yàn)闆](méi)有人希望被核攻擊。”他說(shuō),“許多黑客逃之夭夭,因?yàn)闆](méi)有任何報(bào)復(fù)措施。”
然而,許多網(wǎng)絡(luò)安全業(yè)內(nèi)人士認(rèn)為,如果黑客反擊議案變成法律,將會(huì)是巨大的災(zāi)難。網(wǎng)絡(luò)安全公司火眼的情報(bào)主管、美國(guó)空軍預(yù)備役人員桑德拉·喬伊斯就表示反對(duì)。“最不希望看到的,就是用意良好但純屬菜鳥(niǎo)的人來(lái)?yè)胶痛耸隆?rdquo;她認(rèn)為這一議案會(huì)有誤判攻擊者的危險(xiǎn),也會(huì)導(dǎo)致?tīng)?zhēng)鋒相對(duì)和矛盾升級(jí)。它只會(huì)“帶來(lái)人心惶惶,風(fēng)險(xiǎn)叢生。”
她還說(shuō),這項(xiàng)議案代表著“商業(yè)界的聲音,他們感到被忽視了。這是一種受挫的信號(hào)。”
他們的惱怒是可以理解的。據(jù)Gartner的數(shù)據(jù),今年全球網(wǎng)絡(luò)安全的支出將增長(zhǎng)9%,達(dá)1240億美元。但網(wǎng)絡(luò)安全還是難以保全。
要防止黑客偷光公司財(cái)產(chǎn),公司卻不必耗盡家財(cái)?死苏J(rèn)為,公司把IT預(yù)算的8%到10%投入到網(wǎng)絡(luò)安全中,就相當(dāng)不錯(cuò)了。
要防護(hù)好網(wǎng)絡(luò),這個(gè)比例的投入也并不總是必要的。艾爾帕洛維蒂奇說(shuō),他就知道一家《財(cái)富》美國(guó)500強(qiáng)的從事賓館業(yè)的公司,每年只花費(fèi)區(qū)區(qū)1100萬(wàn)美元做網(wǎng)絡(luò)防護(hù),但他確信這家公司的網(wǎng)絡(luò)安全是他所見(jiàn)過(guò)最好的之一。
面對(duì)網(wǎng)絡(luò)安全的擔(dān)憂,公司的董事會(huì)主席把自己的手機(jī)號(hào)碼給了公司首席信息安全官,并告訴他:“不管白天或夜里,如果有人拒絕你的提議,隨時(shí)打我電話。”
艾爾帕洛維蒂奇加了一句:“在這個(gè)機(jī)構(gòu)里,沒(méi)人敢對(duì)他說(shuō)不。”(財(cái)富中文網(wǎng))
