自助下单地址（拼多多砍价，ks/qq/dy赞等业务）：点我进入

王菲说

“大疆前员工泄露公司源代码，造成百万损失”，这则在网络上流传已久的新闻告诉我们一件事：网络并不安全。 互联网时代的数据安全绝不是危言耸听，它已经关系到企业的生死存亡。

随着自动化、物联网、云计算、人工智能和机器学习的发展，数字化进程不断加快。 数字技术确实带来了惊人的新能力和效率提升，但它们极易受到网络攻击。 从全球网络攻击的频繁发生就可以看出。

网络安全风险不断增加，传统防御手段无法有效应对。 今天小佛要给大家推荐一篇文章。 在文章中，作者提出了一个新的想法：减少或消除关键部门对数字技术及其与互联网连接的依赖。 笔者认为，这样做有时会增加成本，但与维持现状可能带来的灾难性后果相比，一定是值得的。

在网络安全方面，无论您的组织在最新的硬件和软件、培训和人员方面投入多少，也无论您是否保护和隔离核心系统，结果都是一样的：只要关键系统是数字化的并在某些方面连接到外部网络的方式（即使你认为它没有连接到互联网，而且很可能是），它永远不会安全。 这是残酷的事实。

今天，美国所有 16 个基础设施部门中有 12 个已被国土安全部定义为“关键”，因为它们的“物理或虚拟资产、系统和网络对美国非常重要，以至于它们的故障或破坏将威胁到国家安全”安全、国民经济、公共卫生和安全”，这些部门部分或完全依赖数字控制和安全系统。

数字技术确实带来了惊人的新能力和效率提升，但它们极易受到网络攻击。 自动化检测软件不断在大企业、政府部门和学术机构中寻找安全漏洞——这些软件在地下随手可得，很多都是免费的，有的只需要几百或几千美元，甚至还提供技术支持。 网络防御通常会阻止这些探测，但它们在对抗需要数月甚至数年才能精心策划的集中攻击时效果较差。

网络攻击造成的财务损失继续飙升。 仅在过去两年，WannaCry 和 NotPetya 攻击就分别造成了超过 40 亿美元和 8.5 亿美元的损失。 美国和英国指责朝鲜发动了 WannaCry 攻击，据称该攻击使用了从美国国家安全局窃取的工具。 该病毒利用部分 Windows 电脑未安装微软安全补丁来锁定和加密数据，使 150 个国家的医院、学校、企业和家庭的数十万台电脑瘫痪并勒索赎金。 NotPetya 攻击被认为是俄罗斯在乌克兰破坏稳定活动的一部分，是由一家乌克兰会计公司软件升级中的缺陷引发的。 此次攻击从原来的乌克兰政府和计算机系统蔓延到其他国家，受害者包括丹麦航运公司马士基、制药公司默克、巧克力制造商吉百利、广告巨头WPP等多家公司。

隐患增加

随着自动化、物联网、云处理和存储、人工智能和机器学习的发展，数字化转型的进程不断加快。 高度复杂、网络化、软件密集型的数字技术得到广泛传播和依赖，给网络安全带来了巨大隐患。

这些技术的复杂性超乎想象，即使是最了解它们的创造者和提供者也没有完全意识到它们的漏洞。 供应商总是声称自动化消除了人为错误的风险，但它实际上会产生其他类型的风险。 对隐私、数据保护和信息安全政策进行独立研究的 Ponemon Institute 指出，信息系统的复杂性如此之高，以至于美国公司平均需要 200 多天才能检测到系统入侵。 很多时候，企业并不是自己发现入侵，而是从第三方那里了解到。

在全球范围内，造成重大损失和广泛影响的网络安全事件越来越多。 Target、Sony Pictures、Equifax、Home Depot、Maersk、Merck、Saudi Aramco 等公司均遭到攻击。 但企业领导者无法抗拒数字技术的诱惑及其众多好处：提高效率、降低劳动力成本、减少或消除人为错误、收集更多客户信息的机会、创造新产品或服务的能力等等. 年复一年，领导者继续以传统方式思考网络防御，在最新的安全解决方案和高端咨询服务上花费越来越多，并寄予厚望。 但这只是一厢情愿。

传统方法的局限性

传统的网络防御方法着眼于“网络健康”，主要措施包括：

构建完整的企业硬件和软件资产清单

购买并部署最新的硬件和软件防御工具，包括端点安全保护、防火墙和入侵检测系统

定期培训员工识别和避免钓鱼邮件

创建一个“网关”——理论上可以将重要系统与其他 LAN 和 Internet 隔离开来，但实际上完全隔离是不存在的

建立大规模的网络安全团队，并利用各种外部服务来开展上述工作

许多组织遵循网络安全指导框架，例如美国国家标准与技术研究院 (NIST) 网络安全框架或 SANS 研究所的 20 条重要安全控制措施。 这些框架要求组织连续无误地开展数百项活动：员工必须使用复杂的密码并定期更改，传输时加密数据，使用防火墙隔离不同的网络，第一时间下载最新的安全补丁，限制访问的次数可以访问敏感系统的人、兽医供应商等。

许多 CEO 似乎相信只要遵守这些规范就能使组织免于遭受严重破坏。 然而，几次高影响力的网络攻击已经充分证明这种假设是错误的。 上述被攻击企业的网络安全团队规模庞大，相关支出也很高。 传统方法可以应对常规检测软件和初级黑客，但它们无法抵御越来越多以关键资产为目标的老练对手的持续威胁。

在能源、交通、重工业等重资产行业，无论企业投入多少人力和资金，都无法保证标准的安全程序无误。 事实上，构建完整的硬件和软件资产清单的第一步是大多数企业出错的地方。 这是一个巨大的缺点：不知道自己有什么，就谈不上防守。

此外，传统方法引入了不可避免的权衡取舍。 安装升级时系统必须经常关闭数字式远程压力表，这并不总是可能的。 例如，公用事业、化工等行业的企业非常重视工业流程或系统的稳定性和可靠性，不可能每次软件公司发布安全补丁就关停。

到头来，即使所有的安全规定都得到了完美的执行，也抵挡不住高水平的黑客。 这些攻击者资金充足、耐心且进取，总能找到足够多的机会。 无论您的公司网络多么健康，针对性强的攻击都会渗透所有网络和系统。 入侵者可能需要几周或几个月的时间，但他们最终一定会成功。

这不仅仅是我的意见。 American Electric Power 前首席安全官、现任 SANS 研究所联席主任 Michael Assante 告诉我，“传统的网络防御可以应对小型攻击，理想情况下它们可以阻止 95% 的入侵”。但在现实中，“对于目标明确的高级黑客来说，这无非是一个减速带。”雅虎和推特前安全负责人鲍勃·罗德在 2017 年告诉华尔街日报：“当我与很多人交谈时公司的安全负责人，我发现他们有点听天由命——‘我没有办法阻止来自其他政府的高层攻击，你注定要输掉比赛，所以不要想太多’”

新主意

现在，我们必须停止完全依赖数字复杂性和互联性数字式远程压力表，并以完全不同的方式设计和实施网络防御。 为此，组织必须确定最核心的流程和功能，然后减少或消除可能被攻击者利用的数字路径。

爱达荷国家工程实验室 (INL) 开发了一种实用的解决方案，称为“面向结果的网络意识工程”(CCE)。 CCE 的目标不是进行一次性风险评估，而是永久改变领导者思考和评估公司网络风险的方式。 这种方法仍处于试验阶段，但已经产生了良好的效果。

CCE 方法包括四个步骤，需要以下人员的密切合作：

CCE 专家——现在来自 INL，明天来自 INL 提供培训的工程服务公司

包括CEO、COO、CFO、首席风险官、总法律顾问和首席安全官在内的所有负责合规、诉讼和风险防控的领导

负责核心业务的经理

安全系统专家，以及最熟悉公司核心流程的操作员和工程师

了解系统和设备如何被恶意操纵的网络专家和流程工程师

实施 CCE 对一些玩家来说可能会有压力。 例如，一个重大的新风险暴露，一开始肯定会让首席安全官感到紧张。 但需要克服这种压力。 首席安全官不能指望他们的公司对全副武装的攻击者万无一失。

1. 确定“皇冠上的明珠”流程

CCE 的第一阶段是 INL 定义的“结果优先级”：模拟具有严重后果的灾难性场景或事件。 这要求参与者确定可能影响企业生存的核心功能和流程。 例如变压器被攻击，电力公司可能一个月无法正常供电； 又如，如果压缩机站停止工作，燃气公司将无法向用户供气。 此外，集中攻击化工厂或炼油厂的安全系统，可能会因压力超过临界值而引发爆炸，造成大量人员伤亡，以及天价诉讼、股价波动，以及失去领导者的工作。

熟悉高级黑客操作的分析师将帮助团队设想潜在攻击者的最终目标。 通过提出诸如“如果你想破坏流程或扰乱公司你会怎么做”和“如果你突破防御你会首先攻击哪些设施”之类的问题，团队将能够识别最具破坏性和最脆弱的目标并模拟相关场景，交由公司高层讨论。 根据公司的规模，这个阶段可能需要几周到几个月的时间。

2. 绘制数字领土图

下一个任务通常需要一周时间，但可能会更长：统计“末日场景”中的所有硬件、软件、通信工具、支持人员和流程，包括第三方服务和供应商。 参与者应列出每个生产步骤，详细说明所有控制和自动化系统的部署位置，以及与核心功能和流程相关的所有手动操作或数据输入。 这些关联都可能成为攻击者的途径，而组织通常并不完全理解它们。

关于这些要素的可用统计数据总是不符合现实。 “谁有权访问你的设备”、“信息在你的内部网络中如何流动，你如何保护它”等问题总会带来意想不到的发现。 例如，网络架构师或控制工程师可能会告诉团队，关键系统不仅连接到操作系统，还连接到处理应收账款、付款和客户信息的业务网络，因此实际上连接到 Internet。 通过询问负责供应商的经理，团队可能会发现供应商与关键系统保持直接无线连接以进行远程分析和诊断。 安全系统供应商可能声称它无法直接与设备通信，而仔细检查技术细节和升级过程可能会发现确实如此。 任何这样的发现都是有价值的。

3. 识别潜在的攻击路径

下一步，团队通过洛克希德·马丁公司设计的一系列方法，找到了黑客攻击核心目标的最短、最有可能的路径，并根据攻击难度进行了排序。 此阶段由 CCE 专家和其他外部专家领导，包括那些掌握有关黑客及其攻击方法的敏感信息的专家。 他们分享有关针对世界各地类似系统的攻击的政府情报。 其他公司在处理网络威胁的安全系统、能力和流程方面的投资也可以帮助团队瞄准最有可能的攻击路径。 在下一阶段，团队将据此向领导者推荐防御措施。

4.制定风险控制和保护计划

在此阶段，团队针对最高级别的网络风险设计防御措施。 假设目标的 10 条潜在攻击路径通过一个节点，毫无疑问应该有一个“绊线”——一个受到严密监控的传感器，在出现异常迹象时向公司的快速响应团队发出警报。

有些防御方案其实很容易实现，成本也很低。 例如，纯硬件振动传感器可以减慢或停止受网络攻击的单元，防止其自残或自毁。 其他解决方案需要更多的资金和时间成本，例如构建一个与主系统略有不同的冗余系统，以便在发生损坏时可以维持核心功能。 许多防御解决方案不会对运营效率和商业机会产生负面影响，但有些会。 因此，企业领导者最终需要考虑哪些风险是可以接受的，哪些是必须避免的，哪些是可以转移的，哪些是需要控制的，并据此决定下一步的行动。

如果关键过程必须具有用于跟踪和发送控制信号的数字通道，则防御措施应尽量减少进出两个方向的通道数量，并使其更容易识别异常通信。 此外，如果系统收到恶意指令，企业可以添加保护措施以防止发生灾难性事件。 例如，机械阀门或开关可以防止系统的压力或温度超过临界值。 在某些情况下，企业还可以让受信任的员工参与进来，例如监控机械温度计或压力表的读数，以确保数字仪表的真实准确。 如果您的公司没有经历过严重的网络安全事件，那么尽可能断开连接、安装过时的机器以及将人员置于自动化流程中似乎是一种倒退。 但这些实际上是主动的风险管理措施。 这些措施可能会降低效率，但如果能显着降低灾难性事件发生的可能性并抵御传统解决方案无法抵御的攻击，那么增加的成本是值得的。

不难想象 CEO 和 COO 们读到这篇文章时会持怀疑态度。 在任何变革管理计划中，在情感上和精神上告别几十年的信念都是一个巨大的挑战。 领导者应该预见到阻力，尤其是在早期阶段。 披露大量公司信息并承认他们不知道或不想考虑的缺陷会给管理者带来很大的心理负担。 在接下来的步骤中，随着 CCE 团队仔细检查技术系统和实践中的漏洞，工程师的应变能力将受到考验。 即使在对系统进行最苛刻的评估期间，让员工感到安全也很重要。 最终，您将详细了解潜在攻击者的行为和可能的结果，并且预见您的公司可能受到攻击的具体方式将很有启发。 一旦认识到风险并了解控制风险的最佳方法，那些对新解决方案最抵触的人也会转向支持。

我现在能做什么

你必须学会​​像你的对手一样思考。 您甚至可以建立一个内部团队，成员定期尝试攻击关键目标，以持续评估公司网络防御的强度。 该团队应包括核心流程、控制和安全系统以及运营网络方面的专家。

即使网络运行状况良好，您也必须防范入侵。 要做到这一点，最好的方法就是以大型化工厂和核电站为榜样，营造一种网络安全文化。 所有员工，从最高级别到最低级别，都必须知道，当他们操作的计算机系统或机器开始出现故障时，他们必须迅速做出反应。 可能只是设备故障，也可能是网络攻击。

最后，一定要有备份，因为你和防御团队可能被迫放弃核心功能的支持系统。 即使不是最优的，备份系统也应该能让公司维持核心运营，最好不要依赖数字技术和网络（尤其是互联网）接入。 至少，备份系统不应该与主系统完全相同，原因很明显：如果攻击者能够成功地破坏主系统，他就可以轻松地破坏一个相同的系统。

每个依赖数字技术和互联网的组织都面临遭受毁灭性网络攻击的风险。 即使是最复杂的常规防御也无法抵御敌对国家、强大的犯罪组织或恐怖组织的攻击。 保护公司的唯一方法是主动采取技术“后退”——字面意思是工程进步。 新国防思想的目标是减少或消除关键部门对数字技术和互联网连接的依赖。 这样做有时会增加成本，但与维持现状可能带来的灾难性后果相比，这当然是值得的。

安迪博奇曼 | 文本

Andy Berherman 是爱达荷国家工程实验室 (INL) 国家和国土安全部的高级系统网络策略师。

王晨 | 刘铮铮 译 | 学生时代的清静 | 已编辑

这篇文章已被删节。 原文请见《哈佛商业评论》2018年8月中文版。