從網(wǎng)絡(luò)“攻擊”到“了解你的對(duì)手”再到“網(wǎng)絡(luò)威脅”——看起來隨著時(shí)代的變遷,組織機(jī)構(gòu)所面臨的安全隱患可絲毫沒有減弱。
網(wǎng)絡(luò)威脅以多種形式存在,從民族國(guó)家所從事到間諜活動(dòng)到網(wǎng)絡(luò)犯罪分子對(duì)有價(jià)值信息的竊取與利用,再到出于特定動(dòng)機(jī)而窺探數(shù)據(jù)內(nèi)容或者由此導(dǎo)致業(yè)務(wù)中斷可謂無所不包。
除此之外,原應(yīng)值得信賴的內(nèi)部人士同樣有可能成為竊取企業(yè)或者客戶數(shù)據(jù)的罪魁禍?zhǔn)祝踔吝B出于好意的工作人員也有可能在不經(jīng)意間令寶貴的客戶或者業(yè)務(wù)數(shù)據(jù)意外泄露。
毫無疑問,網(wǎng)絡(luò)犯罪分子擁有極強(qiáng)的適應(yīng)能力與創(chuàng)造性,但對(duì)我們來說,威脅環(huán)境本身是既定存在的——換言之,最重要的是如何對(duì)潛在風(fēng)險(xiǎn)加以管理。
在混亂的環(huán)境當(dāng)中,保障安全的一大前提要求業(yè)務(wù)領(lǐng)導(dǎo)者們不會(huì)因此被干擾了立場(chǎng)與判斷。如今的安全環(huán)境中充斥著大量技術(shù)解決方案,相關(guān)供應(yīng)商承諾為客戶提供覆蓋各類邊界的檢測(cè)與預(yù)防機(jī)制。然而要想真正搞定安全威脅,業(yè)務(wù)領(lǐng)導(dǎo)者們需要后退一步并認(rèn)清這樣的現(xiàn)實(shí),即網(wǎng)絡(luò)風(fēng)險(xiǎn)在本質(zhì)上并不屬于IT風(fēng)險(xiǎn)、而應(yīng)該算是商業(yè)風(fēng)險(xiǎn),因此與各類商業(yè)風(fēng)險(xiǎn)一樣其同樣需要加以管理。
同樣重要的是,我們需要意識(shí)到雖然網(wǎng)絡(luò)威脅不可能被徹底消除,但風(fēng)險(xiǎn)管理確實(shí)是一項(xiàng)能夠?qū)崿F(xiàn)的任務(wù)。隨意選擇一套“風(fēng)險(xiǎn)框架”非常簡(jiǎn)單,不過與市場(chǎng)上的各類框架類似,如果未能投入時(shí)間與精力認(rèn)真加以考量,那么我們所選定的方案有可能在耗費(fèi)了大量成本之后卻幾乎無法提供任何有價(jià)值的安全回報(bào)。
我們已經(jīng)無數(shù)次地通過技術(shù)或者軍事術(shù)語對(duì)網(wǎng)絡(luò)安全進(jìn)行討論,但這樣做的惟一結(jié)果就是讓高層管理者感到一頭霧水并放棄了其這類問題的關(guān)注。因此重要的是,安全專業(yè)人士必須要將當(dāng)前威脅環(huán)境以及網(wǎng)絡(luò)安全挑戰(zhàn)做出解釋,并確保自己使用的是易于理解的語言表達(dá)方式。
有鑒于此,切實(shí)掌握組織機(jī)構(gòu)當(dāng)前所面對(duì)的網(wǎng)絡(luò)風(fēng)險(xiǎn)就成了一大必要前提。每一位領(lǐng)導(dǎo)都必須能夠提出以下這類簡(jiǎn)單的非技術(shù)性問題,并為其找到確切的答案:
1.了解數(shù)據(jù)價(jià)值
你是否了解所在組織機(jī)構(gòu)內(nèi)數(shù)據(jù)的實(shí)際價(jià)值?這類數(shù)據(jù)價(jià)值不僅僅體現(xiàn)在組織內(nèi)部,同時(shí)也應(yīng)立足于網(wǎng)絡(luò)犯罪分子角度,思考他們樂于竊取哪些信息以滿足自己的需要。哪些數(shù)據(jù)在丟失或者泄露之后給帶來嚴(yán)重的后果?大家必須據(jù)此制定一套完整的有價(jià)值數(shù)據(jù)清單。
2.了解誰曾訪問過有價(jià)值數(shù)據(jù)
誰對(duì)特定信息擁有管理或者訪問權(quán)限?大家的“受信內(nèi)部人員”是否真的需要通過這種權(quán)限來完成自己的日常工作?這個(gè)問題之所以如此重要,是因?yàn)槲覀儽仨氁獙?duì)指向有價(jià)值數(shù)據(jù)的訪問活動(dòng)進(jìn)行嚴(yán)密監(jiān)控。大家絕不應(yīng)該把自家鑰匙交給任何外人,而監(jiān)控有價(jià)值數(shù)據(jù)訪問情況的意義也應(yīng)遵循同樣的思路。
3.了解自己的有價(jià)值數(shù)據(jù)保存在何處
大家必須了解自己的有價(jià)值數(shù)據(jù)保存在何處以及如何對(duì)其進(jìn)行。這部分信息在以本土、離岸或者云端方式存儲(chǔ),甚至在由第三方負(fù)責(zé)打理嗎?除此之外,我們還有必要了解自己的服務(wù)供應(yīng)商是否會(huì)將有價(jià)值數(shù)據(jù)同分包商進(jìn)行共享。
4.了解誰在保護(hù)我們的數(shù)據(jù)
大家需要了解誰在對(duì)有價(jià)值數(shù)據(jù)進(jìn)行保護(hù),這一點(diǎn)真的非常重要。另外,務(wù)必弄清這些保護(hù)服務(wù)商身在何處。
5.了解數(shù)據(jù)的受保護(hù)水平
大家需要了解安全專家們采取了怎樣的舉措來對(duì)我們的數(shù)據(jù)進(jìn)行24/7全天候保護(hù)。另外,這些第三方供應(yīng)商是否會(huì)在保護(hù)數(shù)據(jù)的同時(shí)對(duì)其內(nèi)容進(jìn)行訪問?
只有能夠確切回答上述問題,大家所在的組織機(jī)構(gòu)才有可能真正理解網(wǎng)絡(luò)風(fēng)險(xiǎn)水平并對(duì)其管理成效做出準(zhǔn)確評(píng)估。