小佛爺說
“大疆前員工洩露公司源代碼造成百萬損失”,這則在網上傳得沸沸揚揚的消息告訴我們一件事:
網絡不安全。網絡時代的數據安全絕非是危言聳聽,它已經事關企業的生存。隨著自動化、物聯網、雲計算、人工智能和機器學習的發展,數字化的進程在持續加快。數字技術的確帶來了令人讚歎的新功能和效率提升,但它們極易遭受網絡攻擊。從全世界各地頻繁發生的網絡攻擊事件就能看出來。
網絡安全隱患不斷增加,但是傳統的防禦方法並不能有效應對。今天小佛爺要推薦一篇文章,作者在文中提出了一種新思路:減少或消除關鍵部門對數字技術的依賴及與互聯網的連接。作者認為這樣做有時會增加成本,但相比保持現狀可能帶來的災難性結果,一定是值得的。
對於網絡安全,無論你的組織在最新軟硬件、培訓和人員方面投入多大,也無論是否保護隔離核心系統,結果都一樣:只要關鍵系統是數字化的,且以某種形式與外部網絡相連(即便你認為它沒有聯網,實際上也極有可能),它就永遠不可能是安全的。這就是殘酷的事實。
今天,在美國全部16個基礎設施部門中,12個已被國土安全部定義為“關鍵”,因為它們的“實體或虛擬資產、系統和網絡對美國非常重要,一旦失靈或被摧毀,將威脅到國家安全、國民經濟、公共健康和安全”,而這些部門部分或完全依賴數字化的控制和安全系統。
數字技術的確帶來了令人讚歎的新功能和效率提升,但它們極易遭受網絡攻擊。自動探測軟件時時在尋找大型企業、政府部門和學術機構的安全漏洞——這些軟件很容易在地下網絡中獲取,很多是免費的,貴的也不過幾百或幾千美元,甚至還提供技術支持。網絡防禦措施通常能阻擋這些探測,但基本無法抵擋花費數月甚至數年精心籌劃的重點攻擊。
網絡攻擊造成的經濟損失不斷飆升。僅過去兩年中,WannaCry和NotPetya攻擊事件就分別造成超過40億美元和8.5億美元損失。美國和英國指控朝鮮發動的WannaCry攻擊,據稱使用了從美國國家安全局竊取的工具。這種病毒利用部分Windows計算機未安裝微軟安全補丁的機會,對數據進行鎖定加密,使150個國家醫院、學校、企業和家庭中的數十萬臺計算機陷於癱瘓,並進行勒索。NotPetya攻擊據信為俄羅斯破壞烏克蘭穩定活動的一部分,發起點是一家烏克蘭會計公司的軟件升級漏洞。這次攻擊從最初的烏克蘭政府和計算機系統擴散到其他國家,受害者包括丹麥航運公司馬士基、製藥公司默沙東、巧克力製造商吉百利、廣告巨頭WPP等眾多企業。
隱患增多
隨著自動化、物聯網、雲處理及存儲、人工智能和機器學習的發展,數字化轉型的進程持續加快。複雜度高、可聯網、軟件密集型的數字技術得到廣泛傳播,被依賴程度越來越高,在網絡安全方面形成很大隱患。
這些技術的複雜度超乎想象,甚至最瞭解它們的創造者和供應商,也並不完全清楚其脆弱性。供應商總是聲稱自動化能消除人為錯誤的風險,但實際上會產生其他類型的風險。對隱私、數據保護和信息安全政策進行獨立研究的Ponemon Institute指出,信息系統的複雜度如此之高,以至於美國企業僅偵測到系統入侵就平均需要200天以上。大部分時候,企業不是自己發現入侵,而是從第三方獲知。
在世界範圍內,造成重大損失和廣泛影響的網絡安全事件越來越多,Target、SonyPictures、Equifax、Home Depot、馬士基、默沙東、沙特阿美等企業都曾遭受攻擊。但企業領導者無力拒絕數字技術及其眾多好處的誘惑:效率提升、人力成本降低、人為錯誤的減少或消除、收集更多客戶信息的機會、創造新產品或服務的能力等。年復一年,領導者延續傳統的網絡防禦思路,花在最新安全解決方案和高端諮詢服務上的錢越來越多,對此寄予厚望。但這只是一廂情願。
傳統方法的侷限
傳統網絡防禦方法關注“網絡健康度”,主要措施包括:
建立企業硬件和軟件資產的完整清單
購買並部署最新的軟硬件防禦工具,包括終端安全保護、防火牆和入侵檢測系統
定期培訓員工識別並規避釣魚郵件
建立“網閘”——理論上可以將重要系統與其他局域網和互聯網隔開,但在實踐中不存在完全的隔離
建立大規模網絡安全團隊並使用各類外部服務,進行上述各項工作
很多組織遵循網絡安全指導框架,如美國標準與技術研究院(NIST)的網絡安全框架,或SANS Institute的20項重要安全控制。這些框架要求組織無差錯地持續進行數百項活動:員工必須使用複雜密碼並定期更換、傳輸數據時加密、用防火牆區隔不同網絡、第一時間下載最新安全補丁、限制敏感系統的訪問人數、審查供應商,等等。
很多CEO似乎認為,只要遵守這些規範,就能讓組織免遭嚴重損失。但多起影響巨大的網絡攻擊事件充分表明,
這種預設是錯誤的。前述遭受攻擊的企業都有龐大的網絡安全團隊,相關支出也很高。傳統方法能夠應付常規的探測軟件和初級黑客,但無法抵禦越來越多高水準對手針對關鍵資產的持續威脅。在能源、交通運輸、重工製造等重資產行業,無論企業投入多少人力和資金,都無法保證標準安全步驟全無差錯。實際上,第一步建立硬件和軟件資產的完整清單,大多數企業就會出錯。這是一個巨大的短板:如果都不知道自己有什麼,自然也談不上防禦。
此外,傳統方法也會帶來無法迴避的權衡取捨。安裝升級程序時,系統通常必須關閉,而這並不總是可行。例如,公用事業、化工等行業的企業非常重視工業流程或系統的穩定性和可靠性,不可能每次軟件公司發佈安全補丁都停工。
最後,即便所有安全規範都完美落實,也無法抵擋高水平黑客。這些攻擊者資金充足、有耐心、不斷在進步,總能找到足夠多敞開的大門。無論你的公司網絡健康度多高,目標明確的攻擊都將穿透所有網絡和系統。入侵者可能需要數週或數月時間,但最終肯定會成功。
這不只是我一個人的觀點。邁克爾·阿桑特(Michael Assante)曾任American Electric Power首席安全官,現為SANS Institute負責人之一,他告訴我,“傳統網絡防禦方法能應付小打小鬧的攻擊,理想情況下也許能阻擋95%的入侵”。但在現實中,“對於目標明確的高水平黑客,不過相當於減速帶而已”。曾任雅虎和Twitter安全負責人的鮑勃·洛德(BobLord)2017年接受《華爾街日報》採訪時說:“和很多公司的安全負責人聊天時,我發現他們有點聽天由命的情緒——‘我沒辦法阻擋來自他國政府的高水平攻擊,註定要輸掉這場遊戲,所以乾脆不想太多’。”
新思路
現在我們必須停止對數字複雜性與互聯性的完全依賴,設計並採用完全不同的網絡防禦體系。為此,組織必須找出最核心的流程和功能,然後減少或消除可能被攻擊者利用的數字通路。
愛達荷國立工程實驗室(INL)已開發出一種實用性強的解決方案,即“結果導向、充分考慮網絡狀況的工程設計”(CCE)。CCE的目標不是進行一次性的風險評估,而是永久改變領導者對於公司網絡風險的思考和評估方式。這項方法目前還在試點階段,但已產生良好效果。
CCE方法包含四個步驟,需要以下人員密切協作:
CCE專家——現在來自INL,未來則來自INL提供培訓的工程服務公司
所有負責合規、訴訟和風險防控的領導者,包括CEO、COO、CFO、首席風險官、總法律顧問和首席安全官
負責核心運營部門的管理者
安全系統專家,以及最熟悉公司核心流程的操作員和工程師
瞭解系統和設備可能如何被惡意操縱的網絡專家和工藝工程師
對於部分參與者,實施CCE可能會帶來壓力。例如,新暴露出的重大風險,一開始肯定會讓首席安全官很緊張。但這種壓力需要克服。面對裝備精良的攻擊者,首席安全官不可能指望公司萬無一失。
1. 找出“皇冠寶石”流程
CCE的第一個階段是INL定義的“結果優先排序”:模擬災難性場景或產生嚴重後果的事件。這要求參與者找出可能影響企業存續的核心功能和流程。例如,如果變壓器遭受攻擊,電力公司或許一個月無法正常供電;又如,壓氣站停止工作,燃氣公司將無法向用戶供氣。此外,化工廠或煉油廠安全系統遭受重點攻擊,將可能由於壓力超過臨界值而引發爆炸,導致大量人員傷亡,以及天價訴訟、股價動盪,讓領導者丟掉工作。
熟悉高水平黑客行動方式的分析師,將能幫助團隊設想潛在攻擊者的最終目標。通過思考“如果想擾亂流程或破壞公司,你會怎麼做”“突破防禦後你會先攻擊哪些設施”等問題,團隊將能找到攻擊後果最嚴重且最易被攻擊的目標,並模擬相關場景,交由公司高層討論。根據公司規模不同,這一階段可能需要數週到數月時間。
2. 測繪數字領地
下一項任務一般需要一週,但也可能更長:統計“末日場景”中的所有硬件、軟件、通信工具、支持人員和流程,包括第三方服務和供應商。參與者應列出每個生產步驟,詳細記錄所有控制和自動化系統的部署位置,以及所有與核心功能和流程相關的手動操作或數據輸入。這些關聯都可能成為攻擊者的通路,而企業通常並不完全瞭解它們。
關於這些要素的現有統計資料總會跟不上現實。諸如“誰能接觸你的設備”“信息如何在你的內部網絡中流動,你如何保護信息”等問題,總會帶來意外發現。例如,某位網絡架構師或控制工程師可能會告訴團隊,一個關鍵系統不僅與運營系統相連,還與處理應收付款項、支付和客戶信息的商務網絡相連,因此實際上接入互聯網。通過詢問負責供應商事務的管理者,團隊可能發現,供應商為進行遠程分析和診斷,保留了直接通向關鍵系統的無線連接。某家安全系統供應商可能聲稱無法直接與設備通信,而對技術細節和升級流程的仔細檢查可能發現實際可以直接通信。任何這種發現都很有價值。
3. 標明潛在攻擊路徑
下一步,運用洛克希德馬丁公司設計的一系列方法,團隊找到黑客攻擊核心目標最短、最可能的路徑,並根據攻擊難度排序。主導這個階段工作的是CCE專家和其他外部專家,包括掌握關於黑客及其攻擊方法等敏感信息的人士。他們共享政府情報,瞭解世界各地發生的針對類似系統的攻擊事件。公司對安全系統、處理網絡威脅的能力和流程等方面的其他投入,也能幫助團隊鎖定最可能的攻擊路徑。在下一階段,團隊據此向領導者推薦防禦方案。
4. 制定風險控制和保護方案
在這個階段,團隊針對最高等級的網絡風險設計防禦方案。假設一個目標的10條潛在攻擊路徑都經過某個節點,那麼無疑應在這裡佈設“絆網”——一個受到密切監控的傳感器,在反常情況剛出現時就向公司的快速反應團隊發出警報。
有些防禦方案其實很容易實施,而且成本很低。例如,一種純硬件振動傳感器,可以使遭到網絡攻擊的單元減速或停止運行,防止其自我損害或自毀。其他方案則需要更多資金和時間成本,例如建立與主系統略有差異的冗餘系統,以備在受損情況下也能維持核心功能。很多防禦方案不會對運營效率和商業機會造成負面影響,但有些確實會。因此企業領導者最終需要考慮,哪些風險能接受、哪些必須避免、哪些可以轉移、哪些需要控制,並據此決定下一步行動。
如果某項關鍵流程必須具備用於跟蹤和發送控制信號的數字通道,防禦方案應將進出雙向的通道數量限制在最少,並讓識別異常通信變得更容易。此外,企業可以增加保護裝置,在系統接收惡意指令時防止出現災難性事件。例如,機械閥門或開關可以防止系統的壓力或溫度超過臨界值。有些情況下,企業也可以讓可信賴的員工介入,例如監控機械溫度計或壓力錶的讀數,確保數字儀表真實準確。如果你的公司未曾經歷嚴重的網絡安全事件,儘可能斷連、安裝過時的機械設備、在自動化流程中安排人工操作等做法,可能會顯得是一種退步。但這些實際上是主動的風險管理措施。這些措施可能降低效率,但如果增加的成本能顯著降低災難性事件發生的概率、防禦傳統方案無法抵擋的攻擊,那就是值得的。
不難想象,讀到這裡的CEO和COO們會持懷疑態度。在任何變革管理計劃中,讓人們的情感和心智告別已經堅持幾十年的觀念,都是巨大的挑戰。領導者應預想到阻力,尤其在早期階段。公開大量公司信息,並承認那些原本不知道或不願去想的缺陷,會給管理者帶來很大心理負擔。在接下來的步驟中,隨著CCE團隊仔細探查技術系統和實踐中的漏洞,工程師們的韌性將受到考驗。即便在對系統進行最嚴苛的評估時,也一定要讓員工感到安全。最終,你將詳細瞭解潛在攻擊者的行動方式和可能結果、預見到公司可能遭到攻擊的具體方式,這會很有啟發性。一旦認識到風險並瞭解控制風險的最佳方式,對新方案最抗拒的人也會轉而支持。
現在能做什麼
你必須學著像對手一樣思考。你甚至可以建立一個內部團隊,讓成員定期嘗試攻擊關鍵目標,以持續評估公司網絡防禦的強度。這個團隊應包括核心流程、控制和安全系統、運營網絡方面的專家。
即便能夠保持很高的網絡健康度,你也必須防範入侵。最好的方法是效仿重要化工廠和核電站,建立網絡安全文化。從最資深到最初級的所有員工都必須知道,當自己操作的計算機系統或機器開始出現異常,一定要快速做出反應。這也許只是設備故障,但也有可能是網絡攻擊。
最後,考慮到你和防禦團隊可能被迫放棄核心功能的支持系統,一定要有備用方案。即便達不到最佳狀態,備用系統也應能保證公司維持核心運營,而且最好不依賴數字技術、不接入網絡(尤其是互聯網)。至少,備用系統不應與主系統完全相同,原因很明顯:如果攻擊者能成功入侵主系統,也能輕鬆入侵一個完全相同的系統。
每一個依賴數字技術和互聯網的組織,都有遭受毀滅性網絡攻擊的危險。即使是最周密的傳統防禦措施,也無法抵擋敵對國家、強大犯罪組織或恐怖組織的攻擊。保護你的公司的唯一方法,是主動在技術上“後退”一步——其實是工程上的進步。新防禦思路的目標是,減少或消除關鍵部門對數字技術的依賴及與互聯網的連接。這樣做有時會增加成本,但相比保持現狀可能帶來的災難性結果,一定是值得的。
安迪·伯赫曼(ANDYBOCHMAN)|文
安迪·伯赫曼是愛達荷國立工程實驗室(INL)國家和國土安全處,資深系統網絡策略師。
王晨 | 譯 劉錚箏 | 校 時青靖| 編輯
本文有刪節,原文參見《哈佛商業評論》中文版2018年8月刊。
亞投行行長金立群:我對中國員工要求更高
《哈佛商業評論》
長按二維碼,訂閱屬於你的“卓越密碼”。
閱讀更多 哈佛商業評論 的文章
