在过去几年里,内部系统遭到黑客攻击的公司越来越多。除了几百家中小规模公司之外,现在的受攻击名单中还包括塔吉特、摩根大通、家得宝、索尼影视、阿什利•麦迪逊以及雅虎这样备受瞩目的企业。
很多情况下,网络安全信息泄露在持续了几周甚至数月之后才被发现。过去几年里的网络攻击事件,不仅让公司付出了惨重代价,还动摇了消费者、股东和员工的信心。
正因为如此,网络安全方面的支出呈现出加速度增长的态势。据高德纳咨询公司估计,全球信息安全支出到2018年可能增至1010亿美元。
遗憾的是,对网络安全措施的投资只能解决部分问题,传统方法所能做的仅此而已。为了提高效力,负责网络安全的高管们必须调整思维方式。
如果公司想要降低遭到外部黑客攻击的风险,它们就一定要理解黑客的思维方式。脸书、微软等公司甚至还聘用了黑客。为了像黑客那样思考,你需要知道一个手段高明、经验老道的黑客具备哪些典型特征。黑客们往往技术一流又聪明过人,还喜欢冒险。
他们通常拥有计算机科学背景。许多成功的黑客都有良好的社交和沟通技巧,这让他们能够诱导人们泄露关键信息或采取“致命”动作。
黑客在一次攻击的不同阶段实际上会有两种思维模式:探索思维和榨取思维。在一次攻击刚开始的阶段,黑客们通常会采取审慎思考和直觉思维相结合、依赖大量试错的探索思维。
例如,一个富有经验的黑客不会去攻击一家公司刚刚启用的新系统。他会选择等待,继续寻找最薄弱的环节(比如,当某家供应商、某位新员工或者某个情境违背了公司的安全标准)。
一旦拿到了进入系统的权限,黑客们就会运用榨取思维达成他们的目标——例如,尽可能多地取得信息以转卖谋利。
这个先探索再榨取的策略通常包含以下四个步骤:
找出漏洞 他们会搜索网络信息、组织信息以及网络安全政策,可能还会研究你的供应商、合作伙伴。黑客们还会尝试与公司内部人员互动,设法获得进入公司系统的权限。
扫描和测试 黑客们一旦入侵,往往就会用扫描工具去扫描公司系统中运行的应用程序。累积在一起的话,哪怕是微小的安全弱点和设计缺陷,也会堆积成重大的安全漏洞。
获取权限 黑客们往往会通过打电话,群发“钓鱼”电子邮件、伪造的电子邮件,或发短信要求个人提供登录名及密码信息——通常是假冒某个有信誉的人(例如,某位公司高管,或咨询台技术人员),同企业取得联系。
保持连接 黑客们为了在未来进行攻击,会尝试在保持不为人知的同时,维持其对系统的占有以及访问权限,比如上传一小段称为“后门”的代码。一旦黑客“占有”了某个系统,他们就可以利用其作为发起新的网络攻击的大本营。
在许多组织的网络安全问题中,人是最薄弱的环节之一。提醒员工、承包商和第三方用户提防黑客的常见手法,可树立起一道有效的防线。高管和信息管理者应当考察公司信息系统目前的管理情况,以便评估网络安全水平。有效的安全意识培训是必不可少的。
所有能够接触到机密信息的员工,无论其是在销售、营销、人力资源、财务还是高层管理岗位——甚至是临时工作人员——都需要接受网络安全意识的培训。
手法熟练的黑客可能会复制那些成功得手的攻击方法,因此,IT安全部门的工作人员展开合作并且在组织内部、行业内部,甚至是与竞争对手分享信息就变得至关重要。
网络安全是一场猫鼠游戏,而在这场游戏中,猫总是会先走一步。不过,你越是能够像黑客一样思考,就越能够更好地保护你的组织。
[本文作者:何塞·埃斯特韦斯(José Esteves),西班牙IE商学院信息系统和数字创新副教授。伊丽莎白·拉马略(Elisabete Ramalho),谷歌公司(Google)欧洲、中东和非洲地区程序化客户战略负责人。吉列尔莫·德哈罗(Guillermo De Haro),胡安卡洛斯国王大学(King Juan Carlos University)应用经济学副教授。]
