網(wǎng)絡攻擊已經(jīng)成為對美國商業(yè)的持續(xù)威脅。用黑客的方式回擊能解決問題嗎?
圖片來源:Photo-Illustration by Tres Commas; Original Photographs, Shield: Gabe Ginsberg—Getty Images; arrows: Getty images
參加任何有關于網(wǎng)絡安全的非正式會談,你都會聽到這樣一句話:“世界上有兩種類型的公司:被黑客攻擊過的公司,和那些不知道曾經(jīng)被黑客攻擊過的公司。”
這句引發(fā)上千條妙語的話出自于德米特里·艾爾帕洛維蒂奇,他是一位出生于莫斯科的企業(yè)家,也是世界最前沿的黑客偵探之一。2011年,作為反病毒先驅麥克菲的首席威脅研究員,他在調查時發(fā)明了這句話——公眾對此很感興趣——調查對象是五年內發(fā)起的對超過70個組織的網(wǎng)絡攻擊,包括國防承包商、科技公司和聯(lián)合國。
現(xiàn)在這句無可奈何的話該升級一下了。“我已經(jīng)修改了我的話。”艾爾帕洛維蒂奇告訴《財富》雜志,“前兩種公司仍然存在,但現(xiàn)在有第三類公司,他們能夠成功地防御黑客入侵。”好吧,還有希望!
你盡可以把他修改后的話,當作一種純熟的銷售技巧。作為網(wǎng)絡安全公司CrowdStrike的聯(lián)合創(chuàng)始人和首席科技官,這家公司在今年6月上市時的股價大漲讓投資者側目,艾爾帕洛維蒂奇確實有理由得意一下。
但實際上艾爾帕洛維蒂奇修改這句話,是意有所指的。在布什和克林頓政府任職的前白宮安全顧問理查德·克拉克,同意這句新的三段體話。他剛與奧巴馬政府的網(wǎng)絡主管羅伯特·柯內克合寫了一本書《第五領域》(The Fifth Domain),書中提到網(wǎng)絡已經(jīng)成為繼陸地、海洋、天空和外太空之后的最新的戰(zhàn)爭威脅。
想想NotPetya病毒吧。俄羅斯在2017年釋放的這一病毒災難性地襲擊了全球的許多電腦,導致了像聯(lián)邦快遞、馬士基和默沙東這樣的公司損失數(shù)十億美元。
但是,并非所有公司都受害了。“你所不知道的是,有一批美國公司在烏克蘭做生意”——可謂處于網(wǎng)絡攻擊的中心點——“卻沒有受到損失,”克拉克說。一些公司像波音、杜邦和強生“并未吱聲,于是在我們的書中,就試圖找出原因。”
那么,為什么有些公司被黑客攻擊,有些沒有?從技術層面來說,未受損的公司把它們的設備都打了補丁,防止漏洞被NotPetya利用。但一個更基本的問題是,為什么有些公司打補丁,而有些卻忽略了?
原因就一個詞:優(yōu)先級。最具韌性的組織,都有預案。一位主管若是駁回首席信息安全官的建議,得有充足的理由。首席執(zhí)行官肯定也會過問。
這是很好的防御措施,但如果公司發(fā)起反擊呢?一些美國國會的成員正在提議一項立法,稱之為“黑客反擊”議案,該議案允許公司調查攻擊者的電腦并摧毀被盜數(shù)據(jù)。
位于亞特蘭大的律所長盛(Troutman Sanders)的隱私保護主管馬克·毛,對此議案表示謹慎地支持。“我個人認為,這主意不錯。”他說,“我覺得這就像網(wǎng)絡第二修正案。”(但他補充說,這種做法應該是“有限制的”,并且需要制定很多細節(jié)。)
毛將網(wǎng)絡攻擊和反擊,與核平衡相對比。“核威懾是有效的,因為沒有人希望被核攻擊。”他說,“許多黑客逃之夭夭,因為沒有任何報復措施。”
然而,許多網(wǎng)絡安全業(yè)內人士認為,如果黑客反擊議案變成法律,將會是巨大的災難。網(wǎng)絡安全公司火眼的情報主管、美國空軍預備役人員桑德拉·喬伊斯就表示反對。“最不希望看到的,就是用意良好但純屬菜鳥的人來摻和此事。”她認為這一議案會有誤判攻擊者的危險,也會導致爭鋒相對和矛盾升級。它只會“帶來人心惶惶,風險叢生。”
她還說,這項議案代表著“商業(yè)界的聲音,他們感到被忽視了。這是一種受挫的信號。”
他們的惱怒是可以理解的。據(jù)Gartner的數(shù)據(jù),今年全球網(wǎng)絡安全的支出將增長9%,達1240億美元。但網(wǎng)絡安全還是難以保全。
要防止黑客偷光公司財產(chǎn),公司卻不必耗盡家財?死苏J為,公司把IT預算的8%到10%投入到網(wǎng)絡安全中,就相當不錯了。
要防護好網(wǎng)絡,這個比例的投入也并不總是必要的。艾爾帕洛維蒂奇說,他就知道一家《財富》美國500強的從事賓館業(yè)的公司,每年只花費區(qū)區(qū)1100萬美元做網(wǎng)絡防護,但他確信這家公司的網(wǎng)絡安全是他所見過最好的之一。
面對網(wǎng)絡安全的擔憂,公司的董事會主席把自己的手機號碼給了公司首席信息安全官,并告訴他:“不管白天或夜里,如果有人拒絕你的提議,隨時打我電話。”
艾爾帕洛維蒂奇加了一句:“在這個機構里,沒人敢對他說不。”(財富中文網(wǎng))
