【51CTO.com 獨(dú)家譯稿】貴企業(yè)對(duì)自己的安全計(jì)劃抱著什么樣的態(tài)度？最近發(fā)布的一份安全調(diào)查報(bào)告表明，說(shuō)到風(fēng)險(xiǎn)管理方面，還是有太多企業(yè)把頭埋在沙子里，逃避現(xiàn)實(shí)。

不法分子變得更狡猾了。無(wú)論他們是認(rèn)識(shí)到要破壞世界、推進(jìn)其議程，另一個(gè)辦法就是破壞像美國(guó)這些發(fā)達(dá)國(guó)家經(jīng)濟(jì)穩(wěn)定性的恐怖分子，滿(mǎn)腹牢騷的企業(yè)內(nèi)部人員，還是主要出于牟利動(dòng)機(jī)的"普通"犯罪分子，現(xiàn)在的網(wǎng)絡(luò)犯罪活動(dòng)越來(lái)越多，造成的經(jīng)濟(jì)損失也越來(lái)越大。在信息技術(shù)安全界，近來(lái)大家在熱議2010年7月發(fā)布的《網(wǎng)絡(luò)犯罪成本基準(zhǔn)調(diào)查》；這項(xiàng)調(diào)查是由安全咨詢(xún)機(jī)構(gòu)波耐蒙研究所（Ponemon Institute）開(kāi)展的，對(duì)美國(guó)公司作了典型抽樣調(diào)查。這家咨詢(xún)機(jī)構(gòu)經(jīng)常開(kāi)展隱私、數(shù)據(jù)保護(hù)和信息安全政策等方面的獨(dú)立研究。

波耐蒙研究所通過(guò)典型抽樣調(diào)查似乎竭力想表明的一點(diǎn)是，企業(yè)風(fēng)險(xiǎn)管理（ERM）需要加強(qiáng)，特別是由于它與IT密切相關(guān)；許多公司在這方面還是很松懈，仍然抱著壞事不會(huì)發(fā)生在自己身上的態(tài)度。波耐蒙研究所這份長(zhǎng)23頁(yè)的報(bào)告可從其網(wǎng)站上下載（http://www.ponemon.org/index.php），不過(guò)下面是分為七個(gè)要點(diǎn)的概括性總結(jié)，還有本人的拙見(jiàn)，表明信息安全與貴公司的處境可能有著怎樣的關(guān)系。

與事先采取措施，加強(qiáng)環(huán)境安全所需的成本相比，網(wǎng)絡(luò)犯罪活動(dòng)造成的損失高得多。

[[18402]]

該調(diào)查聲稱(chēng)，對(duì)于受網(wǎng)絡(luò)犯罪影響的公司來(lái)說(shuō)，響應(yīng)成本平均是每年380萬(wàn)美元。而原本有望有效減少或防止同樣這些事件的技術(shù)和流程所需的成本一般不到其三分之一。換句話說(shuō)，而且相當(dāng)明顯的是，在大多數(shù)情況下，與事件/泄密發(fā)生后啟動(dòng)臨時(shí)性的響應(yīng)程序相比，事先規(guī)劃和緩解風(fēng)險(xiǎn)所用的成本要低得多。

而更為重要的是，確保成功的一個(gè)關(guān)鍵因素是，指定一位高層主管負(fù)責(zé)企業(yè)風(fēng)險(xiǎn)管理，可以是首席安全官，指定一名首席風(fēng)險(xiǎn)官更好。這位主管常常獨(dú)立地直接向董事會(huì)報(bào)告，真正了解整個(gè)企業(yè)的情況，而不是僅僅注重技術(shù)，他能適當(dāng)?shù)卮_保：風(fēng)險(xiǎn)管理這一塊在許多項(xiàng)目或計(jì)劃的一開(kāi)始就"集成到里面"，而不是事后才想到，隨隨便便"擴(kuò)充上去"。另外，隨便將IT安全和風(fēng)險(xiǎn)管理這項(xiàng)工作托付給另外某個(gè)業(yè)務(wù)部門(mén)的某個(gè)"下屬"，這個(gè)下屬還不是專(zhuān)門(mén)負(fù)責(zé)這項(xiàng)工作，那樣很快會(huì)招來(lái)大麻煩。

此外，制定和推廣一項(xiàng)企業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略，遵守自愿治理/認(rèn)證框架——如信息基礎(chǔ)設(shè)施庫(kù)（ITIL）、國(guó)家標(biāo)準(zhǔn)和技術(shù)研究所（NIST）安全指導(dǎo)等，似乎既能大大減小發(fā)生網(wǎng)絡(luò)犯罪活動(dòng)的可能性，還能大大降低處理網(wǎng)絡(luò)犯罪事件的總成本。#p#

網(wǎng)絡(luò)犯罪無(wú)孔不入，而且越來(lái)越常見(jiàn)。

你會(huì)問(wèn)為什么這樣？許多公司似乎抱著一種漫不經(jīng)心或驕傲自滿(mǎn)的態(tài)度，至少私底下是這樣，經(jīng)常有類(lèi)似的想法："我們的安全工作已經(jīng)夠好了"，"我們已經(jīng)做得比競(jìng)爭(zhēng)對(duì)手更好"，"那些要求對(duì)于我們不適用"等等。從好幾個(gè)方面來(lái)看，這些頑固的態(tài)度是完全錯(cuò)誤的！

[[18403]]

貴公司又如何呢？同樣，要知道做到符合任何標(biāo)準(zhǔn)或法規(guī)，未必意味著安全無(wú)憂！與企業(yè)風(fēng)險(xiǎn)管理一樣，IT風(fēng)險(xiǎn)管理（信息安全、業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)、法規(guī)遵從和治理）也是一項(xiàng)不斷改進(jìn)的計(jì)劃，不僅僅是"一旦搞好，就不用管"的項(xiàng)目。另外就是有利也有弊的社交網(wǎng)絡(luò)；社交網(wǎng)絡(luò)既是企業(yè)尋求潛在增長(zhǎng)的最佳途徑，也是有人搞破壞的最佳渠道。一些分析師估計(jì)，30%的企業(yè)帶寬是被社交網(wǎng)絡(luò)流量消耗掉的。

一些支持者認(rèn)為，Twitter和LinkedIn等社交網(wǎng)絡(luò)可起到幫助企業(yè)擴(kuò)大服務(wù)范圍的作用。現(xiàn)在一些IT廠商就是通過(guò)社交媒體網(wǎng)站來(lái)提供支持的。此外，公關(guān)和營(yíng)銷(xiāo)團(tuán)隊(duì)看到了社交網(wǎng)絡(luò)在開(kāi)展促銷(xiāo)活動(dòng)方面所具有的價(jià)值。對(duì)于許多公司的公關(guān)活動(dòng)而言，YouTube正在變成一種更主流的平臺(tái)。

不過(guò)，盡管這一切是不爭(zhēng)事實(shí)，但社交媒體也可能為各種病毒、惡意軟件以及讓員工分心從而影響工作效率的東西提供了一條便利通道；員工最后可能會(huì)未經(jīng)相應(yīng)授權(quán)，就在社交網(wǎng)站上擅自討論敏感或?qū)Ｓ械男畔?。此外，?jìng)爭(zhēng)對(duì)手和收債人現(xiàn)在也使用這些信息來(lái)源，核查公司的員工。

經(jīng)濟(jì)損失最嚴(yán)重的網(wǎng)絡(luò)犯罪活動(dòng)是由互聯(lián)網(wǎng)攻擊和惡意內(nèi)部人員造成的犯罪活動(dòng)。

貴公司使用或托管多少個(gè)面向Web的公共網(wǎng)站？你與云環(huán)境連接的通道又如何？有沒(méi)有通過(guò)嚴(yán)格的滲透測(cè)試或開(kāi)放Web應(yīng)用安全項(xiàng)目（OWASP）編碼規(guī)范，對(duì)任何這些網(wǎng)站進(jìn)行核查？得到公認(rèn)的更安全的實(shí)踐表明，我們應(yīng)該每個(gè)季度進(jìn)行一次OWASP掃描，每年進(jìn)行兩次滲透測(cè)試。貴企業(yè)的變更管理流程多可靠？另外，有沒(méi)有考慮過(guò)"誰(shuí)來(lái)監(jiān)管監(jiān)管者"的問(wèn)題？企業(yè)內(nèi)部有沒(méi)有針對(duì)特權(quán)訪問(wèn)帳戶(hù)的審計(jì)和日志機(jī)制？盡量減少這類(lèi)潛在漏洞需要遵循企業(yè)層面的威脅和風(fēng)險(xiǎn)管理戰(zhàn)略，協(xié)同實(shí)施安全信息事件管理（SIEM）、數(shù)據(jù)泄密防護(hù)（DLP）、基于主機(jī)的入侵防護(hù)系統(tǒng)（HIPS）等其他多項(xiàng)技術(shù)。#p#

一遭到攻擊，迅速解決是降低經(jīng)濟(jì)損失的關(guān)鍵。

據(jù)這個(gè)基準(zhǔn)調(diào)查樣本顯示，要是不迅速解決，網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失還要大。該報(bào)告顯示，解決網(wǎng)絡(luò)攻擊平均需要14天；而企業(yè)蒙受的經(jīng)濟(jì)損失每天高達(dá)17696美元！想想這樣的經(jīng)濟(jì)損失給貴公司的利潤(rùn)會(huì)帶來(lái)怎樣的影響？

調(diào)查顯示，要解決惡意內(nèi)部攻擊，需要長(zhǎng)達(dá)42天或更久。這樣的代價(jià)表明，面對(duì)如今的復(fù)雜攻擊，需要迅速解決。雖然這項(xiàng)研究沒(méi)有提到名譽(yù)受損（也就是成為新聞?lì)^條的風(fēng)險(xiǎn)）造成的高昂經(jīng)濟(jì)損失，但你的確需要考慮到這點(diǎn)。比如說(shuō)，除了面臨官司和經(jīng)濟(jì)懲罰外，要是貴公司被發(fā)現(xiàn)違反了更嚴(yán)格的個(gè)人身份信息（PII）保護(hù)法，比如加利福尼亞州、馬薩諸塞州或歐盟的相關(guān)法律，會(huì)面臨什么樣的后果？

企業(yè)因失竊而丟失信息帶來(lái)的外部經(jīng)濟(jì)損失最高，其次是與企業(yè)運(yùn)營(yíng)受到中斷有關(guān)的經(jīng)濟(jì)損失。

[[18404]]

報(bào)告還提到，就一年而言，信息失竊占了外部經(jīng)濟(jì)損失總額的42%。與業(yè)務(wù)受到中斷或生產(chǎn)力下降有關(guān)的經(jīng)濟(jì)損失占了外部經(jīng)濟(jì)損失的22%。報(bào)告隨后還表示，公司規(guī)模變得越大，它們面臨的潛在風(fēng)險(xiǎn)也會(huì)變得越高。伴隨這些經(jīng)濟(jì)損失而來(lái)的是，因負(fù)面新聞和客戶(hù)/股東信心下降這"二次災(zāi)難"所造成的費(fèi)用和名譽(yù)受損。這時(shí)候，一項(xiàng)完備的、事先規(guī)劃的危機(jī)溝通計(jì)劃真的有助于力挽狂瀾。

察覺(jué)事件/泄密以及之后恢復(fù)如初是成本最高的內(nèi)部活動(dòng)。這還意味著，這些方面的投入可能是最容易被忽視的方面，由于這方面所需的成本比較高。不妨了解一下事實(shí)真相：如果沒(méi)有實(shí)際投入資金，或者投入很少，而高層主管又沒(méi)有抽時(shí)間用在風(fēng)險(xiǎn)管理上，或者所抽的時(shí)間很少，那么你擁有的只是另一項(xiàng)名存實(shí)亡、形同虛設(shè)的計(jì)劃。一旦釀成嚴(yán)重后果，只好聽(tīng)天由命了?，F(xiàn)在我們開(kāi)始聽(tīng)到另一個(gè)花招：一些公司在耍這個(gè)花招，避開(kāi)積極承擔(dān)應(yīng)有關(guān)注（due care）這個(gè)責(zé)任的要求。雖然一些公司在為企業(yè)風(fēng)險(xiǎn)管理以及/或者信息安全"編制預(yù)算"，但從來(lái)沒(méi)有實(shí)際投入這筆錢(qián)。要不就是，一些公司聲稱(chēng)自己在繼續(xù)研究更新的技術(shù)，但不是研究數(shù)周或數(shù)年，而是研究過(guò)程長(zhǎng)達(dá)數(shù)年！一些監(jiān)管部門(mén)和保險(xiǎn)公司注意到了這點(diǎn)，要是安全事件是因投保人疏忽而引起的，甚至還會(huì)指控欺詐罪名或者拒絕理賠。#p#

所有垂直行業(yè)都很容易出現(xiàn)網(wǎng)絡(luò)犯罪活動(dòng)。

這份報(bào)告表明，網(wǎng)絡(luò)犯罪的年均成本似乎大不一樣，具體取決于所在的行業(yè)領(lǐng)域；國(guó)防、能源和金融服務(wù)行業(yè)的公司蒙受的經(jīng)濟(jì)損失高于零售、服務(wù)和教育行業(yè)的公司。不過(guò)，所有垂直行業(yè)都受到了不利影響，而且越來(lái)越頻繁地受影響。

在過(guò)去的五年間，越來(lái)越多上報(bào)的企業(yè)災(zāi)難并不是天災(zāi)造成的。而是許多公司有意承擔(dān)風(fēng)險(xiǎn)（不管是不是被動(dòng)）造成的，而有些風(fēng)險(xiǎn)顯然是不應(yīng)該承擔(dān)的。保險(xiǎn)公司注意到了這點(diǎn)。它們?cè)诎l(fā)放保單和進(jìn)行理賠之前，越來(lái)越多地要求投保人進(jìn)一步證明給予了應(yīng)有關(guān)注，并進(jìn)行了盡職調(diào)查。政府現(xiàn)在也注意到了這點(diǎn)！

有消息稱(chēng)，聯(lián)邦政府可能很快會(huì)進(jìn)一步就私營(yíng)行業(yè)的風(fēng)險(xiǎn)管理發(fā)表觀點(diǎn)，特別是由于風(fēng)險(xiǎn)管理與IT密切相關(guān)。這里的前提是，如今IT被廣泛認(rèn)為是現(xiàn)代高度互聯(lián)的經(jīng)濟(jì)體中關(guān)鍵任務(wù)基礎(chǔ)設(shè)施的一個(gè)組成部分；而非政府實(shí)體在自愿遵守得到公認(rèn)的風(fēng)險(xiǎn)管理實(shí)踐方面做得差強(qiáng)人意。目前正在積極討論的是更加嚴(yán)格的安全框架，比如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)（PCI-DSS），可能作為所有公司（有一定規(guī)模/收入額）在"應(yīng)有關(guān)注"方面新的最低標(biāo)準(zhǔn)。

[[18405]]

所以，下次貴公司考慮預(yù)算方面的事宜時(shí)，也許應(yīng)該至少鼓勵(lì)你的IT部門(mén)考慮專(zhuān)門(mén)為此撥出一些額外資金--起碼用于全面評(píng)估整個(gè)企業(yè)的安全狀況。只要花比較少的費(fèi)用，就可以對(duì)現(xiàn)有的工作人員進(jìn)行培訓(xùn)，甚至讓其獲得認(rèn)證，熟悉如何進(jìn)行全面的評(píng)估。不過(guò)有個(gè)問(wèn)題要注意。與客觀獨(dú)立的第三方機(jī)構(gòu)相比，現(xiàn)有的內(nèi)部人員常常有點(diǎn)疲憊不堪，評(píng)估時(shí)不大客觀公正。

理想情況下，公司應(yīng)該定期進(jìn)行內(nèi)部評(píng)估，并著眼于收集和分析企業(yè)內(nèi)部的評(píng)估結(jié)果。接下來(lái)的一步是，聘請(qǐng)有資質(zhì)的外部機(jī)構(gòu)來(lái)進(jìn)行類(lèi)似范圍的另一番評(píng)估，確保能夠準(zhǔn)確地了解情況。外部機(jī)構(gòu)還能提供獨(dú)立的專(zhuān)長(zhǎng)，以確定風(fēng)險(xiǎn)管理和IT安全投資方面的主次之分。這樣一來(lái)，貴企業(yè)就可以更準(zhǔn)確地了解自己的處境，需要怎樣投入，確保貴公司沒(méi)有在亂冒險(xiǎn)，免得因安全事件而登上頭條，以及/或者可能給這個(gè)國(guó)家增添安全漏洞。

原文鏈接：http://www.csoonline.com/article/654216/7-cyber-crime-facts-executives-need-to-know

【51CTO.com獨(dú)家譯稿，非經(jīng)授權(quán)謝絕轉(zhuǎn)載！合作媒體轉(zhuǎn)載請(qǐng)注明原文出處及出處！】

【編輯推薦】

1. 與僵尸網(wǎng)絡(luò)等無(wú)形的威脅做斗爭(zhēng)的11種方法
2. 混合安全方案應(yīng)對(duì)越來(lái)越模糊的安全界線
3. 霧里看花 如何選擇真正的萬(wàn)兆防火墻
4. 國(guó)外黑客劫持某網(wǎng)游玩家數(shù)據(jù)威脅服務(wù)商