并購與收購案例加大了攻擊者對(duì)于重要數(shù)據(jù)的興趣，但是專家認(rèn)為大多數(shù)企業(yè)都無法在執(zhí)行交易之前完成一次網(wǎng)絡(luò)安全評(píng)估。

[[123026]]

根據(jù)Thomson Reuters的最新數(shù)據(jù)，整體回調(diào)的全球經(jīng)濟(jì)導(dǎo)致過去7年里面發(fā)生的企業(yè)并購和收效活動(dòng)遠(yuǎn)遠(yuǎn)多于其他時(shí)間。許多執(zhí)行官必然關(guān)注于高收益交易，但是信息安全專家則認(rèn)為，大多數(shù)企業(yè)在進(jìn)入M&A（Mergers and Acquisitions，企業(yè)并購）流程時(shí)因?yàn)楹鲆暟踩远赶轮旅e(cuò)誤。

有一個(gè)鮮活的例子，在最新一期的ICS-CERT Monitor里——由美國國土安全局(DHS)行業(yè)控制系統(tǒng)計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急響應(yīng)小組發(fā)布的季刊，詳細(xì)介紹了一起“由多個(gè)威脅發(fā)起者在幾個(gè)月時(shí)間里對(duì)一個(gè)大型關(guān)鍵制造組織發(fā)起的攻擊事件”。ICS-CERT的危害調(diào)查披露了受攻擊主機(jī)的證據(jù)、攻擊者在整個(gè)公司網(wǎng)絡(luò)的最近行為及受到攻擊的域帳號(hào)。

ICS-CERT指出，讓入侵檢測難度變大的是受攻擊組織已經(jīng)由一系列收購變成一種“多公司混合體”。伴隨公司收購而發(fā)生的計(jì)算機(jī)網(wǎng)絡(luò)合并帶來了多個(gè)網(wǎng)絡(luò)安全弱點(diǎn)，同時(shí)又降低了IT安全團(tuán)隊(duì)的網(wǎng)絡(luò)可見性。

ICS-CERT Monitor的報(bào)告中寫道：“這個(gè)組織已經(jīng)有超過100個(gè)互聯(lián)網(wǎng)出入點(diǎn)，這讓網(wǎng)絡(luò)邊界保護(hù)變得非常復(fù)雜。在這種情況下，重新設(shè)計(jì)網(wǎng)絡(luò)架構(gòu)是保證公司在整個(gè)企業(yè)范圍內(nèi)實(shí)現(xiàn)統(tǒng)一安全狀態(tài)的最佳方法。”

M&A流程中被忽略的安全問題

雖然ICS-CERT的警告僅限于一個(gè)制造業(yè)組織，但是專家告訴SearchSecurity，在企業(yè)并購或收購過程中，信息安全性通常都不在考慮范圍內(nèi)。

愛爾蘭BH咨詢公司老板及CEO Brian Honan指出，在他25年的安全行業(yè)從業(yè)經(jīng)歷里，他遇到過無數(shù)類似于ICS-CERT描述的情況。Honan指出，這對(duì)于大型企業(yè)而言尤為苦惱，因?yàn)閷⒕W(wǎng)絡(luò)和企業(yè)安全文化合并到一個(gè)環(huán)境的困難是不可接受的。

Honan說：“例如，如果有一家較大規(guī)模公司，它擁有一個(gè)成熟的信息安全管理框架，然后它準(zhǔn)備收購一家新創(chuàng)公司，而這個(gè)新創(chuàng)公司可能還沒有實(shí)施任何安全流程。如果是購買一個(gè)軟件產(chǎn)品，那么他們可能還從未對(duì)應(yīng)用程序代碼執(zhí)行過安全性審查。”

美國加州爾灣CrowdStrike公司服務(wù)部門總裁及前FBI執(zhí)行助理主管Shawn Henry指出，在他私營公司和公共部門的角色里，他非常強(qiáng)調(diào)在M&A流程中執(zhí)行全面網(wǎng)絡(luò)安全評(píng)估的重要性。Henry指出，在幾次M&A流程中，CrowdStrike的專家都發(fā)現(xiàn)了攻擊者主動(dòng)攻擊M&A交易企業(yè)的證據(jù)。這些攻擊者對(duì)美國公司之間的所有交易都非常感興趣。

此外，Henry還指出，他還曾經(jīng)發(fā)現(xiàn)一些公司的交易是完全基于重要知識(shí)產(chǎn)權(quán)收購，而他發(fā)現(xiàn)攻擊者已經(jīng)攻破了IT，所收購實(shí)體的價(jià)值已經(jīng)大打折扣。

但是，Henry指出，盡管重復(fù)警告和大量證據(jù)證明不作為的嚴(yán)重后果，但是他從未看到過有一家公司在M&A活動(dòng)中對(duì)安全風(fēng)險(xiǎn)進(jìn)行全面評(píng)估。

Henry說：“每天都有公司被收購，然后它們連接到自己的網(wǎng)絡(luò)中，但是極少有公司對(duì)他們的網(wǎng)絡(luò)安全性進(jìn)行評(píng)估。對(duì)于我而言，這相當(dāng)于購買一棟房子，但是完全不執(zhí)行防白蟻措施。我不知道具體有多少人會(huì)做這些事情，但是這確實(shí)每天都在發(fā)生。”

Henry補(bǔ)充說：“我認(rèn)為這里仍然有很多抵觸因素，或許是因?yàn)槿藗儾]有將它視為高優(yōu)先級(jí)的事務(wù)?；蛟S他們沒有足夠的時(shí)間去處理它的影響，而且有時(shí)候擊敗對(duì)手而成收購要比長期目標(biāo)更重要一些。”

成功的網(wǎng)絡(luò)并購要從一開始就考慮安全性

雖然企業(yè)在執(zhí)行M&A交易時(shí)忽視安全性，但是Henry和Honan都表達(dá)了相同的期望，最近影響很大的安全事故(如針對(duì)Target和Home Depot的 數(shù)據(jù)攻擊)讓執(zhí)行董事會(huì)更加關(guān)注安全性了。這意味著要在任何一次交易開始時(shí)就評(píng)估潛在M&A目標(biāo)的安全性。

對(duì)于正在執(zhí)行收購的公司而言，Honan強(qiáng)調(diào)說，CISO一定要盡快參與任何潛在收購。Honan說，CISO應(yīng)該與執(zhí)行官溝通，在引入一個(gè)獨(dú)立網(wǎng)絡(luò)時(shí)讓他們理解哪些寶貴資源需要得到保護(hù)，然后確定收購組織可能帶來哪些新風(fēng)險(xiǎn)。

Honan指出，在這些情況中，要考慮的最重要因素是收購目標(biāo)是否對(duì)安全性有足夠的重視。他說，這其中可能包括安全技術(shù)的實(shí)現(xiàn)，但是更重要的是所收購公司是否已經(jīng)正確評(píng)估了資產(chǎn)價(jià)值，是否有一些流程和專人都保護(hù)這些資產(chǎn)。

Honan問道：“它是否在他們的客戶列表上?它是否是他們的主要聲譽(yù)?它是否是他們的知識(shí)產(chǎn)權(quán)?他們的相關(guān)人員是否有經(jīng)過合格的安全培訓(xùn)?這就像去買一輛汽車。銷售商會(huì)告訴你汽車的所有優(yōu)點(diǎn)，但是你自己一定要請(qǐng)人徹底檢查引擎、底盤及汽車的使用記錄，確保它不是報(bào)廢車或被盜車。審查一個(gè)公司的過程也是一樣的。”

Henry認(rèn)同一點(diǎn)，安全性應(yīng)該在整個(gè)流程開始時(shí)就成為一個(gè)必要環(huán)節(jié)，這些公司應(yīng)該在收購之前對(duì)收購目標(biāo)執(zhí)行一次全面的網(wǎng)絡(luò)安全評(píng)估，其中包括評(píng)估硬件、軟件、網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)存儲(chǔ)方式及保護(hù)數(shù)據(jù)的人員與流程。

即使在收購或并購流程完成之后，組織仍然需要執(zhí)行一些步驟來保證合并網(wǎng)絡(luò)的安全性。在前面提到的制造業(yè)企業(yè)案例中，DHS建議類似的組織要立即限制合并后網(wǎng)絡(luò)的互聯(lián)網(wǎng)連接數(shù)量——Henry認(rèn)為這是限制風(fēng)險(xiǎn)的最基本但最有效的方法。多年以來，聯(lián)邦政府一直在努力減少它的外部互聯(lián)網(wǎng)連接數(shù)量，目前已經(jīng)從8,000個(gè)減少為100個(gè)以下，目的是減少攻擊者的潛在入侵點(diǎn)。

此外，Henry還指出，一些組織應(yīng)該執(zhí)行清查評(píng)估，就像在M&A交易之前的做法一樣，評(píng)估新合并實(shí)體的所有重要IP與其他資產(chǎn)。他強(qiáng)調(diào)說，這個(gè)措施可以擴(kuò)大到網(wǎng)絡(luò)架構(gòu)及新增到環(huán)境的設(shè)備上。

Henry說：“我接觸過許多公司，它們幾年前就完成了收購，但是他們現(xiàn)在仍然不知道自己到底買了什么。他們不知道網(wǎng)絡(luò)的所有子網(wǎng)情況。里面有許多設(shè)備、服務(wù)器、各種網(wǎng)段，但是他們完全監(jiān)控不到，因?yàn)樗麄儚奈磮?zhí)行過一次全面評(píng)估或?qū)彶椤?rdquo;