雅虎在各市場(chǎng)當(dāng)老大已經(jīng)很長(zhǎng)時(shí)間了，但2016年9月，它又摘得一項(xiàng)新“桂冠”：人類歷史上***型的公開數(shù)據(jù)泄露。

數(shù)量非常龐大，對(duì)所有類型的公司企業(yè)有著地殼板塊遷移一般的潛在影響：

5億+賬戶受影響

8億美元威瑞森收購(gòu)案被擱置

從雅虎開始檢測(cè)到公開披露數(shù)據(jù)泄露花了2年

幾乎翻倍了2016年已經(jīng)創(chuàng)歷史記錄的公開承認(rèn)數(shù)據(jù)泄露記錄條數(shù)——540億條

怎么發(fā)生的?

雅虎是網(wǎng)絡(luò)安全5大致命因素(Five Killer C：Culture、Complexity、Conflict of Interest、Cash、Complacency：文化、復(fù)雜性、利益沖突、資金、自滿)的***案例?！都~約時(shí)報(bào)》一篇文章指稱，“雅虎將防御黑客放在了次要位置”：

2012年中，瑪麗莎·梅耶爾接任這家搖搖欲墜公司的CEO帥印時(shí)，安全，就是她繼承的諸多問(wèn)題其中之一。雅虎員工稱，當(dāng)務(wù)之急太多，她把重點(diǎn)放在了讓雅虎郵箱之類服務(wù)更簡(jiǎn)潔和開發(fā)新產(chǎn)品上，而將改善安全位居次席。

在雅虎，文化、復(fù)雜性、利益沖突、資金、自滿——這5大企業(yè)安全殺手均登場(chǎng)亮相，CEO、CFO、CISO、CIO都處理不了這牽涉整個(gè)企業(yè)的巨大問(wèn)題。

有評(píng)估才有執(zhí)行

商業(yè)領(lǐng)域基本真相之一——有評(píng)估才有執(zhí)行。全世界的企業(yè)***們都想知道，自己的團(tuán)隊(duì)在網(wǎng)絡(luò)安全方面都在做些什么。

如果他們確實(shí)能得到一個(gè)答案——雖然大多數(shù)情況下此題無(wú)解，那通常會(huì)是：我們正在購(gòu)買/實(shí)現(xiàn)******的反病毒引擎、防火墻、沙箱技術(shù)等等。

不過(guò)，“我們?cè)诰W(wǎng)絡(luò)安全方面在做什么?”不是一個(gè)正確的問(wèn)法。正確的問(wèn)題應(yīng)該是：“我們當(dāng)前的風(fēng)險(xiǎn)是什么?”

假如雅虎有此視角，如果網(wǎng)絡(luò)風(fēng)險(xiǎn)被深深烙印進(jìn)這個(gè)公司，那么他們可能就會(huì)做出不同的決策——那種可以減少大規(guī)模數(shù)據(jù)泄露機(jī)會(huì)，或提升檢測(cè)和修復(fù)速度的決策。

但他們?nèi)狈σ环N可以顯示其真正持續(xù)網(wǎng)絡(luò)風(fēng)險(xiǎn)的途徑，那種在先行指標(biāo)(人)和滯后指標(biāo)(技術(shù))之間取得平衡，讓經(jīng)理、董事、執(zhí)行主管、部門負(fù)責(zé)人和高管得以做出戰(zhàn)略決策和投資的途徑。

持續(xù)性網(wǎng)絡(luò)風(fēng)險(xiǎn)沒(méi)有得到評(píng)估，于是，風(fēng)險(xiǎn)防范和緩解也就沒(méi)有做到。

關(guān)注人的風(fēng)險(xiǎn)

承自信息技術(shù)、工程和計(jì)算機(jī)科學(xué)的網(wǎng)絡(luò)安全行業(yè)中有一個(gè)偏見。這個(gè)偏見一直存在，暗中為害，有時(shí)候會(huì)被宣之于口，更多的時(shí)候是被作為一個(gè)事實(shí)深入人心：“用戶很蠢，而我們修復(fù)不了蠢病。”

網(wǎng)絡(luò)風(fēng)險(xiǎn)的根源是人，以及安全意識(shí)的缺乏。但公司、政府和個(gè)人卻置這一根源問(wèn)題于不顧，反而去買入不斷膨脹的、又貴又難懂的大量復(fù)雜技術(shù)解決方案，真正的問(wèn)題倒是被繞過(guò)了。

這并不是說(shuō)在對(duì)付當(dāng)前及未來(lái)網(wǎng)絡(luò)威脅的問(wèn)題上就沒(méi)有安全技術(shù)的用武之地，安全技術(shù)當(dāng)然有用，但我們目前對(duì)待網(wǎng)絡(luò)安全的總體態(tài)度，是有失偏頗的。

在投資技術(shù)與投資人員本身上取得平衡

當(dāng)前對(duì)網(wǎng)絡(luò)安全的態(tài)度太過(guò)于倚重比特、字節(jié)、管道、反饋、速度、機(jī)器學(xué)習(xí)和超貴的主機(jī)。98.6%的網(wǎng)絡(luò)安全投資都流向了預(yù)防、檢測(cè)和響應(yīng)工具/保險(xiǎn)，僅1.4%用在改變員工行為上。這顯然是有問(wèn)題的。

我們?cè)趺粗莱隽藛?wèn)題呢?因?yàn)槿蚧ㄔ谝约夹g(shù)為中心的網(wǎng)絡(luò)風(fēng)險(xiǎn)解決方案上的資金盡管高達(dá)數(shù)百億美元，我們?nèi)匀灰恢痹谥苯踊蜷g接地因網(wǎng)絡(luò)犯罪而損失數(shù)千億美元。

不改變路線，未來(lái)還將重復(fù)現(xiàn)在及過(guò)去的情況——更多數(shù)據(jù)泄露，更多資金流失，更多人生被影響，更多對(duì)技術(shù)的信仰與信任被侵蝕。

任何類型的企業(yè)都需要關(guān)注網(wǎng)絡(luò)安全的人類方面——人員、過(guò)程、文化，及其在安全層次中的位置。他們需要的工具，不是繞開網(wǎng)絡(luò)風(fēng)險(xiǎn)根源耍把式的那些，而是能直接評(píng)估、監(jiān)視和管理網(wǎng)絡(luò)風(fēng)險(xiǎn)的那種。

通過(guò)曝光不良行為和提供輔助培訓(xùn)，這類工具不僅僅有助于提升整個(gè)企業(yè)的安全意識(shí)，還能增強(qiáng)對(duì)網(wǎng)絡(luò)不當(dāng)行為的責(zé)任感。公司企業(yè)不僅需要符合各種行業(yè)標(biāo)準(zhǔn)，比如ISO 27002(信息技術(shù)—安全技術(shù)—信息安全管理實(shí)踐規(guī)范)、NIST(美國(guó)國(guó)家標(biāo)準(zhǔn))、SANS(系統(tǒng)管理、審計(jì)、網(wǎng)絡(luò)與安全)、PCI-DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))等等，還要將安全作為重要組成部分融入公司各部門。