不法分子變得更狡猾了。無論他們是認(rèn)識到要破壞世界、推進(jìn)其議程，另一個辦法就是破壞像美國這些發(fā)達(dá)國家經(jīng)濟(jì)穩(wěn)定性的恐怖分子，滿腹牢騷的企業(yè)內(nèi)部人員，還是主要出于牟利動機(jī)的"普通"犯罪分子，現(xiàn)在的網(wǎng)絡(luò)犯罪活動越來越多，造成的經(jīng)濟(jì)損失也越來越大。在信息技術(shù)安全界，近來大家在熱議2010年7月發(fā)布的《網(wǎng)絡(luò)犯罪成本基準(zhǔn)調(diào)查》;這項(xiàng)調(diào)查是由安全咨詢機(jī)構(gòu)波耐蒙研究所(Ponemon Institute)開展的，對美國公司作了典型抽樣調(diào)查。這家咨詢機(jī)構(gòu)經(jīng)常開展隱私、數(shù)據(jù)保護(hù)和信息安全政策等方面的獨(dú)立研究。

波耐蒙研究所通過典型抽樣調(diào)查似乎竭力想表明的一點(diǎn)是，企業(yè)風(fēng)險(xiǎn)管理(ERM)需要加強(qiáng)，特別是由于它與IT密切相關(guān);許多公司在這方面還是很松懈，仍然抱著壞事不會發(fā)生在自己身上的態(tài)度。波耐蒙研究所這份長23頁的報(bào)告可從其網(wǎng)站上下載(http://www.ponemon.org/index.php)，不過下面是分為七個要點(diǎn)的概括性總結(jié)，還有本人的拙見，表明信息安全與貴公司的處境可能有著怎樣的關(guān)系。

與事先采取措施，加強(qiáng)環(huán)境安全所需的成本相比，網(wǎng)絡(luò)犯罪活動造成的損失高得多。

該調(diào)查聲稱，對于受網(wǎng)絡(luò)犯罪影響的公司來說，響應(yīng)成本平均是每年380萬美元。而原本有望有效減少或防止同樣這些事件的技術(shù)和流程所需的成本一般不到其三分之一。換句話說，而且相當(dāng)明顯的是，在大多數(shù)情況下，與事件/泄密發(fā)生后啟動臨時性的響應(yīng)程序相比，事先規(guī)劃和緩解風(fēng)險(xiǎn)所用的成本要低得多。

而更為重要的是，確保成功的一個關(guān)鍵因素是，指定一位高層主管負(fù)責(zé)企業(yè)風(fēng)險(xiǎn)管理，可以是首席安全官，指定一名首席風(fēng)險(xiǎn)官更好。這位主管常常獨(dú)立地直接向董事會報(bào)告，真正了解整個企業(yè)的情況，而不是僅僅注重技術(shù)，他能適當(dāng)?shù)卮_保：風(fēng)險(xiǎn)管理這一塊在許多項(xiàng)目或計(jì)劃的一開始就"集成到里面"，而不是事后才想到，隨隨便便"擴(kuò)充上去"。另外，隨便將IT安全和風(fēng)險(xiǎn)管理這項(xiàng)工作托付給另外某個業(yè)務(wù)部門的某個"下屬"，這個下屬還不是專門負(fù)責(zé)這項(xiàng)工作，那樣很快會招來大麻煩。

此外，制定和推廣一項(xiàng)企業(yè)風(fēng)險(xiǎn)管理戰(zhàn)略，遵守自愿治理/認(rèn)證框架——如信息基礎(chǔ)設(shè)施庫(ITIL)、國家標(biāo)準(zhǔn)和技術(shù)研究所(NIST)安全指導(dǎo)等，似乎既能大大減小發(fā)生網(wǎng)絡(luò)犯罪活動的可能性，還能大大降低處理網(wǎng)絡(luò)犯罪事件的總成本。

網(wǎng)絡(luò)犯罪無孔不入，而且越來越常見。

你會問為什么這樣?許多公司似乎抱著一種漫不經(jīng)心或驕傲自滿的態(tài)度，至少私底下是這樣，經(jīng)常有類似的想法："我們的安全工作已經(jīng)夠好了"，"我們已經(jīng)做得比競爭對手更好"，"那些要求對于我們不適用"等等。從好幾個方面來看，這些頑固的態(tài)度是完全錯誤的!

貴公司又如何呢?同樣，要知道做到符合任何標(biāo)準(zhǔn)或法規(guī)，未必意味著安全無憂!與企業(yè)風(fēng)險(xiǎn)管理一樣，IT風(fēng)險(xiǎn)管理(信息安全、業(yè)務(wù)連續(xù)性/災(zāi)難恢復(fù)、法規(guī)遵從和治理)也是一項(xiàng)不斷改進(jìn)的計(jì)劃，不僅僅是"一旦搞好，就不用管"的項(xiàng)目。另外就是有利也有弊的社交網(wǎng)絡(luò);社交網(wǎng)絡(luò)既是企業(yè)尋求潛在增長的最佳途徑，也是有人搞破壞的最佳渠道。一些分析師估計(jì)，30%的企業(yè)帶寬是被社交網(wǎng)絡(luò)流量消耗掉的。

一些支持者認(rèn)為，Twitter和LinkedIn等社交網(wǎng)絡(luò)可起到幫助企業(yè)擴(kuò)大服務(wù)范圍的作用?，F(xiàn)在一些IT廠商就是通過社交媒體網(wǎng)站來提供支持的。此外，公關(guān)和營銷團(tuán)隊(duì)看到了社交網(wǎng)絡(luò)在開展促銷活動方面所具有的價值。對于許多公司的公關(guān)活動而言，YouTube正在變成一種更主流的平臺。

不過，盡管這一切是不爭事實(shí)，但社交媒體也可能為各種病毒、惡意軟件以及讓員工分心從而影響工作效率的東西提供了一條便利通道;員工最后可能會未經(jīng)相應(yīng)授權(quán)，就在社交網(wǎng)站上擅自討論敏感或?qū)Ｓ械男畔ⅰ４送?，競爭對手和收債人現(xiàn)在也使用這些信息來源，核查公司的員工。

經(jīng)濟(jì)損失最嚴(yán)重的網(wǎng)絡(luò)犯罪活動是由互聯(lián)網(wǎng)攻擊和惡意內(nèi)部人員造成的犯罪活動。

貴公司使用或托管多少個面向Web的公共網(wǎng)站?你與云環(huán)境連接的通道又如何?有沒有通過嚴(yán)格的滲透測試或開放Web應(yīng)用安全項(xiàng)目(OWASP)編碼規(guī)范，對任何這些網(wǎng)站進(jìn)行核查?得到公認(rèn)的更安全的實(shí)踐表明，我們應(yīng)該每個季度進(jìn)行一次OWASP掃描，每年進(jìn)行兩次滲透測試。貴企業(yè)的變更管理流程多可靠?另外，有沒有考慮過"誰來監(jiān)管監(jiān)管者"的問題?企業(yè)內(nèi)部有沒有針對特權(quán)訪問帳戶的審計(jì)和日志機(jī)制?盡量減少這類潛在漏洞需要遵循企業(yè)層面的威脅和風(fēng)險(xiǎn)管理戰(zhàn)略，協(xié)同實(shí)施安全信息事件管理(SIEM)、數(shù)據(jù)泄密防護(hù)(DLP)、基于主機(jī)的入侵防護(hù)系統(tǒng)(HIPS)等其他多項(xiàng)技術(shù)。

一遭到攻擊，迅速解決是降低經(jīng)濟(jì)損失的關(guān)鍵。

據(jù)這個基準(zhǔn)調(diào)查樣本顯示，要是不迅速解決，網(wǎng)絡(luò)攻擊造成的經(jīng)濟(jì)損失還要大。該報(bào)告顯示，解決網(wǎng)絡(luò)攻擊平均需要14天;而企業(yè)蒙受的經(jīng)濟(jì)損失每天高達(dá)17696美元!想想這樣的經(jīng)濟(jì)損失給貴公司的利潤會帶來怎樣的影響?

調(diào)查顯示，要解決惡意內(nèi)部攻擊，需要長達(dá)42天或更久。這樣的代價表明，面對如今的復(fù)雜攻擊，需要迅速解決。雖然這項(xiàng)研究沒有提到名譽(yù)受損(也就是成為新聞頭條的風(fēng)險(xiǎn))造成的高昂經(jīng)濟(jì)損失，但你的確需要考慮到這點(diǎn)。比如說，除了面臨官司和經(jīng)濟(jì)懲罰外，要是貴公司被發(fā)現(xiàn)違反了更嚴(yán)格的個人身份信息(PII)保護(hù)法，比如加利福尼亞州、馬薩諸塞州或歐盟的相關(guān)法律，會面臨什么樣的后果?

企業(yè)因失竊而丟失信息帶來的外部經(jīng)濟(jì)損失最高，其次是與企業(yè)運(yùn)營受到中斷有關(guān)的經(jīng)濟(jì)損失。

報(bào)告還提到，就一年而言，信息失竊占了外部經(jīng)濟(jì)損失總額的42%。與業(yè)務(wù)受到中斷或生產(chǎn)力下降有關(guān)的經(jīng)濟(jì)損失占了外部經(jīng)濟(jì)損失的22%。報(bào)告隨后還表示，公司規(guī)模變得越大，它們面臨的潛在風(fēng)險(xiǎn)也會變得越高。伴隨這些經(jīng)濟(jì)損失而來的是，因負(fù)面新聞和客戶/股東信心下降這"二次災(zāi)難"所造成的費(fèi)用和名譽(yù)受損。這時候，一項(xiàng)完備的、事先規(guī)劃的危機(jī)溝通計(jì)劃真的有助于力挽狂瀾。

察覺事件/泄密以及之后恢復(fù)如初是成本最高的內(nèi)部活動。這還意味著，這些方面的投入可能是最容易被忽視的方面，由于這方面所需的成本比較高。不妨了解一下事實(shí)真相：如果沒有實(shí)際投入資金，或者投入很少，而高層主管又沒有抽時間用在風(fēng)險(xiǎn)管理上，或者所抽的時間很少，那么你擁有的只是另一項(xiàng)名存實(shí)亡、形同虛設(shè)的計(jì)劃。一旦釀成嚴(yán)重后果，只好聽天由命了?，F(xiàn)在我們開始聽到另一個花招：一些公司在耍這個花招，避開積極承擔(dān)應(yīng)有關(guān)注(due care)這個責(zé)任的要求。雖然一些公司在為企業(yè)風(fēng)險(xiǎn)管理以及/或者信息安全"編制預(yù)算"，但從來沒有實(shí)際投入這筆錢。要不就是，一些公司聲稱自己在繼續(xù)研究更新的技術(shù)，但不是研究數(shù)周或數(shù)年，而是研究過程長達(dá)數(shù)年!一些監(jiān)管部門和保險(xiǎn)公司注意到了這點(diǎn)，要是安全事件是因投保人疏忽而引起的，甚至還會指控欺詐罪名或者拒絕理賠。

所有垂直行業(yè)都很容易出現(xiàn)網(wǎng)絡(luò)犯罪活動。

這份報(bào)告表明，網(wǎng)絡(luò)犯罪的年均成本似乎大不一樣，具體取決于所在的行業(yè)領(lǐng)域;國防、能源和金融服務(wù)行業(yè)的公司蒙受的經(jīng)濟(jì)損失高于零售、服務(wù)和教育行業(yè)的公司。不過，所有垂直行業(yè)都受到了不利影響，而且越來越頻繁地受影響。

在過去的五年間，越來越多上報(bào)的企業(yè)災(zāi)難并不是天災(zāi)造成的。而是許多公司有意承擔(dān)風(fēng)險(xiǎn)(不管是不是被動)造成的，而有些風(fēng)險(xiǎn)顯然是不應(yīng)該承擔(dān)的。保險(xiǎn)公司注意到了這點(diǎn)。它們在發(fā)放保單和進(jìn)行理賠之前，越來越多地要求投保人進(jìn)一步證明給予了應(yīng)有關(guān)注，并進(jìn)行了盡職調(diào)查。政府現(xiàn)在也注意到了這點(diǎn)!

有消息稱，聯(lián)邦政府可能很快會進(jìn)一步就私營行業(yè)的風(fēng)險(xiǎn)管理發(fā)表觀點(diǎn)，特別是由于風(fēng)險(xiǎn)管理與IT密切相關(guān)。這里的前提是，如今IT被廣泛認(rèn)為是現(xiàn)代高度互聯(lián)的經(jīng)濟(jì)體中關(guān)鍵任務(wù)基礎(chǔ)設(shè)施的一個組成部分;而非政府實(shí)體在自愿遵守得到公認(rèn)的風(fēng)險(xiǎn)管理實(shí)踐方面做得差強(qiáng)人意。目前正在積極討論的是更加嚴(yán)格的安全框架，比如支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(PCI-DSS)，可能作為所有公司(有一定規(guī)模/收入額)在"應(yīng)有關(guān)注"方面新的最低標(biāo)準(zhǔn)。

所以，下次貴公司考慮預(yù)算方面的事宜時，也許應(yīng)該至少鼓勵你的IT部門考慮專門為此撥出一些額外資金--起碼用于全面評估整個企業(yè)的安全狀況。只要花比較少的費(fèi)用，就可以對現(xiàn)有的工作人員進(jìn)行培訓(xùn)，甚至讓其獲得認(rèn)證，熟悉如何進(jìn)行全面的評估。不過有個問題要注意。與客觀獨(dú)立的第三方機(jī)構(gòu)相比，現(xiàn)有的內(nèi)部人員常常有點(diǎn)疲憊不堪，評估時不大客觀公正。

理想情況下，公司應(yīng)該定期進(jìn)行內(nèi)部評估，并著眼于收集和分析企業(yè)內(nèi)部的評估結(jié)果。接下來的一步是，聘請有資質(zhì)的外部機(jī)構(gòu)來進(jìn)行類似范圍的另一番評估，確保能夠準(zhǔn)確地了解情況。外部機(jī)構(gòu)還能提供獨(dú)立的專長，以確定風(fēng)險(xiǎn)管理和IT安全投資方面的主次之分。這樣一來，貴企業(yè)就可以更準(zhǔn)確地了解自己的處境，需要怎樣投入，確保貴公司沒有在亂冒險(xiǎn)，免得因安全事件而登上頭條，以及/或者可能給這個國家增添安全漏洞。

【編輯推薦】

1. 盜竊QQ號碼或判刑？“兩高”頒法量化網(wǎng)絡(luò)犯罪
2. 防范網(wǎng)絡(luò)犯罪侵入智能手機(jī)的要點(diǎn)分析
3. 天融信新推第三代終端安全風(fēng)險(xiǎn)管理解決方案
4. 中小企業(yè)須知的五大網(wǎng)絡(luò)犯罪犯罪防范
5. 七大最佳實(shí)踐打造信息技術(shù)風(fēng)險(xiǎn)管理“X戰(zhàn)警”