并購與收購案例加大了攻擊者對于重要數(shù)據(jù)的興趣，但是專家認為大多數(shù)企業(yè)都無法在執(zhí)行交易之前完成一次網(wǎng)絡(luò)安全評估。

[[123026]]

根據(jù)Thomson Reuters的最新數(shù)據(jù)，整體回調(diào)的全球經(jīng)濟導(dǎo)致過去7年里面發(fā)生的企業(yè)并購和收效活動遠遠多于其他時間。許多執(zhí)行官必然關(guān)注于高收益交易，但是信息安全專家則認為，大多數(shù)企業(yè)在進入M&A（Mergers and Acquisitions，企業(yè)并購）流程時因為忽視安全性而犯下致命錯誤。

有一個鮮活的例子，在最新一期的ICS-CERT Monitor里——由美國國土安全局(DHS)行業(yè)控制系統(tǒng)計算機網(wǎng)絡(luò)應(yīng)急響應(yīng)小組發(fā)布的季刊，詳細介紹了一起“由多個威脅發(fā)起者在幾個月時間里對一個大型關(guān)鍵制造組織發(fā)起的攻擊事件”。ICS-CERT的危害調(diào)查披露了受攻擊主機的證據(jù)、攻擊者在整個公司網(wǎng)絡(luò)的最近行為及受到攻擊的域帳號。

ICS-CERT指出，讓入侵檢測難度變大的是受攻擊組織已經(jīng)由一系列收購變成一種“多公司混合體”。伴隨公司收購而發(fā)生的計算機網(wǎng)絡(luò)合并帶來了多個網(wǎng)絡(luò)安全弱點，同時又降低了IT安全團隊的網(wǎng)絡(luò)可見性。

ICS-CERT Monitor的報告中寫道：“這個組織已經(jīng)有超過100個互聯(lián)網(wǎng)出入點，這讓網(wǎng)絡(luò)邊界保護變得非常復(fù)雜。在這種情況下，重新設(shè)計網(wǎng)絡(luò)架構(gòu)是保證公司在整個企業(yè)范圍內(nèi)實現(xiàn)統(tǒng)一安全狀態(tài)的最佳方法。”

M&A流程中被忽略的安全問題

雖然ICS-CERT的警告僅限于一個制造業(yè)組織，但是專家告訴SearchSecurity，在企業(yè)并購或收購過程中，信息安全性通常都不在考慮范圍內(nèi)。

愛爾蘭BH咨詢公司老板及CEO Brian Honan指出，在他25年的安全行業(yè)從業(yè)經(jīng)歷里，他遇到過無數(shù)類似于ICS-CERT描述的情況。Honan指出，這對于大型企業(yè)而言尤為苦惱，因為將網(wǎng)絡(luò)和企業(yè)安全文化合并到一個環(huán)境的困難是不可接受的。

Honan說：“例如，如果有一家較大規(guī)模公司，它擁有一個成熟的信息安全管理框架，然后它準備收購一家新創(chuàng)公司，而這個新創(chuàng)公司可能還沒有實施任何安全流程。如果是購買一個軟件產(chǎn)品，那么他們可能還從未對應(yīng)用程序代碼執(zhí)行過安全性審查。”

美國加州爾灣CrowdStrike公司服務(wù)部門總裁及前FBI執(zhí)行助理主管Shawn Henry指出，在他私營公司和公共部門的角色里，他非常強調(diào)在M&A流程中執(zhí)行全面網(wǎng)絡(luò)安全評估的重要性。Henry指出，在幾次M&A流程中，CrowdStrike的專家都發(fā)現(xiàn)了攻擊者主動攻擊M&A交易企業(yè)的證據(jù)。這些攻擊者對美國公司之間的所有交易都非常感興趣。

此外，Henry還指出，他還曾經(jīng)發(fā)現(xiàn)一些公司的交易是完全基于重要知識產(chǎn)權(quán)收購，而他發(fā)現(xiàn)攻擊者已經(jīng)攻破了IT，所收購實體的價值已經(jīng)大打折扣。

但是，Henry指出，盡管重復(fù)警告和大量證據(jù)證明不作為的嚴重后果，但是他從未看到過有一家公司在M&A活動中對安全風(fēng)險進行全面評估。

Henry說：“每天都有公司被收購，然后它們連接到自己的網(wǎng)絡(luò)中，但是極少有公司對他們的網(wǎng)絡(luò)安全性進行評估。對于我而言，這相當(dāng)于購買一棟房子，但是完全不執(zhí)行防白蟻措施。我不知道具體有多少人會做這些事情，但是這確實每天都在發(fā)生。”

Henry補充說：“我認為這里仍然有很多抵觸因素，或許是因為人們并沒有將它視為高優(yōu)先級的事務(wù)?；蛟S他們沒有足夠的時間去處理它的影響，而且有時候擊敗對手而成收購要比長期目標更重要一些。”

成功的網(wǎng)絡(luò)并購要從一開始就考慮安全性

雖然企業(yè)在執(zhí)行M&A交易時忽視安全性，但是Henry和Honan都表達了相同的期望，最近影響很大的安全事故(如針對Target和Home Depot的 數(shù)據(jù)攻擊)讓執(zhí)行董事會更加關(guān)注安全性了。這意味著要在任何一次交易開始時就評估潛在M&A目標的安全性。

對于正在執(zhí)行收購的公司而言，Honan強調(diào)說，CISO一定要盡快參與任何潛在收購。Honan說，CISO應(yīng)該與執(zhí)行官溝通，在引入一個獨立網(wǎng)絡(luò)時讓他們理解哪些寶貴資源需要得到保護，然后確定收購組織可能帶來哪些新風(fēng)險。

Honan指出，在這些情況中，要考慮的最重要因素是收購目標是否對安全性有足夠的重視。他說，這其中可能包括安全技術(shù)的實現(xiàn)，但是更重要的是所收購公司是否已經(jīng)正確評估了資產(chǎn)價值，是否有一些流程和專人都保護這些資產(chǎn)。

Honan問道：“它是否在他們的客戶列表上?它是否是他們的主要聲譽?它是否是他們的知識產(chǎn)權(quán)?他們的相關(guān)人員是否有經(jīng)過合格的安全培訓(xùn)?這就像去買一輛汽車。銷售商會告訴你汽車的所有優(yōu)點，但是你自己一定要請人徹底檢查引擎、底盤及汽車的使用記錄，確保它不是報廢車或被盜車。審查一個公司的過程也是一樣的。”

Henry認同一點，安全性應(yīng)該在整個流程開始時就成為一個必要環(huán)節(jié)，這些公司應(yīng)該在收購之前對收購目標執(zhí)行一次全面的網(wǎng)絡(luò)安全評估，其中包括評估硬件、軟件、網(wǎng)絡(luò)架構(gòu)、數(shù)據(jù)存儲方式及保護數(shù)據(jù)的人員與流程。

即使在收購或并購流程完成之后，組織仍然需要執(zhí)行一些步驟來保證合并網(wǎng)絡(luò)的安全性。在前面提到的制造業(yè)企業(yè)案例中，DHS建議類似的組織要立即限制合并后網(wǎng)絡(luò)的互聯(lián)網(wǎng)連接數(shù)量——Henry認為這是限制風(fēng)險的最基本但最有效的方法。多年以來，聯(lián)邦政府一直在努力減少它的外部互聯(lián)網(wǎng)連接數(shù)量，目前已經(jīng)從8,000個減少為100個以下，目的是減少攻擊者的潛在入侵點。

此外，Henry還指出，一些組織應(yīng)該執(zhí)行清查評估，就像在M&A交易之前的做法一樣，評估新合并實體的所有重要IP與其他資產(chǎn)。他強調(diào)說，這個措施可以擴大到網(wǎng)絡(luò)架構(gòu)及新增到環(huán)境的設(shè)備上。

Henry說：“我接觸過許多公司，它們幾年前就完成了收購，但是他們現(xiàn)在仍然不知道自己到底買了什么。他們不知道網(wǎng)絡(luò)的所有子網(wǎng)情況。里面有許多設(shè)備、服務(wù)器、各種網(wǎng)段，但是他們完全監(jiān)控不到，因為他們從未執(zhí)行過一次全面評估或?qū)彶椤?rdquo;