雅虎在各市場當(dāng)老大已經(jīng)很長時間了，但2016年9月，它又摘得一項新“桂冠”：人類歷史上***型的公開數(shù)據(jù)泄露。

數(shù)量非常龐大，對所有類型的公司企業(yè)有著地殼板塊遷移一般的潛在影響：

5億+賬戶受影響

8億美元威瑞森收購案被擱置

從雅虎開始檢測到公開披露數(shù)據(jù)泄露花了2年

幾乎翻倍了2016年已經(jīng)創(chuàng)歷史記錄的公開承認數(shù)據(jù)泄露記錄條數(shù)——540億條

怎么發(fā)生的?

雅虎是網(wǎng)絡(luò)安全5大致命因素(Five Killer C：Culture、Complexity、Conflict of Interest、Cash、Complacency：文化、復(fù)雜性、利益沖突、資金、自滿)的***案例?！都~約時報》一篇文章指稱，“雅虎將防御黑客放在了次要位置”：

2012年中，瑪麗莎·梅耶爾接任這家搖搖欲墜公司的CEO帥印時，安全，就是她繼承的諸多問題其中之一。雅虎員工稱，當(dāng)務(wù)之急太多，她把重點放在了讓雅虎郵箱之類服務(wù)更簡潔和開發(fā)新產(chǎn)品上，而將改善安全位居次席。

在雅虎，文化、復(fù)雜性、利益沖突、資金、自滿——這5大企業(yè)安全殺手均登場亮相，CEO、CFO、CISO、CIO都處理不了這牽涉整個企業(yè)的巨大問題。

有評估才有執(zhí)行

商業(yè)領(lǐng)域基本真相之一——有評估才有執(zhí)行。全世界的企業(yè)***們都想知道，自己的團隊在網(wǎng)絡(luò)安全方面都在做些什么。

如果他們確實能得到一個答案——雖然大多數(shù)情況下此題無解，那通常會是：我們正在購買/實現(xiàn)******的反病毒引擎、防火墻、沙箱技術(shù)等等。

不過，“我們在網(wǎng)絡(luò)安全方面在做什么?”不是一個正確的問法。正確的問題應(yīng)該是：“我們當(dāng)前的風(fēng)險是什么?”

假如雅虎有此視角，如果網(wǎng)絡(luò)風(fēng)險被深深烙印進這個公司，那么他們可能就會做出不同的決策——那種可以減少大規(guī)模數(shù)據(jù)泄露機會，或提升檢測和修復(fù)速度的決策。

但他們?nèi)狈σ环N可以顯示其真正持續(xù)網(wǎng)絡(luò)風(fēng)險的途徑，那種在先行指標(biāo)(人)和滯后指標(biāo)(技術(shù))之間取得平衡，讓經(jīng)理、董事、執(zhí)行主管、部門負責(zé)人和高管得以做出戰(zhàn)略決策和投資的途徑。

持續(xù)性網(wǎng)絡(luò)風(fēng)險沒有得到評估，于是，風(fēng)險防范和緩解也就沒有做到。

關(guān)注人的風(fēng)險

承自信息技術(shù)、工程和計算機科學(xué)的網(wǎng)絡(luò)安全行業(yè)中有一個偏見。這個偏見一直存在，暗中為害，有時候會被宣之于口，更多的時候是被作為一個事實深入人心：“用戶很蠢，而我們修復(fù)不了蠢病。”

網(wǎng)絡(luò)風(fēng)險的根源是人，以及安全意識的缺乏。但公司、政府和個人卻置這一根源問題于不顧，反而去買入不斷膨脹的、又貴又難懂的大量復(fù)雜技術(shù)解決方案，真正的問題倒是被繞過了。

這并不是說在對付當(dāng)前及未來網(wǎng)絡(luò)威脅的問題上就沒有安全技術(shù)的用武之地，安全技術(shù)當(dāng)然有用，但我們目前對待網(wǎng)絡(luò)安全的總體態(tài)度，是有失偏頗的。

在投資技術(shù)與投資人員本身上取得平衡

當(dāng)前對網(wǎng)絡(luò)安全的態(tài)度太過于倚重比特、字節(jié)、管道、反饋、速度、機器學(xué)習(xí)和超貴的主機。98.6%的網(wǎng)絡(luò)安全投資都流向了預(yù)防、檢測和響應(yīng)工具/保險，僅1.4%用在改變員工行為上。這顯然是有問題的。

我們怎么知道出了問題呢?因為全球花在以技術(shù)為中心的網(wǎng)絡(luò)風(fēng)險解決方案上的資金盡管高達數(shù)百億美元，我們?nèi)匀灰恢痹谥苯踊蜷g接地因網(wǎng)絡(luò)犯罪而損失數(shù)千億美元。

不改變路線，未來還將重復(fù)現(xiàn)在及過去的情況——更多數(shù)據(jù)泄露，更多資金流失，更多人生被影響，更多對技術(shù)的信仰與信任被侵蝕。

任何類型的企業(yè)都需要關(guān)注網(wǎng)絡(luò)安全的人類方面——人員、過程、文化，及其在安全層次中的位置。他們需要的工具，不是繞開網(wǎng)絡(luò)風(fēng)險根源耍把式的那些，而是能直接評估、監(jiān)視和管理網(wǎng)絡(luò)風(fēng)險的那種。

通過曝光不良行為和提供輔助培訓(xùn)，這類工具不僅僅有助于提升整個企業(yè)的安全意識，還能增強對網(wǎng)絡(luò)不當(dāng)行為的責(zé)任感。公司企業(yè)不僅需要符合各種行業(yè)標(biāo)準(zhǔn)，比如ISO 27002(信息技術(shù)—安全技術(shù)—信息安全管理實踐規(guī)范)、NIST(美國國家標(biāo)準(zhǔn))、SANS(系統(tǒng)管理、審計、網(wǎng)絡(luò)與安全)、PCI-DSS(支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn))等等，還要將安全作為重要組成部分融入公司各部門。