借“互聯網+”超車還要“安全”第一

兩名安全研究人員公布了特斯拉Model S系統存在的重大安全漏洞，并通過其中一個漏洞實現了對車輛的控制；中國的互聯網公司也接連爆出大面積宕機和不明攻擊等系統事故。

如今，網絡安全環境變得異常復雜和兇險，行業中規模居前的大型企業最易成為黑客的攻擊對象。據Forrester公司預計，6成以上的企業將在今年內遭受一次安全攻擊。同時，企業正為系統漏洞付出慘痛的代價。據估算，企業扼制一次網絡攻擊所耗費的平均時間多達31天，期間產生的花費則高達近64萬美元；而網絡安全隱患引發的數據泄露事故，導致企業聲譽、品牌價值和市場形象遭受沉重打擊，其損失更是難以估量。

面對安全威脅，雖然不應在數字時代因噎廢食，但必須正視的是，大多數中國企業一面在擁抱“互聯網+”的道路上勇往直前，意欲彎道超車，一面卻在安全防御上因循守舊。埃森哲的一份調研顯示，僅有24%的受訪中國企業計劃追加網絡安全方面的投入，遠低于亞洲60%的平均水平。究其原因，許多中國企業僅滿足于實施合規要求的安全標準，尚不重視對還未發生的可能性災難進行投資。

與其亡羊補牢，不如防范于未然。埃森哲與波耐蒙研究所的研究發現，全球已有一批跨越型企業通過積極主動的防御策略，以及在信息安全戰略、技術和治理機制上的投入，顯著提升了績效。在過去兩年間，他們將自身安全工作的有效性提升了53%。我們結合多年調研，總結出了這些跨越型企業的共同特征，因為他們的經驗可供中國企業借鑒，助其在“互聯網+”時代提高安全保障能力，更穩健地推進數字變革。

主動防御，而非被動挨打

網絡安全威脅日趨復雜。與保守型企業關注預防和合規不同，跨越型企業正從本質上改變以預防為核心的傳統防御模式，從自身業務目標出發，采取更積極主動的新態度和全新謀略。

在遭遇攻擊時，跨越型企業會努力實現主動性的數據保護，并且發現潛在的威脅和攻擊路徑。這要求企業有能力應對安全局面出現的各種重大變化，隨時主動地調整其安全防御機制。一旦發生安全事件，跨越型企業會直接向首席執行官和董事會報告。同時，他們主動利用風險管理技術來調整安全戰略，將安控設施與安全系統整合在一起；并且明確界定與安全相關的責任與權利。

更為重要的是，在還沒有遭受威脅的時候，企業應創新地先于攻擊者主動發現自己的系統漏洞。隨著技術的快速革新，現有外圍防御技術措施會很快變得過時并漏洞百出。理想的網絡安全措施不是百分百預防的，因此企業要學會像黑客一樣思考，了解他們如何、何時以及在何處發起高級持續性威脅。一些跨越型企業已經通過自我挑戰與創新，顯著提升自身的抗災水平。

例如，視頻流媒體服務企業奈飛公司的工程技術人員積極利用各種自動化檢測工具，業內將它們稱為“猴子軍團”，通過故意破壞來尋找自身系統的漏洞。這種測試會在無法預知的時間展開，但整個過程受到密切監控。通過這些舉措，公司不斷改善和修補自身的系統，使其更加敏捷和強健。

亞馬遜、Flickr、雅虎、臉譜網等企業也都先后使用過類似辦法，他們采用“游戲日”的策略：每過幾個月就進行內部系統故障測試，組織員工發現自身系統中存在的潛在缺陷，并就此修復相應的故障問題，在以后的“游戲日”再對修復方案進行持續測試。這些公司甚至聘請外部網絡安全公司攻擊自身系統，以類似軍演的方式找出系統的安全漏洞。

三招提升安全防御水平

為了支撐全新的防御模式，企業應在安全戰略、技術和治理機制這3個核心領域進行變革，從而整體提升企業的安全防御水平，真正由“御敵于外”轉向“主動防御”。

秘訣一：重視安全創新，制定正式的安全戰略。網絡威脅層出不窮，企業應不斷尋找全新辦法來解決新出現的問題。企業應制定正式的安全戰略，并使之成為企業安全計劃的主要驅動力。同時，在應對潛在危險的過程中，企業應該努力打造新一代解決方案，通過與高校、研發企業、風險投資者或初創企業合作，持續完善自身的技術能力組合。

此外，許多跨越型企業都選擇將核心安全運維業務外包出去，自身不在技術或專家資源上進行過多投資，從而顯著提升安全投資的效益，并快速提高自身安全職能的成熟度。當然，外包必然會帶來一定風險，因此關鍵在于評估哪些安全業務能夠外包，然后挑選管理合適的服務提供商。

秘訣二：積極投資于安全技術。跨越型企業都會設立專門的預算投資于企業的安全計劃。同時，他們還會撥付專款，用于支持安全領域的顛覆式新技術。相比關注個人設備管控，他們更加注重確保網絡和云端的安全。保守型企業往往強調禁用個人設備，但此舉很可能會阻礙業務增長。此外，跨越型企業還能夠利用經營戰略來指導安全戰略。

同時，企業應妥善平衡預防、偵測和響應工作，不應一味偏重于預防。與保守型企業管控不安全的移動設備（包括自帶設備）、限制不安全設備接入不同的是，跨越型企業會側重精確發現網絡流量中的異常狀況，對安全威脅、薄弱環節和惡意攻擊進行優先排序，避免敏感和機密數據出現未授權的共享，以及促進自適應邊界控制。

秘訣三：將首席信息安全官作為戰略崗位，建立強有力的治理結構。企業要想構筑穩定的安全防御機制，就應任命首席信息安全官，擴充安全團隊，在整個企業內統籌安排信息安全工作，并制定自上而下的安全戰略和計劃。一旦發生重大網絡安全事故，首席信息安全官應直接與首席執行官與董事會進行聯系，迅速落實應對策略。

與此同時，強有力的治理和管控措施至關重要，有利于企業建立完善的安全政策和明確的權責體系。跨越型企業的治理工作相對更加成熟，包括定期向董事會報告安全狀況，實施企業風險管理流程。他們更可能采用安全業務評估標準，根據專業同行或參照群體設立安全業務基準，并對安全損害和數據泄露進行事后審查。