哈佛商业评论

对于网络安全，无论你的组织在最新软硬件、培训和人员方面投入多大，也无论是否保护隔离核心系统，结果都一样：只要关键系统是数字化的，且以某种形式与外部网络相连（即便你认为它没有联网，实际上也极有可能），它就永远不可能是安全的。这就是残酷的事实。

这件事非常重要。互联的数字系统已经广泛应用于美国经济的几乎所有领域，而近年来，攻击者（主要是他国政府、犯罪组织和恐怖组织）的技术水平和活跃度正大幅上升。美国国内发生的重大网络安全事件包括亚特兰大市政府主要计算机系统遭受攻击、四家输气管道公司共享的数据网络遭受攻击，以及Equifax数据遭窃；全球范围内，则有WannaCry、NotPetya等病毒的大规模感染。在近年发生的严重网络安全事件中，很多遭入侵的公司原本自认为防御能力很强。

我在爱达荷国立工程实验室（INL）的一个团队工作，这个团队的研究课题是，帮助对美国经济和国家安全最重要的组织抵御网络攻击。我们主要关注工业控制系统，例如电厂和炼油厂的温度压力控制系统，并已设计出一个完全反传统的网络防御方案：找出整个组织赖以生存的部门，最大限度将其与外部网络隔开，将其对数字技术的依赖降到最低，并用模拟设备和可信赖的人员进行跟踪和控制。我们的方法尚处在试点阶段，但其中很多要素已经可以为组织所用。

这项新策略并不适用于纯粹的数字企业，且在某些情况下还可能提高运营成本、降低效率，但它是关键系统抵御网络攻击的唯一方式。在本文中，我将介绍找出关键系统的方法。应用这种方法，我们总能发现被领导者忽视的功能或流程：它们极其重要却易受攻击，一旦失灵将使组织停摆。过去几年中，我们将这种方法的部分要素应用于一些企业和美国军队，并与美国最大的电力公司之一佛罗里达电力照明公司（Florida Power & Light）合作，进行了为期一年的完整试点，结果很成功。第二个试点项目与美国军方的一家服务公司合作，目前正在进行中。INL正在寻求将这项方法推向主流，因此未来将与更多工程服务企业合作，授权它们使用这项解决方案，并提供相应技术培训。

当前威胁

过去，工业企业的主力是机械泵、压气机、阀门、继电器和促动器。根据模拟仪表记录的现场情况，资深工程师通过固定电话线路与总部沟通。破坏分子无法通过供应链下手，也不能买通员工，而只能自己前往工厂，尝试越过大门、警卫、武器这三道实体防线。

今天，在美国全部16个基础设施部门中，12个已被国土安全部定义为“关键”，因为它们的“实体或虚拟资产、系统和网络对美国非常重要，一旦失灵或被摧毁，将威胁到国家安全、国民经济、公共健康和安全”，而这些部门部分或完全依赖数字化的控制和安全系统。数字技术的确带来了令人赞叹的新功能和效率提升，但它们极易遭受网络攻击。自动探测软件时时在寻找大型企业、政府部门和学术机构的安全漏洞——这些软件很容易在地下网络中获取，很多是免费的，贵的也不过几百或几千美元，甚至还提供技术支持。网络防御措施通常能阻挡这些探测，但基本无法抵挡花费数月甚至数年精心筹划的重点攻击。

网络攻击造成的经济损失不断飙升。仅过去两年中，WannaCry和NotPetya攻击事件就分别造成超过40亿美元和8.5亿美元损失。美国和英国指控朝鲜发动的WannaCry攻击，据称使用了从美国国家安全局窃取的工具。这种病毒利用部分Windows计算机未安装微软安全补丁的机会，对数据进行锁定加密，使150个国家医院、学校、企业和家庭中的数十万台计算机陷于瘫痪，并进行勒索。NotPetya攻击据信为俄罗斯破坏乌克兰稳定活动的一部分，发起点是一家乌克兰会计公司的软件升级漏洞。这次攻击从最初的乌克兰政府和计算机系统扩散到其他国家，受害者包括丹麦航运公司马士基、制药公司默沙东、巧克力制造商吉百利、广告巨头WPP等众多企业。

隐患增多

随着自动化、物联网、云处理及存储、人工智能和机器学习的发展，数字化转型的进程持续加快。复杂度高、可联网、软件密集型的数字技术得到广泛传播，被依赖程度越来越高，在网络安全方面形成很大隐患。在新美国安全中心（Center for a New American Security）2014年发表的一篇文章中，该中心董事会成员、曾任美国海军部长的理查·丹齐格（Richard J. Danzig）指出了数字技术带来的悖论：

“它们给予使用者前所未有的能力，但也让我们不那么安全。它们的沟通功能助力协作和网络构建，但也因此对入侵者敞开大门。它们对数据和操控功能的聚焦大幅提升了效率和运行规模，但也使在成功攻击中可能被窃取或破坏的内容大大增加。高度复杂的硬件和软件创造出卓越的能力，但这种复杂性也产生诸多薄弱环节，并且让入侵者难以被发现……总之，网络系统滋养我们，但同时也削弱和毒害我们。”

这些技术的复杂度超乎想象，甚至最了解它们的创造者和供应商，也并不完全清楚其脆弱性。供应商总是声称自动化能消除人为错误的风险，但实际上会产生其他类型的风险。对隐私、数据保护和信息安全政策进行独立研究的Ponemon Institute指出，信息系统的复杂度如此之高，以至于美国企业仅侦测到系统入侵就平均需要200天以上。大部分时候，企业不是自己发现入侵，而是从第三方获知。

在世界范围内，造成重大损失和广泛影响的网络安全事件越来越多，Target、SonyPictures、Equifax、Home Depot、马士基、默沙东、沙特阿美等企业都曾遭受攻击。但企业领导者无力拒绝数字技术及其众多好处的诱惑：效率提升、人力成本降低、人为错误的减少或消除、收集更多客户信息的机会、创造新产品或服务的能力等。年复一年，领导者延续传统的网络防御思路，花在最新安全解决方案和高端咨询服务上的钱越来越多，对此寄予厚望。但这只是一厢情愿。

传统方法的局限

传统网络防御方法关注“网络健康度”，主要措施包括：

·建立企业硬件和软件资产的完整清单

·购买并部署最新的软硬件防御工具，包括终端安全保护、防火墙和入侵检测系统

·定期培训员工识别并规避钓鱼邮件

·建立“网闸”——理论上可以将重要系统与其他局域网和互联网隔开，但在实践中不存在完全的隔离

·建立大规模网络安全团队并使用各类外部服务，进行上述各项工作

很多组织遵循网络安全指导框架，如美国标准与技术研究院（NIST）的网络安全框架，或SANS Institute的20项重要安全控制。这些框架要求组织无差错地持续进行数百项活动：员工必须使用复杂密码并定期更换、传输数据时加密、用防火墙区隔不同网络、第一时间下载最新安全补丁、限制敏感系统的访问人数、审查供应商，等等。

很多CEO似乎认为，只要遵守这些规范，就能让组织免遭严重损失。但多起影响巨大的网络攻击事件充分表明，这种预设是错误的。前述遭受攻击的企业都有庞大的网络安全团队，相关支出也很高。传统方法能够应付常规的探测软件和初级黑客，但无法抵御越来越多高水准对手针对关键资产的持续威胁。

在能源、交通运输、重工制造等重资产行业，无论企业投入多少人力和资金，都无法保证标准安全步骤全无差错。实际上，第一步建立硬件和软件资产的完整清单，大多数企业就会出错。这是一个巨大的短板：如果都不知道自己有什么，自然也谈不上防御。

此外，传统方法也会带来无法回避的权衡取舍。安装升级程序时，系统通常必须关闭，而这并不总是可行。例如，公用事业、化工等行业的企业非常重视工业流程或系统的稳定性和可靠性，不可能每次软件公司发布安全补丁都停工。因此，这些企业倾向于定期批量安装安全补丁，一般要等到停工期，而这通常是补丁发布几个月后。另一个问题是如何保护高度分散的资产。例如，较大的公用事业公司运营数千座场站，分布范围通常达到数千平方英里。对这些场站进行安全升级时，企业会陷入两难：如果利用网络进行软件升级，高水平黑客可能轻松入侵网络，将软件用于恶意目的；但如果在每座场站人工安装升级补丁，成本又无法承受。而如果将这项工作外包给第三方，又不可能严格审查所有服务方。

最后，即便所有安全规范都完美落实，也无法抵挡高水平黑客。这些攻击者资金充足、有耐心、不断在进步，总能找到足够多敞开的大门。无论你的公司网络健康度多高，目标明确的攻击都将穿透所有网络和系统。入侵者可能需要数周或数月时间，但最终肯定会成功。

这不只是我一个人的观点。迈克尔·阿桑特（Michael Assante）曾任American Electric Power首席安全官，现为SANS Institute负责人之一，他告诉我，“传统网络防御方法能应付小打小闹的攻击，理想情况下也许能阻挡95%的入侵”。但在现实中，“对于目标明确的高水平黑客，不过相当于减速带而已”。曾任雅虎和Twitter安全负责人的鲍勃·洛德（BobLord）2017年接受《华尔街日报》采访时说：“和很多公司的安全负责人聊天时，我发现他们有点听天由命的情绪——‘我没办法阻挡来自他国政府的高水平攻击，注定要输掉这场游戏，所以干脆不想太多’。”

一个典型例子是2012年沙特阿美遭受的Shamoon病毒攻击。该石油公司拥有良好的网络防御体系，但被美国政府官员怀疑来自伊朗的这次攻击，仍删除了公司3/4电脑上的数据。更近的一次攻击发生在今年3月，入侵者操纵一家沙特石化工厂的安全控制系统，企图制造爆炸。据《纽约时报》报道，如果不是代码出现错误，攻击可能会成功。“攻击者不仅要设法进入系统，还必须充分了解其架构，才能掌握工厂的布局。只有弄清不同管道的走向和阀门的功能，才能引发爆炸。”报道称。