本文共 1883 字,大约阅读时间需要 6 分钟。
如果你想说服自已企业的高管和董事会正确投资网络安全,可以先从这步开始:停止讲述恐怖故事,别再用好莱坞黑客式的桥段加以佐证。
黑客,黑客,黑客,到处都是黑客。偷走银行千万巨款,加密孙子照片逼迫老奶奶交出养老金,黑市上售卖无数人的登录凭证和口令。但是,为什么老喊这些人“黑客”?为什么不用他们真实的身份——罪犯,来加以称呼呢?
对很多人而言,黑客就是个好莱坞漫画形象,跟《黑客帝国》里的尼奥似的,是个不可阻挡的技术对手兼功夫大师,飞檐走壁、意念挡子弹、随手拉个键盘就能侵入任何系统——肾上腺素飙升有没有?恐惧和敬畏之感油然而生有没有?
一切要追溯到1983年的《战争游戏》,马修·布罗德里克饰演的大卫无意中黑进了NORAD(北美防空联合司令部),以为自己只是闯入了一家电脑游戏公司。怎么就不能仅仅好好玩局国际象棋而不是引发热核战争呢?据说,这电影让罗纳德·里根总统大为恐慌,甚至去问了时任参谋长联席会议主席的四星上将小约翰·威廉·维西将军——这种事到底会不会真的发生?
得到的答案当然是“会”,并导致了一项机密国家安全决策指导方案——NSDD-145,名为《电子通信与自动化信息系统安全国家政策》。我们唯一能期望的,就是他们接下来干的事是修改 W.O.P.R.(电影中超级计算机名) 管理员口令,别再是简单易猜的“Joshua(电影中游戏AI的名字)”,或者至少,用上双因子身份认证。
虽然这个案例分析说明好莱坞确实帮助灌输了切实有效的恐惧、不确定和怀疑到总统脑子里,最终促成了制定和实现网络安全政策,但它也很不幸地成为了IT与高管层沟通风险的模板。
此去经年,谢耳朵式技术宅仍将继续捣鼓出超级复杂的系统,只有他们自己和满怀忧虑的青少年能弄懂怎么操作;而公司高管和政府官员则越来越不能理解这些极客到底在说什么。
后来的黑客电影,比如《通天神偷》、《剑鱼行动》、《黑客》、《网络上身》等等,都只是继续给好莱坞式荒谬黑客形象添砖加瓦而已,只会让非技术出身的高管更加难以严肃对待计算机和互联网事务。
基本上,这就是如今这种根本没对到点儿上的局面的成因:我们压根儿就被带偏了视线,对现实黑客构成的真正威胁视而不见。
那么,有哪些是我们可以不再错下去的呢?
文题割裂的幻灯展示太过套路,没人会真正重视这些标题惊悚内容贫瘠的东西了。事实上,过去几年里,他们已经从触目惊心发展到了有点紧张,再到倍感无聊,直到甚为烦人。
耸人听闻的新闻头条更好的用处,是在情景思考训练中。作为董事会议、高管研修或安全团队培训的一部分,将这些现实生活案例融入进去,解构它们。想象新闻文章里描述的具体场景真的发生在公司身上,然后进行角色扮演,设身处地解决该状况。
公司各层级都能用这种方法学到很多。不仅仅有助于让问题讨论接地气,还能让参与者找出解决方案,培训团队处理现实数据泄露的流程。
这么做了之后,下次需要升级防火墙时,高管领导团队和董事会就会对真实情况更为了解,也更可能进行切实有效的决策。
关于黑客的文章和展示中用的基本就是那5种阴暗诡异的剪贴画。一种是看起来就邪恶的套头衫男,一种是黑白条纹服装强盗拎着笔记本电脑逃窜,一种是0&1矩阵上浮现骷髅图案,一种是把挂锁,还有一种是红色大字体的“黑客”字样写在任何东西上面。
这种黑客主题剪贴画网上到处都有,大同小异。与其网上盗图,不如直击重点,把自家公司的真实数据摆出来,用信息图之类的展示来支持你的商业案例或策略修改请求。看图说话,数据图更说明问题。
董事会里的注册会计师可听不懂什么“APT利用了特权用户凭证,在多终端上安装rootkit,通过加密命令与控制信息绕过我方IPS”。但是,他能听懂“我们要花10万美刀在叫防火墙的东西上,因为罪犯刚刚尝试过偷盗价值2000万美刀的客户信用卡数据,可能将公司置于PCI违规罚款乃至上亿美元集体诉讼的风险中”。
想象一下,如果CFO想要提案遏止诈骗和身份盗窃的新项目时,会不会扔出一堆图片和摘自《十一罗汉》、《偷天换日》的台词来给董事会陈词加料?哪怕他是为了给公司省去千万美元的欺诈损失和防止客户信任度丢失都不会这么干。那么,为什么我们的IT人员要把自己定位在科幻电影情节和角色的上下文中呢?
当你向高管呈现恐怖故事和好莱坞桥段,他们就变成了类似电影看客的信息消费者。高管是不能,也不会根据恐惧或虚构故事引用就采取行动的。但是,如果有清楚明白的风险分析,再加上缜密的风险管理策略,他们就可以付诸行动。
本文转自d1net(转载)