截然不同的方法成为规范—在数字化转型时代防范网络攻击

在网络攻击逐渐升级的过程中，公司和组织应当彻底改变对于安全措施的看法。在无法完全避开网络攻击的前提下，对策的重点从预防攻击转移至遭受攻击之后将损失最小化。根据这一观点，公司和组织必须建立专业化安全团队。然而，因为安全人员极其缺乏，所以他们发现在内部很难保护所有基础。

T网络攻击的强度日益增加(表1)。例如，2015年6月，日本养老金机构一名员工的电脑感染了恶意软件，导致大约125万人的个人信息泄露。其它各种公司和机构也面临定点攻击的威胁。Yutaka Osugi是安全咨询公司ITR的分析员，他断言：“没有一家公司或机构不是定点攻击的目标。”

感染勒索软件的情况也十分普遍。勒索软件对你的数据加密或锁定你的电脑，然后在屏幕上显示消息，索要赎金。根据一家IT安全公司的调查，2016年1月至6月，日本的公司报告了1,510例遭受损失的事件，比去年同期高出九倍。

因为缺乏完善的防御，所以网络攻击具有绝对优势

在大多数情况下，公司和组织忽视了对于安全措施的需求但并没有成为定点攻击或勒索软件的牺牲品。即使如此，他们也无法安然无恙地避开这些网络攻击。

在网络攻击中，攻击者总是占据优势。人们已经形成共识：不可能百分之百阻止恶意软件感染。攻击者拥有巨大的恶意软件库，使用各种方法进行攻击，不时地打击人类的心智。

为了将网络攻击的损害最小化，公司和组织必须彻底改变对该问题的认识。以前的共识是在边界完全阻止网络攻击，但是现在事情已经发生变化。人们开始认识到，即使使用高端安全产品也无法完全阻止网络攻击，因此安全投资的重点必须从预防网络攻击转移至“最好的防御就是进攻”。这意味着既要主动处理已经发生的攻击，又要采取事后措施，在攻击后将损失最小化(图1)。

收集攻击者的信息，减少容易成为目标的区域

网络攻击的措施的发展趋势已经从预防转向提前警告。根据德国安全销售商AV-TEST的报告，在2015年，每秒产生4.5种新恶意软件，攻击的速度以指数级增加。

常规的网络防御程序将在发现攻击时向你发出警告，然后匆忙防御，但是在处理攻击时，攻击者其实已经达到目的。下一代措施必须变为监控和处理威胁，即首先确定攻击目标。

重点是减少攻击点，也称为攻击面。攻击面最初是一个军事用语，系指可能受到攻击的区域。在安全领域，攻击面表示计算机、服务器和物联网设备。

网络攻击的目标和方法经常改变。安全措施的重点包括：确认攻击面的位置；涉及哪些风险；将攻击面最小化，从而避开攻击。

通过断开和失能处理定点攻击

即使减少了攻击面，公司和组织也会一直面临受到攻击的风险。因此，2015年年末，许多公司开始使用新的防御方法。例如，包含敏感信息的网络可以断开互联网连接。

通过断开连接，主干和信息系统与互联网物理分离。定点攻击导致125万帐户的养老金信息泄漏之后，日本养老金机构决定断开系统，作为提高安全性措施的一部分。主干系统完全断开互联网连接。在每个办公室，通过专用的计算机终端可以进行有限访问，旨在浏览网络和检查电子邮件。

同时，越来越多的公司和组织开始采用使来自在线邮件和网站的恶意软件失去能力的产品。这些产品通过专用服务器上的虚拟浏览器查看网络以及到达内部计算机屏幕的数据流。如果网站感染恶意软件，则恶意软件仅能到达内部计算机屏幕，无法到达系统。还有其它的安全产品，有些产品将恶意软件从电子邮件附件中去除，从而使恶意软件失去能力。

即刻建立安全专业团队

虽然网络智能强化“最好的防御是进攻”方法，但是仍然无法预防一些网络攻击。实际上，为了防范攻击，需要提前建立反应结构。最好的方式是建立“计算机安全事故反应团队”或CSIRT-应对安全危机的专业团队。

网络攻击导致数据泄漏或网站篡改等事故发生之后，CSIRT是第一反应团队，遵循预定的程序。CSIRT没有通用的程序或团队结构，一般包括来自系统分支机构的职员以及来自业务分支机构的安全监督人员，他们在履行CSIRT职责之后需要继续实施本职工作。

根据日本信息系统用户协会(JUAS)的“2016年公司IT趋势调查”，只有3.8%的公司除了IT部门外还有事故反应团队，例如CSIRT。然而，CSIRT的概念开始逐渐受到欢迎，对此最积极的公司就是曾经在网络攻击中遭受损失的公司。政府也发布了一系列报告，建议私营公司设立CSIRT，从而推动了CSIRT的发展(图2)。

当网络攻击发生时，CSIRT必须介入，并且作出决策：是否停止服务；何时以及如何通知顾客和客户；何时联系主管机构。他们的主要职能是在事故发生时采取措施。他们发现和分析事故，控制损失，采取措施防止事故再次发生。

同时，他们在正常运营期间作好防范攻击的准备，确保顺利作出反应。作为对于事故的初步反应，他们可以监控系统，获得和分析行动日志，建立紧急状态下的指挥系统。初步反应还包括收集攻击数据，与其它组织交流，模拟紧急状态进行演习。而且，他们领导关键的质量控制任务：实施风险分析，制定“业务持续计划”(BCP)，在正常运营期间实施安全教育，提高人们的认识。

SOC将网络攻击可视化

与CSIRT一道，安全运营中心(SOC)可以作为强大的资源用于提高针对网络攻击的反应能力。SOC是专业化机构，每天24小时监控来自内部系统和网络的日志，解读网络攻击迹象，向CSIRT发出警告。SOC将网络攻击可视化，是CSIRT的监视哨。

虽然可以在公司内部建立SOC，但是与CSIRT不同，SOC的职能完全可以委托给安全销售商。如果公司缺乏安全专业人员，则可以使用管理安全服务，将SOC外包。

许多企业，特别是大型制造公司，选择在内部建立SOC。在过去，只有金融机构和国防公司建立内部SOC，因为他们需要处理极其敏感的信息，拥有众多安全人员的ICT公司也会建立内部SOC，但是目前这种情况已经扩展至大型私营公司。

有两种情况促使公司建立自己的SOC。首先，网络攻击极其频繁，已被视为管理风险和灾难以及违规行为。例如，如果花费数年开发的设备蓝图被盗并且被实施逆向工程，则会造成几十亿日元的损失。其次，通过目前的ICT工具将会降低自行运营SOC的成本。

需要超过240,000名安全人员

我们已经讨论了危机管理的核心CSIRT和SOC。然而，为了建立这些组织，必须培训和聘请熟悉安全领域的人员，这就带来了最大的挑战。

在日本，大约有106,000名安全人员可用于保护400多万家日本企业。日本政府在2015年9月发布的“网络安全战略”表明，安全人员“在质量和数量上严重缺乏”。公司缺乏81,000名安全人员。在现有的265,000名安全人员中，159,000名(60%)能力不足。

JUAS的“2016年公司IT趋势调查”按照岗位调查了安全措施的充足性。80%的受访公司表示，缺乏足够的安全规划员和事故反应员(隔离和解决问题)。超过60%表示需要更多渠道与管理层沟通(图3)。

公司和组织的安全人员需要符合三项条件。首先，需要具有专业技能。虽然技能十分重要，但是他们也必须拥有掌控安全事宜的远大抱负，能够主动地参加海外活动和内部竞赛。

其次，安全人员需要具有现实主义精神。他们必须意识到，无论他们多么努力地工作，安全事宜都不会达到完美，因此需要重视消除所有脆弱性，考虑如何将脆弱性最小化，从而不会在现场产生问题。

最后，他们需要具有认真负责的态度。安全人员必须对预防事故的标准负责，不惜一切代价维护标准。

在这三个方面培训安全人员需要时间。在此期间，唯一的解决方案是将工作外包或者聘请成熟的专业人员。如果你不切实际地认为你能立即请到全能的安全人员，或者未能作好建立职业路径的准备，那么一切都是徒劳。

自2017年4月起实施新的国家认证制度

为了解决人员短缺的问题，政府于2016年4月启动“信息安全管理考试”，面向用户部门的安全管理员，旨在通过考试学习培养人力资源。

为了提高安全工程师的质量和流动性，政府将于2017年4月启动一项新的国家认证制度-“信息安全注册专家”制度。该认证的目的是对经过认证的个人进行公共注册，从而使公司和组织更加容易找到具有熟练技能的安全工程师。同时，注册人员必须定期参加研究班，以保持其技能水平。政府计划在2020年之前实现30,000名注册工程师的目标。

不久以后，公司将无法独自处理复杂的大规模网络攻击。我们必须摒弃过时的常识。只有当公司认识到他们的防御能力有限时，他们才会真正开始回击网络攻击。

成为网络攻击的目标并非一种尴尬或耻辱。关键在于事情发生之后如何处理。如果从公司外部的人员和组织寻求帮助，并且积极地宣布受到攻击的事实，则应当会将损失最小化。

*2017年1月，本内容出现于ITpro Active。