公司主管要知道的七个网络犯罪真相

　　贵企业对自己的安全计划抱着什么样的态度?最近发布的一份安全调查报告表明，说到风险管理方面，还是有太多企业把头埋在沙子里，逃避现实。

　　不法分子变得更狡猾了。无论他们是认识到要破坏世界、推进其议程，另一个办法就是破坏像美国这些发达国家经济稳定性的恐怖分子，满腹牢骚的企业内部人员，还是主要出于牟利动机的"普通"犯罪分子，现在的网络犯罪活动越来越多，造成的经济损失也越来越大。在信息技术安全界，近来大家在热议2010年7月发布的《网络犯罪成本基准调查》;这项调查是由安全咨询机构波耐蒙研究所(Ponemon Institute)开展的，对美国公司作了典型抽样调查。这家咨询机构经常开展隐私、数据保护和信息安全政策等方面的独立研究。

　　波耐蒙研究所通过典型抽样调查似乎竭力想表明的一点是，企业风险管理(ERM)需要加强，特别是由于它与IT密切相关;许多公司在这方面还是很松懈，仍然抱着坏事不会发生在自己身上的态度。波耐蒙研究所这份长23页的报告可从其网站上下载(http://www.ponemon.org/index.php)，不过下面是分为七个要点的概括性总结，还有本人的拙见，表明信息安全与贵公司的处境可能有着怎样的关系。

　　与事先采取措施，加强环境安全所需的成本相比，网络犯罪活动造成的损失高得多。

　　该调查声称，对于受网络犯罪影响的公司来说，响应成本平均是每年380万美元。而原本有望有效减少或防止同样这些事件的技术和流程所需的成本一般不到其三分之一。换句话说，而且相当明显的是，在大多数情况下，与事件/泄密发生后启动临时性的响应程序相比，事先规划和缓解风险所用的成本要低得多。

　　而更为重要的是，确保成功的一个关键因素是，指定一位高层主管负责企业风险管理，可以是首席安全官，指定一名首席风险官更好。这位主管常常独立地直接向董事会报告，真正了解整个企业的情况，而不是仅仅注重技术，他能适当地确保：风险管理这一块在许多项目或计划的一开始就"集成到里面"，而不是事后才想到，随随便便"扩充上去"。另外，随便将IT安全和风险管理这项工作托付给另外某个业务部门的某个"下属"，这个下属还不是专门负责这项工作，那样很快会招来大麻烦。

　　此外，制定和推广一项企业风险管理战略，遵守自愿治理/认证框架——如信息基础设施库(ITIL)、国家标准和技术研究所(NIST)安全指导等，似乎既能大大减小发生网络犯罪活动的可能性，还能大大降低处理网络犯罪事件的总成本。

　　网络犯罪无孔不入，而且越来越常见。

　　你会问为什么这样?许多公司似乎抱着一种漫不经心或骄傲自满的态度，至少私底下是这样，经常有类似的想法："我们的安全工作已经够好了"，"我们已经做得比竞争对手更好"，"那些要求对于我们不适用"等等。从好几个方面来看，这些顽固的态度是完全错误的!

　　贵公司又如何呢?同样，要知道做到符合任何标准或法规，未必意味着安全无忧!与企业风险管理一样，IT风险管理(信息安全、业务连续性/灾难恢复、法规遵从和治理)也是一项不断改进的计划，不仅仅是"一旦搞好，就不用管"的项目。另外就是有利也有弊的社交网络;社交网络既是企业寻求潜在增长的最佳途径，也是有人搞破坏的最佳渠道。一些分析师估计，30%的企业带宽是被社交网络流量消耗掉的。

　　一些支持者认为，Twitter和LinkedIn等社交网络可起到帮助企业扩大服务范围的作用。现在一些IT厂商就是通过社交媒体网站来提供支持的。此外，公关和营销团队看到了社交网络在开展促销活动方面所具有的价值。对于许多公司的公关活动而言，YouTube正在变成一种更主流的平台。

　　不过，尽管这一切是不争事实，但社交媒体也可能为各种病毒、恶意软件以及让员工分心从而影响工作效率的东西提供了一条便利通道;员工最后可能会未经相应授权，就在社交网站上擅自讨论敏感或专有的信息。此外，竞争对手和收债人现在也使用这些信息来源，核查公司的员工。

　　经济损失最严重的网络犯罪活动是由互联网攻击和恶意内部人员造成的犯罪活动。

　　贵公司使用或托管多少个面向Web的公共网站?你与云环境连接的通道又如何?有没有通过严格的渗透测试或开放Web应用安全项目(OWASP)编码规范，对任何这些网站进行核查?得到公认的更安全的实践表明，我们应该每个季度进行一次OWASP扫描，每年进行两次渗透测试。贵企业的变更管理流程多可靠?另外，有没有考虑过"谁来监管监管者"的问题?企业内部有没有针对特权访问帐户的审计和日志机制?尽量减少这类潜在漏洞需要遵循企业层面的威胁和风险管理战略，协同实施安全信息事件管理(SIEM)、数据泄密防护(DLP)、基于主机的入侵防护系统(HIPS)等其他多项技术。