網絡攻擊已經成為對美國商業(yè)的持續(xù)威脅。用黑客的方式回擊能解決問題嗎？

　　圖片來源：Photo-Illustration by Tres Commas; Original Photographs, Shield: Gabe Ginsberg—Getty Images; arrows: Getty images

　　參加任何有關于網絡安全的非正式會談，你都會聽到這樣一句話：“世界上有兩種類型的公司：被黑客攻擊過的公司，和那些不知道曾經被黑客攻擊過的公司。”

　　這句引發(fā)上千條妙語的話出自于德米特里·艾爾帕洛維蒂奇，他是一位出生于莫斯科的企業(yè)家，也是世界最前沿的黑客偵探之一。2011年，作為反病毒先驅麥克菲的首席威脅研究員，他在調查時發(fā)明了這句話——公眾對此很感興趣——調查對象是五年內發(fā)起的對超過70個組織的網絡攻擊，包括國防承包商、科技公司和聯(lián)合國。

　　現在這句無可奈何的話該升級一下了。“我已經修改了我的話。”艾爾帕洛維蒂奇告訴《財富》雜志，“前兩種公司仍然存在，但現在有第三類公司，他們能夠成功地防御黑客入侵。”好吧，還有希望！

　　你盡可以把他修改后的話，當作一種純熟的銷售技巧。作為網絡安全公司CrowdStrike的聯(lián)合創(chuàng)始人和首席科技官，這家公司在今年6月上市時的股價大漲讓投資者側目，艾爾帕洛維蒂奇確實有理由得意一下。

　　但實際上艾爾帕洛維蒂奇修改這句話，是意有所指的。在布什和克林頓政府任職的前白宮安全顧問理查德·克拉克，同意這句新的三段體話。他剛與奧巴馬政府的網絡主管羅伯特·柯內克合寫了一本書《第五領域》（The Fifth Domain），書中提到網絡已經成為繼陸地、海洋、天空和外太空之后的最新的戰(zhàn)爭威脅。

　　想想NotPetya病毒吧。俄羅斯在2017年釋放的這一病毒災難性地襲擊了全球的許多電腦，導致了像聯(lián)邦快遞、馬士基和默沙東這樣的公司損失數十億美元。

　　但是，并非所有公司都受害了。“你所不知道的是，有一批美國公司在烏克蘭做生意”——可謂處于網絡攻擊的中心點——“卻沒有受到損失，”克拉克說。一些公司像波音、杜邦和強生“并未吱聲，于是在我們的書中，就試圖找出原因。”

　　那么，為什么有些公司被黑客攻擊，有些沒有？從技術層面來說，未受損的公司把它們的設備都打了補丁，防止漏洞被NotPetya利用。但一個更基本的問題是，為什么有些公司打補丁，而有些卻忽略了？

　　原因就一個詞：優(yōu)先級。最具韌性的組織，都有預案。一位主管若是駁回首席信息安全官的建議，得有充足的理由。首席執(zhí)行官肯定也會過問。

　　這是很好的防御措施，但如果公司發(fā)起反擊呢？一些美國國會的成員正在提議一項立法，稱之為“黑客反擊”議案，該議案允許公司調查攻擊者的電腦并摧毀被盜數據。

　　位于亞特蘭大的律所長盛（Troutman Sanders）的隱私保護主管馬克·毛，對此議案表示謹慎地支持。“我個人認為，這主意不錯。”他說，“我覺得這就像網絡第二修正案。”（但他補充說，這種做法應該是“有限制的”，并且需要制定很多細節(jié)。）

　　毛將網絡攻擊和反擊，與核平衡相對比。“核威懾是有效的，因為沒有人希望被核攻擊。”他說，“許多黑客逃之夭夭，因為沒有任何報復措施。”

　　然而，許多網絡安全業(yè)內人士認為，如果黑客反擊議案變成法律，將會是巨大的災難。網絡安全公司火眼的情報主管、美國空軍預備役人員桑德拉·喬伊斯就表示反對。“最不希望看到的，就是用意良好但純屬菜鳥的人來摻和此事。”她認為這一議案會有誤判攻擊者的危險，也會導致爭鋒相對和矛盾升級。它只會“帶來人心惶惶，風險叢生。”

　　她還說，這項議案代表著“商業(yè)界的聲音，他們感到被忽視了。這是一種受挫的信號。”

　　他們的惱怒是可以理解的。據Gartner的數據，今年全球網絡安全的支出將增長9%，達1240億美元。但網絡安全還是難以保全。

　　要防止黑客偷光公司財產，公司卻不必耗盡家財�？死�克認為，公司把IT預算的8%到10%投入到網絡安全中，就相當不錯了。

　　要防護好網絡，這個比例的投入也并不總是必要的。艾爾帕洛維蒂奇說，他就知道一家《財富》美國500強的從事賓館業(yè)的公司，每年只花費區(qū)區(qū)1100萬美元做網絡防護，但他確信這家公司的網絡安全是他所見過最好的之一。

　　面對網絡安全的擔憂，公司的董事會主席把自己的手機號碼給了公司首席信息安全官，并告訴他：“不管白天或夜里，如果有人拒絕你的提議，隨時打我電話。”

　　艾爾帕洛維蒂奇加了一句：“在這個機構里，沒人敢對他說不。”（財富中文網）