别再鼓吹神通广大的黑客了 只有务实才能让高管和董事会加大网络安全投入

简介:

如果你想说服自已企业的高管和董事会正确投资网络安全,可以先从这步开始:停止讲述恐怖故事,别再用好莱坞黑客式的桥段加以佐证。

黑客,黑客,黑客,到处都是黑客。偷走银行千万巨款,加密孙子照片逼迫老奶奶交出养老金,黑市上售卖无数人的登录凭证和口令。但是,为什么老喊这些人“黑客”?为什么不用他们真实的身份——罪犯,来加以称呼呢?

对很多人而言,黑客就是个好莱坞漫画形象,跟《黑客帝国》里的尼奥似的,是个不可阻挡的技术对手兼功夫大师,飞檐走壁、意念挡子弹、随手拉个键盘就能侵入任何系统——肾上腺素飙升有没有?恐惧和敬畏之感油然而生有没有?

一切要追溯到1983年的《战争游戏》,马修·布罗德里克饰演的大卫无意中黑进了NORAD(北美防空联合司令部),以为自己只是闯入了一家电脑游戏公司。怎么就不能仅仅好好玩局国际象棋而不是引发热核战争呢?据说,这电影让罗纳德·里根总统大为恐慌,甚至去问了时任参谋长联席会议主席的四星上将小约翰·威廉·维西将军——这种事到底会不会真的发生?

得到的答案当然是“会”,并导致了一项机密国家安全决策指导方案——NSDD-145,名为《电子通信与自动化信息系统安全国家政策》。我们唯一能期望的,就是他们接下来干的事是修改 W.O.P.R.(电影中超级计算机名) 管理员口令,别再是简单易猜的“Joshua(电影中游戏AI的名字)”,或者至少,用上双因子身份认证。

虽然这个案例分析说明好莱坞确实帮助灌输了切实有效的恐惧、不确定和怀疑到总统脑子里,最终促成了制定和实现网络安全政策,但它也很不幸地成为了IT与高管层沟通风险的模板。

此去经年,谢耳朵式技术宅仍将继续捣鼓出超级复杂的系统,只有他们自己和满怀忧虑的青少年能弄懂怎么操作;而公司高管和政府官员则越来越不能理解这些极客到底在说什么。

后来的黑客电影,比如《通天神偷》、《剑鱼行动》、《黑客》、《网络上身》等等,都只是继续给好莱坞式荒谬黑客形象添砖加瓦而已,只会让非技术出身的高管更加难以严肃对待计算机和互联网事务。

基本上,这就是如今这种根本没对到点儿上的局面的成因:我们压根儿就被带偏了视线,对现实黑客构成的真正威胁视而不见。

那么,有哪些是我们可以不再错下去的呢?

  1. 别再成为标题党

文题割裂的幻灯展示太过套路,没人会真正重视这些标题惊悚内容贫瘠的东西了。事实上,过去几年里,他们已经从触目惊心发展到了有点紧张,再到倍感无聊,直到甚为烦人。

耸人听闻的新闻头条更好的用处,是在情景思考训练中。作为董事会议、高管研修或安全团队培训的一部分,将这些现实生活案例融入进去,解构它们。想象新闻文章里描述的具体场景真的发生在公司身上,然后进行角色扮演,设身处地解决该状况。

公司各层级都能用这种方法学到很多。不仅仅有助于让问题讨论接地气,还能让参与者找出解决方案,培训团队处理现实数据泄露的流程。

这么做了之后,下次需要升级防火墙时,高管领导团队和董事会就会对真实情况更为了解,也更可能进行切实有效的决策。

  1. 不要再用黑客主题剪贴画

关于黑客的文章和展示中用的基本就是那5种阴暗诡异的剪贴画。一种是看起来就邪恶的套头衫男,一种是黑白条纹服装强盗拎着笔记本电脑逃窜,一种是0&1矩阵上浮现骷髅图案,一种是把挂锁,还有一种是红色大字体的“黑客”字样写在任何东西上面。

这种黑客主题剪贴画网上到处都有,大同小异。与其网上盗图,不如直击重点,把自家公司的真实数据摆出来,用信息图之类的展示来支持你的商业案例或策略修改请求。看图说话,数据图更说明问题。

  1. 停止使用业界行话

董事会里的注册会计师可听不懂什么“APT利用了特权用户凭证,在多终端上安装rootkit,通过加密命令与控制信息绕过我方IPS”。但是,他能听懂“我们要花10万美刀在叫防火墙的东西上,因为罪犯刚刚尝试过偷盗价值2000万美刀的客户信用卡数据,可能将公司置于PCI违规罚款乃至上亿美元集体诉讼的风险中”。

  1. 别再恐吓,开始讲理

想象一下,如果CFO想要提案遏止诈骗和身份盗窃的新项目时,会不会扔出一堆图片和摘自《十一罗汉》、《偷天换日》的台词来给董事会陈词加料?哪怕他是为了给公司省去千万美元的欺诈损失和防止客户信任度丢失都不会这么干。那么,为什么我们的IT人员要把自己定位在科幻电影情节和角色的上下文中呢?

当你向高管呈现恐怖故事和好莱坞桥段,他们就变成了类似电影看客的信息消费者。高管是不能,也不会根据恐惧或虚构故事引用就采取行动的。但是,如果有清楚明白的风险分析,再加上缜密的风险管理策略,他们就可以付诸行动。

本文转自d1net(转载)

目录
相关文章
|
1月前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
69 32
|
15天前
|
云安全 人工智能 安全
|
21天前
|
存储 安全 网络安全
云计算与网络安全:探索云服务的安全挑战与策略
在数字化的浪潮下,云计算成为企业转型的重要推手。然而,随着云服务的普及,网络安全问题也日益凸显。本文将深入探讨云计算环境下的安全挑战,并提出相应的防护策略,旨在为企业构建安全的云环境提供指导。
|
27天前
|
安全 搜索推荐 网络安全
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
HTTPS协议是**一种通过计算机网络进行安全通信的传输协议
55 11
|
28天前
|
存储 安全 网络安全
云计算与网络安全:技术融合与安全挑战
随着云计算技术的飞速发展,其在各行各业的应用日益广泛。然而,随之而来的网络安全问题也日益凸显,成为制约云计算发展的重要因素。本文将从云服务、网络安全、信息安全等方面探讨云计算与网络安全的关系,分析云计算环境下的网络安全挑战,并提出相应的解决方案。
|
28天前
|
SQL 安全 算法
数字时代的守护者:网络安全与信息安全的现代策略
在数字化浪潮中,网络安全与信息安全如同航船上不可或缺的罗盘和舵。本文将探讨网络安全漏洞的成因、加密技术的重要性以及安全意识的培养,旨在为读者提供一套完整的网络自我保护指南。从基础概念到实用策略,我们将一起航行在安全的海洋上,确保每一位船员都能抵达信息保护的彼岸。
|
1月前
|
机器学习/深度学习 人工智能 安全
AI与网络安全:防御黑客的新武器
在数字化时代,网络安全面临巨大挑战。本文探讨了人工智能(AI)在网络安全中的应用,包括威胁识别、自动化防御、漏洞发现和预测分析,展示了AI如何提升防御效率和准确性,成为对抗网络威胁的强大工具。
|
1月前
|
监控 安全 网络安全
企业网络安全:构建高效的信息安全管理体系
企业网络安全:构建高效的信息安全管理体系
81 5
|
1月前
|
编解码 安全 Linux
网络空间安全之一个WH的超前沿全栈技术深入学习之路(10-2):保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali——Liinux-Debian:就怕你学成黑客啦!)作者——LJS
保姆级别教会你如何搭建白帽黑客渗透测试系统环境Kali以及常见的报错及对应解决方案、常用Kali功能简便化以及详解如何具体实现
|
1月前
|
安全 网络协议 算法
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!
网络空间安全之一个WH的超前沿全栈技术深入学习之路(8-1):主动信息收集之ping、Nmap 就怕你学成黑客啦!