Facebook和微軟都聘用黑客 管理層更要像黑客那樣去思考

在過去幾年裏，內部係統遭到黑客攻擊的公司越來越多。除了幾百家中小規模公司之外，現在的受攻擊名單中還包括塔吉特、摩根大通、家得寶、索尼影視、阿什利•麥迪遜以及雅虎這樣備受矚目的企業。

很多情況下，網絡安全信息泄露在持續了幾周甚至數月之後才被發現。過去幾年裏的網絡攻擊事件，不僅讓公司付出了慘重代價，還動搖了消費者、股東和員工的信心。

正因為如此，網絡安全方麵的支出呈現出加速度增長的態勢。據高德納谘詢公司估計，全球信息安全支出到2018年可能增至1010億美元。

遺憾的是，對網絡安全措施的投資隻能解決部分問題，傳統方法所能做的僅此而已。為了提高效力，負責網絡安全的高管們必須調整思維方式。

如果公司想要降低遭到外部黑客攻擊的風險，它們就一定要理解黑客的思維方式。臉書、微軟等公司甚至還聘用了黑客。為了像黑客那樣思考，你需要知道一個手段高明、經驗老道的黑客具備哪些典型特征。黑客們往往技術一流又聰明過人，還喜歡冒險。

他們通常擁有計算機科學背景。許多成功的黑客都有良好的社交和溝通技巧，這讓他們能夠誘導人們泄露關鍵信息或采取“致命”動作。

黑客在一次攻擊的不同階段實際上會有兩種思維模式：探索思維和榨取思維。在一次攻擊剛開始的階段，黑客們通常會采取審慎思考和直覺思維相結合、依賴大量試錯的探索思維。

例如，一個富有經驗的黑客不會去攻擊一家公司剛剛啟用的新係統。他會選擇等待，繼續尋找最薄弱的環節（比如，當某家供應商、某位新員工或者某個情境違背了公司的安全標準）。

一旦拿到了進入係統的權限，黑客們就會運用榨取思維達成他們的目標——例如，盡可能多地取得信息以轉賣謀利。

這個先探索再榨取的策略通常包含以下四個步驟：

找出漏洞 他們會搜索網絡信息、組織信息以及網絡安全政策，可能還會研究你的供應商、合作夥伴。黑客們還會嚐試與公司內部人員互動，設法獲得進入公司係統的權限。

掃描和測試 黑客們一旦入侵，往往就會用掃描工具去掃描公司係統中運行的應用程序。累積在一起的話，哪怕是微小的安全弱點和設計缺陷，也會堆積成重大的安全漏洞。

獲取權限 黑客們往往會通過打電話，群發“釣魚”電子郵件、偽造的電子郵件，或發短信要求個人提供登錄名及密碼信息——通常是假冒某個有信譽的人（例如，某位公司高管，或谘詢台技術人員），同企業取得聯係。

保持連接 黑客們為了在未來進行攻擊，會嚐試在保持不為人知的同時，維持其對係統的占有以及訪問權限，比如上傳一小段稱為“後門”的代碼。一旦黑客“占有”了某個係統，他們就可以利用其作為發起新的網絡攻擊的大本營。

在許多組織的網絡安全問題中，人是最薄弱的環節之一。提醒員工、承包商和第三方用戶提防黑客的常見手法，可樹立起一道有效的防線。高管和信息管理者應當考察公司信息係統目前的管理情況，以便評估網絡安全水平。有效的安全意識培訓是必不可少的。

所有能夠接觸到機密信息的員工，無論其是在銷售、營銷、人力資源、財務還是高層管理崗位——甚至是臨時工作人員——都需要接受網絡安全意識的培訓。

手法熟練的黑客可能會複製那些成功得手的攻擊方法，因此，IT安全部門的工作人員展開合作並且在組織內部、行業內部，甚至是與競爭對手分享信息就變得至關重要。

網絡安全是一場貓鼠遊戲，而在這場遊戲中，貓總是會先走一步。不過，你越是能夠像黑客一樣思考，就越能夠更好地保護你的組織。