大公司網(wǎng)絡(luò)安全環(huán)境遭遇著更大的挑戰(zhàn)，要知道一個(gè)公司應(yīng)對(duì)網(wǎng)絡(luò)攻擊的最佳時(shí)間窗口是“黃金一小時(shí)”。

5月的最后一周勢(shì)必讓中國(guó)企業(yè)印象深刻，網(wǎng)絡(luò)安全問(wèn)題就像傳染病一樣在它們面前蔓延。

5月27日18時(shí)，支付寶宕機(jī)超過(guò)90分鐘，最終公布的原因是“光纖被挖斷”。攜程于次日上午11時(shí)出現(xiàn)相同的情況，宕機(jī)持續(xù)12小時(shí)，網(wǎng)站直至當(dāng)晚11時(shí)才全面恢復(fù)正常，而攜程官方公布的事故原因是“員工錯(cuò)誤操作”。

企業(yè)對(duì)網(wǎng)絡(luò)安全不夠重視，并以宕機(jī)的方式讓消費(fèi)者感知到，顯然不是一件好事。攜程受到的波及更加直接，根據(jù)第一季度財(cái)報(bào)數(shù)據(jù)計(jì)算，在12小時(shí)的宕機(jī)過(guò)程中，預(yù)計(jì)其損失高達(dá)1277萬(wàn)美元(約合7900萬(wàn)元人民幣)。

這兩起事件并非個(gè)案，網(wǎng)易和多家券商交易系統(tǒng)也于5月下旬先后崩潰過(guò)。英特爾近期發(fā)布的一份名為《應(yīng)對(duì)攻擊事件的監(jiān)測(cè)及響應(yīng)》的報(bào)告，印證了網(wǎng)絡(luò)安全正在成為一個(gè)普遍存在的問(wèn)題。

這份針對(duì)全球700名IT及網(wǎng)絡(luò)安全人士的調(diào)查顯示，幾乎所有受訪者都淹沒(méi)在了層出不窮的安全事件中。去年，他們所在的組織平均遭遇了78次的安全事故，這個(gè)數(shù)字已經(jīng)表明網(wǎng)絡(luò)安全環(huán)境正遭受著很大的挑戰(zhàn)。

似乎大企業(yè)更容易成為網(wǎng)絡(luò)攻擊的箭靶，企業(yè)規(guī)模與受攻擊次數(shù)之間存在著較強(qiáng)的正相關(guān)關(guān)系。根據(jù)統(tǒng)計(jì)，雇員在1000人以下的小型公司去年平均受到了31次攻擊，人數(shù)在1000至4999人之間的中型公司遭到的攻擊次數(shù)為41次，而那些超過(guò)5000人的大型公司去年遭受的攻擊行為平均高達(dá)150次，是小型公司的近5倍。

但帶來(lái)重大損失的也許并不是攻擊本身，而是遲緩的反應(yīng)速度。

“監(jiān)測(cè)、調(diào)查以及響應(yīng)網(wǎng)絡(luò)攻擊的時(shí)間越長(zhǎng)，敏感數(shù)據(jù)泄露的可能性就越無(wú)法排除，這會(huì)帶來(lái)高昂的代價(jià)。”資深網(wǎng)絡(luò)安全分析師Jon Oltsik說(shuō)。

那么，企業(yè)應(yīng)對(duì)網(wǎng)絡(luò)攻擊的最佳時(shí)間窗口有多長(zhǎng)呢？答案是“黃金一小時(shí)”。

這是醫(yī)學(xué)行業(yè)的術(shù)語(yǔ)，指的是創(chuàng)傷患者需要在一小時(shí)內(nèi)得到有效地看護(hù)和診治，這樣會(huì)大大降低傷亡的可能性。

與突發(fā)事件造成的創(chuàng)傷一樣，網(wǎng)絡(luò)攻擊給企業(yè)系統(tǒng)切開(kāi)了一條傷口，如果無(wú)法在最短的時(shí)間內(nèi)妥善處理，那么攻擊帶來(lái)的傷害就會(huì)擴(kuò)大。“速度非常重要。黃金一小時(shí)需要從探測(cè)到攻擊跡象時(shí)開(kāi)始計(jì)算。而對(duì)數(shù)據(jù)進(jìn)行手動(dòng)分析，一定會(huì)拖慢我們?cè)谶@一關(guān)鍵時(shí)間段內(nèi)的反應(yīng)速度。”英特爾公司安全總經(jīng)理Kris Young說(shuō)。

當(dāng)被問(wèn)及在事件監(jiān)測(cè)和響應(yīng)任務(wù)中哪些過(guò)程最耗時(shí)，確定安全事件的影響及波及范圍是最常被提及的答案，有47%的受訪者對(duì)此感到頭疼。在這個(gè)過(guò)程中安全人員需要弄清的問(wèn)題包括，系統(tǒng)內(nèi)發(fā)生了什么變化，這個(gè)變化導(dǎo)致了什么問(wèn)題，是否有其他系統(tǒng)也受到了感染？排查這些問(wèn)題會(huì)消耗大量的時(shí)間。

另外，有42%的受訪者認(rèn)為采取行動(dòng)將攻擊影響降至最低比較耗時(shí)，在這期間他們往往需要讓系統(tǒng)離線以及將網(wǎng)絡(luò)進(jìn)行分割。通過(guò)分析情報(bào)進(jìn)行安全事件的監(jiān)測(cè)，在耗時(shí)調(diào)查中位列第三，41%的網(wǎng)絡(luò)安全人員選擇了這一選項(xiàng)。

事實(shí)上，在實(shí)際操作過(guò)程中，企業(yè)并不會(huì)在第一時(shí)間發(fā)現(xiàn)它們正遭受攻擊。而當(dāng)偵測(cè)到危機(jī)不斷擴(kuò)大時(shí)，一系列耗時(shí)的工作相互疊加，可能需要數(shù)天、數(shù)周、乃至數(shù)月才能完成。這在網(wǎng)絡(luò)安全受到威脅的情況下，將會(huì)是一種災(zāi)難。

在調(diào)查中，37%的受訪者認(rèn)為企業(yè)需要有效整合所掌握的安全情報(bào)，以及使用的IT運(yùn)營(yíng)工具。尤其在大型企業(yè)中，各個(gè)部門(mén)之間往往使用的是不同的安全工具，導(dǎo)致安全系統(tǒng)相互割裂，無(wú)法對(duì)收集的數(shù)據(jù)和情報(bào)進(jìn)行有效地共享，使得實(shí)時(shí)判定正在發(fā)生的網(wǎng)絡(luò)襲擊變得困難。

當(dāng)被問(wèn)及安全技術(shù)及工具間缺乏整合和溝通，是否是導(dǎo)致事件監(jiān)測(cè)和響應(yīng)異常困難的原因時(shí)，高達(dá)79%的受訪者給出了肯定的答案，26%的安全專(zhuān)業(yè)人員甚至覺(jué)得這可以算是一個(gè)很大的問(wèn)題。因此首席安全信息官們需要考慮，在未來(lái)3年制定一個(gè)企業(yè)層面的安全架構(gòu)來(lái)進(jìn)行安全工具的相互整合，從而取代目前安全工具呈點(diǎn)狀分布的格局。

在微觀層面，安全人士同樣提出了自己的建議。58%的受訪者希望獲得更好的監(jiān)測(cè)工具，53%的受訪者希望能夠獲得更好的分析工具，以便將安全數(shù)據(jù)轉(zhuǎn)化成具有可操作性的情報(bào)。27%的受訪者提到了希望利用安全情報(bào)工具進(jìn)行更好地自動(dòng)化分析，在網(wǎng)絡(luò)攻擊日漸頻繁的情況下，手動(dòng)分析已經(jīng)不太適合這種快速變化的節(jié)奏，在更大范圍內(nèi)進(jìn)行分析的自動(dòng)化將成為一種必然趨勢(shì)。

針對(duì)網(wǎng)絡(luò)安全進(jìn)行持續(xù)不斷地教育同樣是企業(yè)下一階段工作的重點(diǎn)。一個(gè)具體的例子是，當(dāng)被問(wèn)到是否熟悉惡意代碼混淆的相關(guān)技術(shù)時(shí)，只有45%的受訪者表示非常熟悉，對(duì)這一技術(shù)并不熟悉的技術(shù)人員甚至達(dá)到了8%。

另外，41%的受訪者表示需要更好地理解用戶行為，而希望更好地理解網(wǎng)絡(luò)行為的安全人員則占到了總數(shù)的37%。

某種程度上，安全人員就像醫(yī)生一樣，他們需要隨時(shí)了解這一領(lǐng)域研究的最新進(jìn)展。目前，安全人員往往忙于應(yīng)付和處理不斷響起的安全警報(bào)，因此讓他們分配多少時(shí)間接受繼續(xù)教育，成為企業(yè)需要權(quán)衡的問(wèn)題。

好消息是，網(wǎng)絡(luò)襲擊的頻繁發(fā)生已經(jīng)讓各大公司的董事會(huì)意識(shí)到網(wǎng)絡(luò)安全的重要性。和支付寶、攜程宕機(jī)類(lèi)似的網(wǎng)絡(luò)安全事件，勢(shì)必會(huì)讓其他企業(yè)的高管對(duì)這一領(lǐng)域給予更多的關(guān)注。

“網(wǎng)絡(luò)安全問(wèn)題已經(jīng)從機(jī)房走向了董事會(huì)，這是件好事，企業(yè)最終會(huì)選擇向網(wǎng)絡(luò)安全及防護(hù)領(lǐng)域投入更多地關(guān)注和預(yù)算。”Kris Young說(shuō)。