黑客也許是世界上最酷的工作之一了，與忍者、海盜和超級間諜并列。

當我還是個小孩子的時候，我希望自己成為印第安納·瓊斯（indiana jones）或詹姆斯·邦德（James Bond），因為他們桀驁不馴，而且善于戰斗。

后來，一個叫“匿名者（Anonymous）”——在紐約叫做“蒙面復仇者（Masked Avengers）”——的黑客組織開始成為我的崇拜對象。我的性格里有一種根深蒂固的叛逆，我也想成為一名黑客。

事實上，今天大多數的網絡犯罪并不是那些叛逆的黑客（他們戴著酷酷的墨鏡，穿黑色衣服，為解放人類而戰）干的，當然也不是那些住在父母的地下室里少年黑客干的。大多數網絡犯罪是黑客組織干的，有的還是政府支持的黑客組織。

這些黑客組織具有更多的負面色彩和更大的破化能力。

2014年，黑客每年給全球經濟造成的損失大約為 5750億美元，相當于全球GDP的0.8％。2015年，遭受黑客攻擊的美國公司平均損失650萬美元。

650萬美元對任何一個公司來說都是一個較大的損失，而且有可能使公司丟失用戶的信任。對中小型公司來說，這樣的損失更加難以承受。

企業該怎么保護自己？荷蘭的頂級銀行之一荷蘭銀行（ABN AMRO）已經開發出了一種成功的網絡安全系統。

網上銀行是最容易受到網絡攻擊的領域之一，因為黑客一旦攻擊成功將獲利豐厚。荷蘭銀行每天都面臨著網絡攻擊的威脅，包括對網銀客戶的攻擊、拒絕服務攻擊和勒索軟件等等。而且這些攻擊每天都在變化。

為了對付網絡攻擊，荷蘭銀行已經建立了一個叫CISO的部門，其任務是保護銀行的網絡安全，包括身份和訪問管理、欺詐檢測技術研發、風險評估、密碼術研發、供應商安全管理和危機管理。

對其他公司來說，荷蘭銀行所采用的策略為它們提供了關于如何創建一個有效的網絡安全系統的經驗。

策略1：最薄弱的環節不能修復

在一個應用程序的安全系統中，什么是最薄弱的環節？你可以在下列選項中選擇一個。

A.跨站點腳本(Cross-Site Scripting)？

·B.不安全的加密存儲？

·C.直接通向反應器系統的熱排氣口？

·D.人類（或稱為用戶和雇員）

如果你的回答是C，那么你可能是《星球大戰》（Star Wars）這類電影看多了！

如果你的回答是A或B，那么你可能是一個書呆子！

如果你的回答是D，恭喜你答對了！

對任何應用程序來說，人類都是最大的安全風險。這里說的人類包括公司員工和用戶。公司可以通過許多途徑來盡量減少人類帶來的安全風險——培訓員工、員工政策更新、通知用戶并迫使他們更改密碼，或者設置多級別認證。

然而，黑客們會創造更多的方式將人類的風險最大化。

黑客們正在采用越來越有效的網絡釣魚郵件、垃圾郵件、社交工程和其他技術來蒙騙倒霉的用戶或員工。2015年，3730萬卡巴斯基殺毒軟件的用戶遭遇了網絡釣魚攻擊。像荷蘭銀行這樣的企業可以有效告知和培訓90％的用戶和員工，但黑客們發出了大量的釣魚郵件和其他攻擊，它們所需要的只是一個收件人打開電子郵件以創建一個攻擊路徑。在現實中，約23％的收件人打開了釣魚郵件。

這里的教訓不是我們應該用精心編程的機器人來代替用戶和員工，——機器人更可能被黑客攻擊，而是我們永遠不要假設任何環節是安全的。

對用戶和員工進行通知和培訓的必要的，但這樣做最多只能提供一種脆弱的保護。荷蘭銀行不是押注在“標準”用戶身上，而是作了最壞的打算和相應的應對。墨菲定律尤其適用于網絡安全——可能出現的問題往往會真的出現。

策略2：并不需要建立一個諾克斯堡

在一個理想世界中，每個公司都擁有無限的資金和無限的員工，它們可以將自己的應用程序建成一個不可能被攻破的“諾克斯堡（Fort Knox）”。但是，這個世界并不理想，企業（尤其是初創企業甚至大型銀行）往往只能用一個人員非常有限的團隊和非常有限的資金來創建自己的安全基礎設施，而且這些有限的資金和人員還可能被轉移到產品開發部門和其他部門。

那么企業能做什么呢？

下面是企業可做的選擇：

·A. 嘗試建立一個“諾克斯堡”！花光有限的預算來保護自己的應用，但最后發現自己的應用沒有用戶愿意使用，因為公司所有的資金都用在安全方面，沒有錢來研發更好的產品了。

·B. 認為黑客必勝，轉向黑暗的一面，并與惡魔進行交易，將自己所有數據都交給黑客以換取傭金。

·C. 不去建立一個諾克斯堡。相反，認識到創建無漏洞的應用程序幾乎是不可能的，從而將公司的努力方向轉向了解這些漏洞，并據此開發安全基礎設施。

荷蘭銀行選擇了C。荷蘭銀行沒有試圖去創建一個極度安全，但笨拙而無法使用的銀行應用，而是努力去創建一個即安全而又具有高度可用性的應用。

例如，荷蘭銀行取消了多步驟身份驗證過程，因為這個驗證過程雖然使它的應用變得更安全，但同時也給用戶造成了很大的麻煩。荷蘭銀行將重點放在對用戶賬戶的安全檢測上——檢測發生在用戶賬戶上的欺詐活動，以避免用戶賬戶被黑客入侵。

這樣，雖然最終創建的應用是有漏洞的，但荷蘭銀行將重點放在了發現這些漏洞存在于何處，以檢測黑客基于這些漏洞發起的攻擊行為，并阻止這些攻擊最終對用戶造成傷害。

荷蘭銀行的信息安全管理部負責人Fabien Casteran說：

“黑客喜歡阻力最小的路徑。想象一下，你家有一扇安全的、難以攻破的前門，但你家的后窗是沒有鎖的。強盜將從后窗闖入你家。因此，我們要像黑客一樣思考。”

所以，荷蘭銀行知道哪里最有可能出問題，以及它最終出問題的可能性，然后相應地開發更高級別的安全設施或者檢測服務。

策略3：聘請黑客

我們的建議是像黑客那樣思考。但是，我們不是黑客，僅僅是只有使用電腦的非專業人士，我們怎么像黑客一樣思考？

你不知道。所以你可以雇用黑客，然后讓他們來攻擊你的應用程序。

這似乎不只是挑戰，而且也是反直覺的。但是，世界上確實有這樣一個職業群體，他們的工作是受雇于企業，專門攻擊該企業的產品漏洞。

這個有道德的黑客群體的成員都是企業的安全顧問，企業花錢請他們來測試它們的系統安全性。甚至還出現了一種稱為正派黑客認證（Certificated Ethical Hacker，CEH）的技術認證，它是“一種使用滲透測試技術對計算機系統進行安全性評估的資格認證。CEH考試代碼為312-50。”這種認證由國際電子商務顧問委員會（International Council of E-Commerce Consultants）提供。

荷蘭銀行雇用這些正派黑客來測試自己的應用程序，并找到它們的弱點。雖然這種策略的有效性受到質疑，而且不是所有的企業都有能力聘請正派黑客——聘請他們的價格可能是昂貴的。但我們可以學到的經驗是：從一個黑客的角度（而不是僅僅從IT專業人士的角度）來測試應用程序，并找到它的漏洞，這是至關重要的。

策略4：利用人工智能

黑客每天通過不同的渠道，采取不同的方式對荷蘭銀行實施攻擊。這意味著荷蘭銀行每天面臨著不同類型、不同方式的攻擊，每天都有新的防守領域。

所以，荷蘭銀行需要走在黑客前面一步，不僅要像黑客一樣思考，而且要比最厲害的黑客領先一小步。

為了保持這種領先，荷蘭銀行投入巨資研發新的網絡安全技術。雖然荷蘭銀行的這種研發工作的一部分是在內部進行的，但該行也與IBMWatson（IBM公司的人工智能研發部門）進行直接合作，以更好地檢測網絡欺詐活動。

荷蘭銀行與IBM Watson聯手，研究如何利用人工智能改善算法，以適應和對付黑客不斷變化的攻擊方式。他們開發的一個欺詐檢測算法已經獲得了專利。

保持對黑客領先一步，這對任何網絡安全策略的成功來說都至關重要。人工智能是網絡安全技術的下一個前沿領域。

那么，其他公司從荷蘭銀行可以學到的主要經驗是什么？

最好的防守不是單純構建安全基礎設施，還要投入時間和資源去找到和理解安全漏洞在哪里。