“报复黑客”:可行的战略还是重大的风险?

现在世界各地的企业都在关注如何保护他们的信息资产,他们需要这些资产用以制造产品、提供服务、在市场区分自己、生成利润以及为其客户和股东创造价值,为此,这些企业正在投入巨大的资源来保护重要的信息资产。

企业和政府机构每天都在攻击笼罩之下,这种预防攻击的成本非常巨大。根据国际战略研究中心和安全公司McAfee在2014年的研究显示,美国网络犯罪成本每年占国内生产总值的0.64%。从2015年18万亿美元国内生产总值来看,这意味着每年的网络犯罪成本是1152亿美元。

鉴于网络犯罪成本如此之高,企业可能会想“为什么我不能保护自己以抵御不断的攻击,并减少损失呢?”其实,企业可以保护自己,甚至可以进行“反攻击”。但典型网络安全防御通常是这样:被动地坐着,等待下一次攻击,同时祈祷自己部署的防御措施会发挥作用。

企业可能希望攻击者不会发现他们没有部署任何防御措施的位置,但也知道攻击者会比他们更早地知道下一个新漏洞。攻击者在企业部署有效防御之前就已经有了漏洞利用包,企业最终会意识到,这种采用纯粹的防御战略来保护其信息资产的方式已然行不通。

这种类型的战略会失败在于信息防御的不对称性。这种不对称性往往表现在,“要想成功抵御攻击者,防御者需要确保所有时间内100%的正确,而攻击者只需要找准‘一次的错误’就可成功。”

常用的防御战略无法有效保护重要信息资产,这增加了企业的挫败感,他们花费在网络安全的资源充其量只能提供低水平的保护。

对于投资了网络安全但仍遭受攻击、入侵和损失的企业,受挫和愤怒之情会让他们变得更加愿意积极进取地应对攻击者。美国黑帽大会2012年的调查显示,36%的受访者声称他们已经开始对网络安全攻击进行打击报复。

打击报复攻击者的一种具体方法是“反攻击”,是指受攻击的目标会反过来攻击网络罪犯或黑客。对于愿意考虑对黑客进行反攻击的企业来说,都有哪些问题需要考虑呢?

攻击与反攻击

攻击的定义是在未经授权的情况下,访问计算机、网络或信息系统,包括其信息。攻击涉及绕过安全控制或恶意的漏洞利用。

反攻击也是指在未经授权的情况下访问计算机、网络或信息系统。这两者的区别在于动机不同。企业进行反攻击的动机可能是恢复或擦除被盗数据或知识产权,其他反攻击的动机可能从本质上来看属于报复,包括破坏或损坏攻击者的系统以及破坏他们今后执行攻击的能力。

是否执行反攻击应该由最高管理层作出决策。反攻击是技术性活动,是否要这样做属于企业性决策。信息安全是以业务为核心的运营风险管理活动,用反攻击来保护信息需要从风险管理的角度来考虑。

法律和道德问题

如果恶意攻击是非法活动,那么反攻击也是非法的。在美国,1986年的计算机欺诈与滥用法案(CFAA)表明,对计算机的未经授权访问被视为非法。

反攻击的另一个问题是附带损害。网络罪犯通常使用不知情的第三方计算机执行攻击,有时候会整合这些受感染计算机为僵尸网络,用于发动攻击和分发垃圾邮件及恶意软件。明确攻击者的真正来源很困难,对第三方拥有的计算机执行的反攻击带来了严重的责任问题。1994年对CFAA法案的修正案允许民事索赔。

撇开合法性来看,简单的道德准则包括“不伤害”,“尊重员工、承包商和供应商”以及“遵守法律”等都会被反攻击涉及的活动和结果所侵犯。

风险

反攻击包含以下风险:

经济损失

企业需要回答几个问题:反攻击是否提供任何财政激励措施?反攻击是否会减少损失或恢复信息资产及知识产权?反攻击是否可防止对计算机和网络的损坏?反攻击可节省多少成本?反攻击需要什么代价?

信誉与客户信心

如果反攻击活动吸引了媒体和执法组织的目光,这可能会影响企业的声誉。如果反攻击对第三方造成损害呢?这还会影响客户的信心,可能影响企业收入。

民事和刑事处罚

反攻击可能导致哪些潜在处罚?攻击者不太可能被起诉,但企业可能因为反攻击被强制执行离线及造成业务损失。

对于刑事起诉,美国政府在积极查找违反CFAA的行为,尽管不是针对反攻击而言的。

生产效率

拒绝服务供给带来的工作效率和业务损失可能非常严重。反攻击是对拒绝服务供给的现实应对策略吗?反攻击能否减少破坏以及加速从恶意攻击事件中恢复的速度?

安全性

在试图反攻击后,如果攻击者决定进行更多攻击,仅仅是为了破坏你的信息系统以及你开展业务的能力呢?全面的拒绝服务对你的企业意味着什么?

责任

如果反攻击对第三方造成损害呢?第三方决定在民事法庭寻求赔偿呢?

反攻击并非……

反攻击并非网络安全最佳做法的替代品,反攻击是所有其他办法都失效情况下,不得已而为之的策略。在企业已经部署了世界级的网络安全计划、政策和程序,并有丰富运作经验后,才可考虑反攻击。对于可能存在的各种法律和道德问题,企业应该思考反攻击是否确实是合理可行的网络安全保护战略。

本文转自d1net(转载)

时间: 2024-09-14 15:22:26

“报复黑客”:可行的战略还是重大的风险?的相关文章

“报复黑客”:可行的战略还是重大的风险?

现在世界各地的企业都在关注如何保护他们的信息资产,他们需要这些资产用以制造产品.提供服务.在市场区分自己.生成利润以及为其客户和股东创造价值,为此,这些企业正在投入巨大的资源来保护重要的信息资产. 企业和政府机构每天都在攻击笼罩之下,这种预防攻击的成本非常巨大.根据国际战略研究中心和安全公司McAfee在2014年的研究显示,美国网络犯罪成本每年占国内生产总值的0.64%.从2015年18万亿美元国内生产总值来看,这意味着每年的网络犯罪成本是1152亿美元. 鉴于网络犯罪成本如此之高,企业可能会

万字血泪史:从黑客到银行风险专家,一切全是因为真爱!

以下为万字演讲实录,关于风险设计与管理的思维引导. 我自己的从业经历几乎就是一部安全与风险的血泪史,起初我是一个黑客,一身汇编本领出神入化,但缘分真是妙不可言,我未进银行之前好多项目几乎都跟银行相关,于是几经兜转,我还是来到了银行,自我标榜为金融从业. 在转型为"金融业务砖家"之后,我仍然摆脱不了风险这个标签,我经常跟别人说,一入风险误终身,不管你金融业务多么精通,营销搞得多么棒,总有人哪壶不开提哪壶得说"这是风险专家",扔臭鸡蛋的心都有. 其实这也不怪他们,我几乎

黑客来势汹汹,受害者能以牙还牙“黑回去”吗

汉尼拔将军曾说过,进攻就是最好的防守.对待来势汹汹的黑客,许多公司已经不再一味的被动防守,它们开始主动防守甚至选择直接"黑回去"了.未来,这种反击方式恐怕会逐渐合法化,其争取合法化的道路与大麻可能会有不少相似之处. 如果你经常留意今年的科技新闻,一定会发现,针对黑客的"以牙还牙"行动正在逐渐增多.当然,这样快意恩仇的复仇行动其实早已有之,但近些年来随着黑客活动的活跃,普罗大众也开始关注起这一有趣的话题. 不过,虽然双方的网络对攻"异彩纷呈",但有

新物联网时代的整合战略

据专家估计,2020年全球互联的IoT(The Internet of Things,物联网)装置总数将超过260亿,经济影响力可能达到4至11兆美元之多.世界各大相关厂商多已纷纷投入此战场,国内物联网产业要争取这块大饼将面临各种严峻的挑战. 如何在有限的资源下创造新的契机?中国企业可试着朝几个具体可行的战略方案着手. 首先,要建立一个共享的物联网整合平台.在物联网胜出的重要因素不在于"物",而是在"联"的部分,意即物联网的主导权在于物联网整合平台而不在于终端的硬件

《智能数据时代:企业大数据战略与实战》一3.5 步步为营

3.5 步步为营 常言道"千里之行,始于足下",而创造有效大数据分析程序的过程也符合这一道理.然而,要想成功达成目标,我们需要走的不只是一步.推行大数据分析计划的组织,需要强有力的执行计划来确保分析流程适合自身需求.要想为大数据计划做好准备,选择出将要使用的技术只是旅程的半途.除了确认正确的数据库软件和分析工具以外,相关企业还需要落实技术基础设施,真正为进入下一步骤做好准备,由此才可制定出真切可行的战略.高效项目管理过程对创建成功的大数据分析程序有至关重要的作用,这一点也是不可忽视的.

保险电商(B2C)运营系列(三)战略制定篇

战略制定篇 毫无疑问,清晰可行的战略在很大程度上决定了一个公司一个部门一个项目成败. 我们经常听到一句话:"做正确的事与正确的做事". 前者讲的就是战略问题,后者是战略执行问题. 此篇章就来讲述一下战略制定的问题,特别是传统企业的电商战略注意事项. 遇见过很多公司,大的小的,私营.民营.国企或外企,在制定公司战略.部门战略.创业项目战略时,或多或少,都存在如下问题: 要么对自身能力与资源认识不清,要么对竞争对手研究不够,还有对目标用户丝毫就不做研究,一厢情愿的制定出自己所谓的战略. 那

黑客如何通过虚拟世界来生财

中介交易 SEO诊断淘宝客 站长团购 云主机 技术大厅 "黑客入门教程"."本人黑客收弟子"."快速抓'肉鸡'"."教你制作一个简易的QQ炸弹"--这是一个叫做"中国红客联盟"的论坛的几个热门帖.讨论区里,"菜鸟"和"高手"有问有答,就一些黑客技术.技巧讨论得热火朝天. "黑色世纪网安"网站上更是明码标价,每位会员一次性交纳100元成为本站团购VI

CSDN密码泄漏门事件让“黑客”再一次被人们所关注

长江商报消息 本报讯(记者 翟莹)CSDN密码泄漏门事件让"黑客"再一次被人们所关注.昨日,瑞星公司发布<瑞星2011年度企业安全报告>(以下简称"报告"),报告称去年有199665个企业网站曾被成功入侵(以页面计算),教育.网游和政府网站成为最易受攻击的三类网站.此外,由于企业间的恶性竞争开始动用黑客,致使整个行业的安全风险大幅增长. 报告数据显示,几乎所有互联公司都曾遭遇了渗透测试.漏洞扫描.内网结构分析等安全事件.根据瑞星公司进行的抽样测试,在访问

德勤:大数据时代下的新商务战略

 "一旦我们决定主动采取行动而非被动反应,可能性将数不胜数." 乔治 ·萧伯纳          大数据蕴藏着各种可能性.但套用乔治·萧伯纳的上述名言,企业领导者应如何主动采取行动而非被动反应呢?追求价值最大化的过程中,企业应主动出击,未雨绸缪.在适当的时机,通过大数据能够及时洞察在小数据中难以发现的新兴趋势,使企业在制定战略时更具前瞻性.   大数据应用现状  大数据的发展空间  事实上,在竞争激烈的环境中,大数据可能会迫使企业采取行动,而非被迫做出反应.然而,假设企业已对大数据应用