網(wǎng)絡(luò)攻擊已經(jīng)成為對美國商業(yè)的持續(xù)威脅。用黑客的方式回?fù)裟芙鉀Q問題嗎？

　　圖片來源：Photo-Illustration by Tres Commas; Original Photographs, Shield: Gabe Ginsberg—Getty Images; arrows: Getty images

　　參加任何有關(guān)于網(wǎng)絡(luò)安全的非正式會談，你都會聽到這樣一句話：“世界上有兩種類型的公司：被黑客攻擊過的公司，和那些不知道曾經(jīng)被黑客攻擊過的公司。”

　　這句引發(fā)上千條妙語的話出自于德米特里·艾爾帕洛維蒂奇，他是一位出生于莫斯科的企業(yè)家，也是世界最前沿的黑客偵探之一。2011年，作為反病毒先驅(qū)麥克菲的首席威脅研究員，他在調(diào)查時發(fā)明了這句話——公眾對此很感興趣——調(diào)查對象是五年內(nèi)發(fā)起的對超過70個組織的網(wǎng)絡(luò)攻擊，包括國防承包商、科技公司和聯(lián)合國。

　　現(xiàn)在這句無可奈何的話該升級一下了。“我已經(jīng)修改了我的話。”艾爾帕洛維蒂奇告訴《財富》雜志，“前兩種公司仍然存在，但現(xiàn)在有第三類公司，他們能夠成功地防御黑客入侵。”好吧，還有希望！

　　你盡可以把他修改后的話，當(dāng)作一種純熟的銷售技巧。作為網(wǎng)絡(luò)安全公司CrowdStrike的聯(lián)合創(chuàng)始人和首席科技官，這家公司在今年6月上市時的股價大漲讓投資者側(cè)目，艾爾帕洛維蒂奇確實有理由得意一下。

　　但實際上艾爾帕洛維蒂奇修改這句話，是意有所指的。在布什和克林頓政府任職的前白宮安全顧問理查德·克拉克，同意這句新的三段體話。他剛與奧巴馬政府的網(wǎng)絡(luò)主管羅伯特·柯內(nèi)克合寫了一本書《第五領(lǐng)域》（The Fifth Domain），書中提到網(wǎng)絡(luò)已經(jīng)成為繼陸地、海洋、天空和外太空之后的最新的戰(zhàn)爭威脅。

　　想想NotPetya病毒吧。俄羅斯在2017年釋放的這一病毒災(zāi)難性地襲擊了全球的許多電腦，導(dǎo)致了像聯(lián)邦快遞、馬士基和默沙東這樣的公司損失數(shù)十億美元。

　　但是，并非所有公司都受害了。“你所不知道的是，有一批美國公司在烏克蘭做生意”——可謂處于網(wǎng)絡(luò)攻擊的中心點——“卻沒有受到損失，”克拉克說。一些公司像波音、杜邦和強生“并未吱聲，于是在我們的書中，就試圖找出原因。”

　　那么，為什么有些公司被黑客攻擊，有些沒有？從技術(shù)層面來說，未受損的公司把它們的設(shè)備都打了補丁，防止漏洞被NotPetya利用。但一個更基本的問題是，為什么有些公司打補丁，而有些卻忽略了？

　　原因就一個詞：優(yōu)先級。最具韌性的組織，都有預(yù)案。一位主管若是駁回首席信息安全官的建議，得有充足的理由。首席執(zhí)行官肯定也會過問。

　　這是很好的防御措施，但如果公司發(fā)起反擊呢？一些美國國會的成員正在提議一項立法，稱之為“黑客反擊”議案，該議案允許公司調(diào)查攻擊者的電腦并摧毀被盜數(shù)據(jù)。

　　位于亞特蘭大的律所長盛（Troutman Sanders）的隱私保護(hù)主管馬克·毛，對此議案表示謹(jǐn)慎地支持。“我個人認(rèn)為，這主意不錯。”他說，“我覺得這就像網(wǎng)絡(luò)第二修正案。”（但他補充說，這種做法應(yīng)該是“有限制的”，并且需要制定很多細(xì)節(jié)。）

　　毛將網(wǎng)絡(luò)攻擊和反擊，與核平衡相對比。“核威懾是有效的，因為沒有人希望被核攻擊。”他說，“許多黑客逃之夭夭，因為沒有任何報復(fù)措施。”

　　然而，許多網(wǎng)絡(luò)安全業(yè)內(nèi)人士認(rèn)為，如果黑客反擊議案變成法律，將會是巨大的災(zāi)難。網(wǎng)絡(luò)安全公司火眼的情報主管、美國空軍預(yù)備役人員桑德拉·喬伊斯就表示反對。“最不希望看到的，就是用意良好但純屬菜鳥的人來摻和此事。”她認(rèn)為這一議案會有誤判攻擊者的危險，也會導(dǎo)致爭鋒相對和矛盾升級。它只會“帶來人心惶惶，風(fēng)險叢生。”

　　她還說，這項議案代表著“商業(yè)界的聲音，他們感到被忽視了。這是一種受挫的信號。”

　　他們的惱怒是可以理解的。據(jù)Gartner的數(shù)據(jù)，今年全球網(wǎng)絡(luò)安全的支出將增長9%，達(dá)1240億美元。但網(wǎng)絡(luò)安全還是難以保全。

　　要防止黑客偷光公司財產(chǎn)，公司卻不必耗盡家財。克拉克認(rèn)為，公司把IT預(yù)算的8%到10%投入到網(wǎng)絡(luò)安全中，就相當(dāng)不錯了。

　　要防護(hù)好網(wǎng)絡(luò)，這個比例的投入也并不總是必要的。艾爾帕洛維蒂奇說，他就知道一家《財富》美國500強的從事賓館業(yè)的公司，每年只花費區(qū)區(qū)1100萬美元做網(wǎng)絡(luò)防護(hù)，但他確信這家公司的網(wǎng)絡(luò)安全是他所見過最好的之一。

　　面對網(wǎng)絡(luò)安全的擔(dān)憂，公司的董事會主席把自己的手機號碼給了公司首席信息安全官，并告訴他：“不管白天或夜里，如果有人拒絕你的提議，隨時打我電話。”

　　艾爾帕洛維蒂奇加了一句：“在這個機構(gòu)里，沒人敢對他說不。”（財富中文網(wǎng)）