網絡安全評估應進入M&A流程
并購與收購案例加大了攻擊者對于重要數據的興趣,但是專家認為大多數企業都無法在執行交易之前完成一次網絡安全評估。
根據Thomson Reuters的最新數據,整體回調的全球經濟導致過去7年里面發生的企業并購和收效活動遠遠多于其他時間。許多執行官必然關注于高收益交易,但是信息安全專家則認為,大多數企業在進入M&A(Mergers and Acquisitions,企業并購)流程時因為忽視安全性而犯下致命錯誤。
有一個鮮活的例子,在最新一期的ICS-CERT Monitor里——由美國國土安全局(DHS)行業控制系統計算機網絡應急響應小組發布的季刊,詳細介紹了一起“由多個威脅發起者在幾個月時間里對一個大型關鍵制造組織發起的攻擊事件”。ICS-CERT的危害調查披露了受攻擊主機的證據、攻擊者在整個公司網絡的最近行為及受到攻擊的域帳號。
ICS-CERT指出,讓入侵檢測難度變大的是受攻擊組織已經由一系列收購變成一種“多公司混合體”。伴隨公司收購而發生的計算機網絡合并帶來了多個網絡安全弱點,同時又降低了IT安全團隊的網絡可見性。
ICS-CERT Monitor的報告中寫道:“這個組織已經有超過100個互聯網出入點,這讓網絡邊界保護變得非常復雜。在這種情況下,重新設計網絡架構是保證公司在整個企業范圍內實現統一安全狀態的最佳方法。”
M&A流程中被忽略的安全問題
雖然ICS-CERT的警告僅限于一個制造業組織,但是專家告訴SearchSecurity,在企業并購或收購過程中,信息安全性通常都不在考慮范圍內。
愛爾蘭BH咨詢公司老板及CEO Brian Honan指出,在他25年的安全行業從業經歷里,他遇到過無數類似于ICS-CERT描述的情況。Honan指出,這對于大型企業而言尤為苦惱,因為將網絡和企業安全文化合并到一個環境的困難是不可接受的。
Honan說:“例如,如果有一家較大規模公司,它擁有一個成熟的信息安全管理框架,然后它準備收購一家新創公司,而這個新創公司可能還沒有實施任何安全流程。如果是購買一個軟件產品,那么他們可能還從未對應用程序代碼執行過安全性審查。”
美國加州爾灣CrowdStrike公司服務部門總裁及前FBI執行助理主管Shawn Henry指出,在他私營公司和公共部門的角色里,他非常強調在M&A流程中執行全面網絡安全評估的重要性。Henry指出,在幾次M&A流程中,CrowdStrike的專家都發現了攻擊者主動攻擊M&A交易企業的證據。這些攻擊者對美國公司之間的所有交易都非常感興趣。
此外,Henry還指出,他還曾經發現一些公司的交易是完全基于重要知識產權收購,而他發現攻擊者已經攻破了IT,所收購實體的價值已經大打折扣。
但是,Henry指出,盡管重復警告和大量證據證明不作為的嚴重后果,但是他從未看到過有一家公司在M&A活動中對安全風險進行全面評估。
Henry說:“每天都有公司被收購,然后它們連接到自己的網絡中,但是極少有公司對他們的網絡安全性進行評估。對于我而言,這相當于購買一棟房子,但是完全不執行防白蟻措施。我不知道具體有多少人會做這些事情,但是這確實每天都在發生。”
Henry補充說:“我認為這里仍然有很多抵觸因素,或許是因為人們并沒有將它視為高優先級的事務。或許他們沒有足夠的時間去處理它的影響,而且有時候擊敗對手而成收購要比長期目標更重要一些。”
成功的網絡并購要從一開始就考慮安全性
雖然企業在執行M&A交易時忽視安全性,但是Henry和Honan都表達了相同的期望,最近影響很大的安全事故(如針對Target和Home Depot的 數據攻擊)讓執行董事會更加關注安全性了。這意味著要在任何一次交易開始時就評估潛在M&A目標的安全性。
對于正在執行收購的公司而言,Honan強調說,CISO一定要盡快參與任何潛在收購。Honan說,CISO應該與執行官溝通,在引入一個獨立網絡時讓他們理解哪些寶貴資源需要得到保護,然后確定收購組織可能帶來哪些新風險。
Honan指出,在這些情況中,要考慮的最重要因素是收購目標是否對安全性有足夠的重視。他說,這其中可能包括安全技術的實現,但是更重要的是所收購公司是否已經正確評估了資產價值,是否有一些流程和專人都保護這些資產。
Honan問道:“它是否在他們的客戶列表上?它是否是他們的主要聲譽?它是否是他們的知識產權?他們的相關人員是否有經過合格的安全培訓?這就像去買一輛汽車。銷售商會告訴你汽車的所有優點,但是你自己一定要請人徹底檢查引擎、底盤及汽車的使用記錄,確保它不是報廢車或被盜車。審查一個公司的過程也是一樣的。”
Henry認同一點,安全性應該在整個流程開始時就成為一個必要環節,這些公司應該在收購之前對收購目標執行一次全面的網絡安全評估,其中包括評估硬件、軟件、網絡架構、數據存儲方式及保護數據的人員與流程。
即使在收購或并購流程完成之后,組織仍然需要執行一些步驟來保證合并網絡的安全性。在前面提到的制造業企業案例中,DHS建議類似的組織要立即限制合并后網絡的互聯網連接數量——Henry認為這是限制風險的最基本但最有效的方法。多年以來,聯邦政府一直在努力減少它的外部互聯網連接數量,目前已經從8,000個減少為100個以下,目的是減少攻擊者的潛在入侵點。
此外,Henry還指出,一些組織應該執行清查評估,就像在M&A交易之前的做法一樣,評估新合并實體的所有重要IP與其他資產。他強調說,這個措施可以擴大到網絡架構及新增到環境的設備上。
Henry說:“我接觸過許多公司,它們幾年前就完成了收購,但是他們現在仍然不知道自己到底買了什么。他們不知道網絡的所有子網情況。里面有許多設備、服務器、各種網段,但是他們完全監控不到,因為他們從未執行過一次全面評估或審查。”
