現在世界各地的企業都在關注如何保護他們的信息資產，他們需要這些資產用以制造產品、提供服務、在市場區分自己、生成利潤以及為其客戶和股東創造價值，為此，這些企業正在投入巨大的資源來保護重要的信息資產。

[[166647]]

企業和政府機構每天都在攻擊籠罩之下，這種預防攻擊的成本非常巨大。根據國際戰略研究中心和安全公司McAfee在2014年的研究顯示，美國網絡犯罪成本每年占國內生產總值的0.64%。從2015年18萬億美元國內生產總值來看，這意味著每年的網絡犯罪成本是1152億美元。

鑒于網絡犯罪成本如此之高，企業可能會想“為什么我不能保護自己以抵御不斷的攻擊，并減少損失呢?”其實，企業可以保護自己，甚至可以進行“反攻擊”。但典型網絡安全防御通常是這樣：被動地坐著，等待下一次攻擊，同時祈禱自己部署的防御措施會發揮作用。

企業可能希望攻擊者不會發現他們沒有部署任何防御措施的位置，但也知道攻擊者會比他們更早地知道下一個新漏洞。攻擊者在企業部署有效防御之前就已經有了漏洞利用包，企業最終會意識到，這種采用純粹的防御戰略來保護其信息資產的方式已然行不通。

這種類型的戰略會失敗在于信息防御的不對稱性。這種不對稱性往往表現在，“要想成功抵御攻擊者，防御者需要確保所有時間內100%的正確，而攻擊者只需要找準‘一次的錯誤’就可成功。”

常用的防御戰略無法有效保護重要信息資產，這增加了企業的挫敗感，他們花費在網絡安全的資源充其量只能提供低水平的保護。

對于投資了網絡安全但仍遭受攻擊、入侵和損失的企業，受挫和憤怒之情會讓他們變得更加愿意積極進取地應對攻擊者。美國黑帽大會2012年的調查顯示，36%的受訪者聲稱他們已經開始對網絡安全攻擊進行打擊報復。

打擊報復攻擊者的一種具體方法是“反攻擊”，是指受攻擊的目標會反過來攻擊網絡罪犯或黑客。對于愿意考慮對黑客進行反攻擊的企業來說，都有哪些問題需要考慮呢?

攻擊與反攻擊

攻擊的定義是在未經授權的情況下，訪問計算機、網絡或信息系統，包括其信息。攻擊涉及繞過安全控制或惡意的漏洞利用。

反攻擊也是指在未經授權的情況下訪問計算機、網絡或信息系統。這兩者的區別在于動機不同。企業進行反攻擊的動機可能是恢復或擦除被盜數據或知識產權，其他反攻擊的動機可能從本質上來看屬于報復，包括破壞或損壞攻擊者的系統以及破壞他們今后執行攻擊的能力。

是否執行反攻擊應該由最高管理層作出決策。反攻擊是技術性活動，是否要這樣做屬于企業性決策。信息安全是以業務為核心的運營風險管理活動，用反攻擊來保護信息需要從風險管理的角度來考慮。

法律和道德問題

如果惡意攻擊是非法活動，那么反攻擊也是非法的。在美國，1986年的計算機欺詐與濫用法案(CFAA)表明，對計算機的未經授權訪問被視為非法。

反攻擊的另一個問題是附帶損害。網絡罪犯通常使用不知情的第三方計算機執行攻擊，有時候會整合這些受感染計算機為僵尸網絡，用于發動攻擊和分發垃圾郵件及惡意軟件。明確攻擊者的真正來源很困難，對第三方擁有的計算機執行的反攻擊帶來了嚴重的責任問題。1994年對CFAA法案的修正案允許民事索賠。

撇開合法性來看，簡單的道德準則包括“不傷害”，“尊重員工、承包商和供應商”以及“遵守法律”等都會被反攻擊涉及的活動和結果所侵犯。

風險

反攻擊包含以下風險：

經濟損失

企業需要回答幾個問題：反攻擊是否提供任何財政激勵措施?反攻擊是否會減少損失或恢復信息資產及知識產權?反攻擊是否可防止對計算機和網絡的損壞?反攻擊可節省多少成本?反攻擊需要什么代價?

信譽與客戶信心

如果反攻擊活動吸引了媒體和執法組織的目光，這可能會影響企業的聲譽。如果反攻擊對第三方造成損害呢?這還會影響客戶的信心，可能影響企業收入。

民事和刑事處罰

反攻擊可能導致哪些潛在處罰?攻擊者不太可能被起訴，但企業可能因為反攻擊被強制執行離線及造成業務損失。

對于刑事起訴，美國政府在積極查找違反CFAA的行為，盡管不是針對反攻擊而言的。

生產效率

拒絕服務供給帶來的工作效率和業務損失可能非常嚴重。反攻擊是對拒絕服務供給的現實應對策略嗎?反攻擊能否減少破壞以及加速從惡意攻擊事件中恢復的速度?

安全性

在試圖反攻擊后，如果攻擊者決定進行更多攻擊，僅僅是為了破壞你的信息系統以及你開展業務的能力呢?全面的拒絕服務對你的企業意味著什么?

責任

如果反攻擊對第三方造成損害呢?第三方決定在民事法庭尋求賠償呢?

反攻擊并非……

反攻擊并非網絡安全最佳做法的替代品，反攻擊是所有其他辦法都失效情況下，不得已而為之的策略。在企業已經部署了世界級的網絡安全計劃、政策和程序，并有豐富運作經驗后，才可考慮反攻擊。對于可能存在的各種法律和道德問題，企業應該思考反攻擊是否確實是合理可行的網絡安全保護戰略。