吉宁讲师观点 / 培训讲师谈管理 / 培训讲师谈管理:美国国防部“防黑之道”

培训讲师谈管理:美国国防部“防黑之道”

吉宁博士 2015年12月12日 培训讲师谈管理

当今,

网络攻击事件层出不穷,

许多企业把如何抵御黑客入侵视为风险管理的重中之重。

他山之石,可以攻玉。

美国国防部管理安全漏洞的经验值得企业学习。

美军最核心的经验是:

技术固然重要,

但更关键的是减少人为失误。

为了根除人为失误,

企业必须遵循6项原则:正直、知识深度、

遵守流程、有力后援、

质疑态度和沟通正式化。

美军的IT系统曾经漏洞百出,

现在却日益坚固,

可以在几小时甚至几分钟内

搜索到入侵对象并进行补救。

仅从2014年9月

到2015年6月,

美军就瓦解了已知的3000

多万次恶意进攻。

对系统造成破坏的

漏网之鱼不足0.1%。

向军事网络发起的攻击

往往相当复杂,

美军取得这样的成绩实属不易。

美军最核心的经验是:技术升级固然重要,但更关键的是减少人为失误。网络管理员和用户的失误造成了绝大多数袭击得逞。这些错误包括未能及时给系统遗留漏洞添加补丁、参数设置错误、违反标准程序等。

在解决上述问题的过程中,一位上将功不可没。他就是“核动力海军之父”海曼·里科弗(Hyman Rickover)。由他发起的核动力推进项目在60年间保持了零入侵纪录。里科弗竭力避免人为失误,核动力军舰上所有推进装置的操作者必须经过严格培训,避免出现操作失误;另一条原则是,在异常现象造成重大故障前及时修正。美国国防部在IT保卫战中一直参考里科弗的方法。本文的两位作者桑迪·温内菲尔德和克里斯托弗·基希霍夫都曾深入参与其中,他们写作此文的目的是希望推广国防部的方法,供企业领导借鉴。

企业网络和国防部网络类似,时刻面对着各方的攻击。攻击来源多样:单一民族国家、犯罪组织、网络黑客、无耻对手、不满的内部人员。索尼、塔吉特、家得宝、内曼·马库斯百货、摩根大通银行、Anthem医保等公司都曾被黑客盗取或破坏过数以亿计的信用卡或客户信息。某些能源公司刚刚完成地质勘探时,网络窃贼就盗取了油气储藏信息;重大交易前夕,黑客从公司内网中删除了谈判策略;国防部承包商手中的武器系统数据也惨遭删除。在过去3年里,美国针对化学、电气、水力和交通领域的重要基础设施-系统的网络入侵增加了17倍,难怪美国政府将提高公共及私人领域的网络安全列为国家要务。但是,近期联邦政府人事管理局被黑客入侵一事爆出,大家意识到问题依然严峻。

美军的网络安全征途

国防部在2009年时,也和今天很多企业一样,因为拥有众多迥异的IT系统和安全性解决方案而不堪重负。美军的3大军事部门、4大军种、9个联合作战司令部各自为政,对IT投资都有巨大的裁量权。国防部在1.5万个互不相连的网络上运营着700万台设备,分属不同系统管理员,使用不同的网络标准。这样做既不安全也不高效。

同年,时任国防部长的罗伯特·盖茨看到了增强网络统一管理的机会和遏制危险发生的必要性,因此设立了美国网络司令部。这样一来,所有.mil域名的网络统归一位四星上将管理。分散如藤蔓的网络聚合成形,1.5万个系统最终合并成为“联合信息环境”的统一架构。整个整合过程虽然艰难,但不久后舰队、潜艇、卫星、航天器、飞机、车辆和武器系统等军队各部门,都被连入共同的指挥控制系统,该架构覆盖了所有通信设备。过去军队的网络庞杂,10万多名网络管理员在不同协议下操控着不同的系统,如今却逐渐成为架构紧密、戒备森严的坚固长城。

与此同时,美国网络司令部也在不断进行技术升级。他们采用了更灵敏的感应器、更成熟的分析技术,并加强了“安全堆栈(security stacks)”系统——功能多样的器材和设备,包括能极大提升网管准确度的大数据分析,有了这些技术,他们能快速探测到异常情况,判定威胁的性质,并据此修改网络设置。

连接起分散的网络的确会造成新风险,例如恶意软件可能会扩散到全系统,或者某个网络漏洞也许造成另外一个网络的数据丢失。但这样做的优势更显著:中央监控、标准化防御且升级便利,在遭到攻击时能快速重置参数。(加密网络和未加密的网络是分开的。)

但是,统一架构和一流技术并非最终答案。入侵.mil的袭击之所以得逞,几乎都是由于人为失误。极端组织伊斯兰国(IS)曾在2015年短暂控制过美国中央司令部的推特账号。漏洞来自一个未升级为双因素身份认证的个人账号。此类认证要求用户输入密码后,再使用令牌生成器或加密芯片。2013年,某国利用美国海军公众网站的安全漏洞,攻破了海军未加密的网络,开始了长达4个月的破坏。这个安全漏洞是海军IT专家早就发现却未能及时修复的。针对加密网络最严重的入侵事件发生在2008年,一位在中东工作的中央司令部成员违反规定,将带有恶意软件的U盘直接插入了一台受保护的台式机。

这些入侵反映了网络安全的缺陷,不过军队网络管理员和用户在人为和技术方面的表现和2009年相比已经有了大幅提高。一个参考标准是司令部网络安全检查结果,检查数量即将从2011年的91次上升到2015年的285次。即便评分标准日益严苛,达到标准的司令部比例也从2011年的79%升至2015年的96%。这里的达到标准是指证明自己“做好了联网的准备”(cyber-ready)。

企业需要加强对人为失误的重视。黑客通过一个未将安全参数升级为双因素认证的服务器,渗透进摩根大通的网络。2014年12月Anthem流出8000万私人记录,起因就是一些系统管理者的认证信息遭到了鱼叉式网络钓鱼(Spear phishing,黑客以电子邮件的方式,假冒某组织名义发送真伪难辨的文件,诱使员工登录,借机安装间谍软件,窃取机密——译者注)的攻击和破坏。这些事故让我们看到,失误有可能来自IT人士,也有可能来自公司其他部门。众多研究表明,仅仅通过修补已知漏洞,确保正确设置安全参数,即可阻止大部分的攻击。

结论呼之欲出:技术和人同样重要。(技术其实会给人一种“伪”安全感)网络卫士要建立起“高可靠性组织”,始终如一地最小化风险,并保持高绩效,培养卓越文化。美国网络司令部管理者麦克·罗杰斯(Mike Rogers)上将曾说,“我们不要紧盯着技术不放。一切都离不开态度和文化。离不开你如何管理、培训、武装以及架构组织,还有你主张的运营理念。”

高可靠性组织

高可靠性组织(简称HRO)的概念最初来自那些一次事故就能带来毁灭性打击的组织。比如航空公司、空中管制系统、航天飞行、核电站、救火以及高速列车。这些组织的运营离不开先进技术,但系统、子系统、人力因素以及外部环境之间的相互作用常常会带来偏差。若不及时纠正,很容易引发灾难性后果。它们和那些有机会不断改进的“精益”型公司不同,其管理者和用户都承担不起错误的后果。

在危险复杂的环境中,运营技术的安全性存在风险,除了在工程设计和材料上进行大量投资,我们要做的还有很多。高可靠性组织深知自身弱点,严格遵守运营原则和高标准,明确各项职责,对失误源头严查不怠。美国海军核动力推进项目是目前HRO最长时间安全纪录的保持者。

这样的纪录令人惊叹。因为在深海潜艇中控制核反应堆,需要面对的是长期无法获得任何外部技术支持的情况。里科弗上将在机构各层级中都严格贯彻卓越文化。(他对这份工作无比投入。为了确保只有符合这种文化的人员才能进入该项目,他在任职的30年间亲自面试了每位应聘者。他的继任者也继承了这一做法。)

这种文化的核心包含了6个互相关联的原则。借由这些原则,海军将不合格的应聘者拒之门外,并在操作中严格控制了人为失误。

1.正直。正直指深刻内化的一种信念,决不允许明知故犯,而且要勇于认错。核动力海军从新人入伍第一天起,就开始反复对他们灌输这点,确保大家明白在这里没有第二次机会。因此他们不会心存侥幸,一般在出现错误时会立刻通知上级,及时纠正错误,而不是等问题出现后再进行冗长的调查。

如果某些异常超过了项目技术中心总部重要性的最低阈值(阈值又叫临界值,指一个效应能够产生的最低值或最高值),推进装置的操作员会将异常情况如实上报。军舰指挥官负责项目整体的运转情况,如实汇报也是评估的考量之一。

2.知识深度。若工作人员全面了解系统,包括设计思路、漏洞和操作流程等,那么在出现问题时会准备得更充分,处理异常情况时更有效。在核动力海军中,操作人员在接触真实的推进装置之前,必须经过严格训练。而在成为专家之前,他们需要在上级的密切监督下工作。此后他们还要被定期监测,接受数百小时的额外培训、演习及测试。船长应该定期查看培训情况,每季度就全体船员的熟练程度向上级汇报。

3.遵守流程。在核动力军舰上,工作人员必须知道(或找得到)标准作业流程并严格遵守。同时他们也要在作业流程不适用时及时做出判断,开发新程序。

为了确保大家遵守流程,核动力海军部署了覆盖广泛的安全监测系统。例如,每艘战舰都要定期进行反应堆安全检查,包括笔试、面试、日常操作的监督和模拟紧急情况下的反应。

此外,海军反应堆区域办公室的巡视员可能会在军舰入港时,不作通知随时在船上到处走动,目的是观察正在进行中动力装置的操作与维护。如果巡视员发现了任何不符合规定的情况,军舰指挥官负全责。

4.有力后援。当核动力推进装置在工作时,负责操作的海员(即使经验十分丰富)必须在上级人员监督下进行操作。任何有可能给系统带来高风险的行动都要由两人配对执行,独自一人绝不可以。船员不分级别,都有权在问题出现时及时制止。

5.质疑态度。在任何组织中培养质疑态度都不容易。特别是在层级分明的军队,大家习惯了按照军衔高低执行命令。但这样的思维模式很宝贵:如果能通过培训,让军人学会倾听内心警钟,追根溯源并及时纠正,那么问题就会更多地被遏制在萌芽中。拥有质疑态度的操作员会反复核查自己的工作,警惕异常情况,对问题追根究底。当军官发现某个不显眼的仪器每小时读数出现异常时,或者在网络出现异样时,养成追问的习惯,就有可能阻止一场对全系统的巨大破坏。

6.沟通正式化。为了最大化避免在关键时刻出现指令传达和接收的错误,核动力军舰的操作员必须用规定方式沟通。下达指令的人必须清楚表述,接收指令者则要逐字重复。因为熟人间的闲聊容易导致疏忽、错误假设或跳步等错误,注重形式可以杜绝这种情况,营造出工作的严肃氛围。

由人为错误引起的网络安全漏洞几乎都或多或少违反了这6项原则。以下是国防部在例行检查中公开的几个案例:

●一位礼貌的总部参谋为另一位军官扶门,后者是持有假冒证件的入侵者。机构的网络中险些被入侵者安装了恶意软件。违反原则:遵守流程和质疑态度。

●一位系统管理员用他的高级账户上网,该账户设定的自动限制较少,他下载了一个流行视频,最后发现里面包含着“流行病毒”。违反原则:正直和遵守流程。

●一位员工点开一封含有网上购物折扣的邮件,结果她的工作台被安装了网络钓鱼的后门。违反原则:质疑态度、知识深度和遵守流程。一位新任网络管理员在无人监督且未阅读安装指南的情况下,安装了更新补丁,结果导致之前的安全更新被全部“删除”。违反原则:知识深度、遵守流程和有力后援。

●在未调查断网原因的情况下,负责网络支持的人员重新连入了一个办公室网络。断开原因很可能是系统为了防止未授权电脑或用户的链接而自动断开。违反原则:遵守流程和质疑态度。

创造高可靠性IT组织

每个组织各有不同,这点毋庸置疑。因此,领导者在打造网络安全HRO时,需要考虑两个因素,并找出合适的方法和时间表。一是业务类型和它在攻击面前的脆弱程度(金融服务业、制造业、公共设施服务业和大型零售业风险尤其高)。另一点是员工的属性。销售或制造业的雇员习惯了在架构明晰的组织中工作,遵循规章制度。而千禧一代主要从事创造性工作,习惯在家办公,通过网络协作,这给网络安全管理带来全新挑战。相比之下,网管和网络安全专业人士更容易接受规则,普通员工则没那么容易。但是即便公司拥有大量雇员和先入为主的文化,重塑规则也有可能。

很多公司都曾成功改变了组织文化和运营方式,改善了质量、安全,促进了机会平等。无论组织动态如何,领导者都可以想出办法,将6项原则渗透到员工的日常工作。

负起责任。由牛津大学和英国国家基础设施保护中心共同进行的调研发现,和C级高管相比,其他管理者更关心网络安全。网络攻击给公司带来严重的财务损失,很大程度上是因为高层对这一问题不够重视,目光短浅。2014年波莱蒙研究所(Ponemon Institute)的一项研究表明,以美国公司作为样本基准,平均每年由网络犯罪造成的损失达到1270万美元,5年间增长了96%。同时,花在解决网络攻击的时间增长了33%,解决一次具体网络攻击的总成本超过了160万美元。

如果CEO不重视网络安全,公司自然也不会。塔吉特公司前CEO格雷格·斯泰因哈费尔(Gregg Steinhafel)在2014年曾因客户信息失窃被逐出公司,想必他对此深有感触。

CEO都知道,向国防部学习整合网络系统十分必要。但是因为这个过程耗时费力,导致很多人行动过于迟缓。除了加快步伐,他们还要统领技术和直线管理层、人力资源部门等整个领导团队,强化员工的规则意识,让IT系统、员工和规则之间有机运转。关键在于不断强调安全问题的重要性。如果CIO们大而化之地说,他们正在努力打造高可靠性组织,只需要增加安全预算或最新的安全工具,CEO应驳回此类空话。

CEO应该犀利发问——在构建并保持HRO文化方面,自己和下属是否尽了全力?网管能否确保系统的安全功能顺利运行并及时升级?如何抽样审计大家的表现,发现重大失误该如何处理?目前针对网络安全行为和技术两方面的标准化培训项目是什么,多久更新一次?对于一些最为关键的网络安全任务,包括可能暴露系统的设置过程,操作是否足够正式并且配有后援人员?总的来说,CEO要不断探究:对自己的企业来说,正直、知识深度、遵守流程、有力后援、质疑态度和沟通正式化分别意味着什么?

与此同时,拥有监管职责的董事会应该不断确认管理层在网络防御方面考虑到了人为因素。很多公司已经在朝这个方向努力了。

人人有责。在军队中,主要由指挥官负责信息技术的管理,但其他军人也负有责任。国防部和美国网络司令部正在构建汇报系统,让各部门能在一张简单的记分卡上追踪违反安全规定的情况和各种异常状况。以前只有系统管理员能够查到谁犯了错以及犯错程度。不久后高级指挥官就能基本上实时监管各单位的表现,而且更高级别的军官也能够看到。

这么做的目的,是让所有军人将网络安全看成和维护步枪一样的头等大事。每位武装部队的成员都要遵守“网络卫生”的基本原则。包括阻止用户接触潜在受污染的硬件、下载未授权软件、登入可能有危害的站点、陷入网络欺诈邮件的圈套等。若有人违反,特别是涉及品格问题时,指挥官应该予以惩罚。

如果所在部门存在自满气氛,指挥官应该受到批评。企业尽管不一定要采用同样的方法,但是从CEO到基层管理者,所有人都应该管理好下属,确保大家的行为不危及网络安全。管理者应当明白,如果下属犯错,他们负有连带责任。企业中的每个人都该明白,他们对自己能够控制的事情负责。这点在很多公司并没有成为规范。

学院统一标准,集中培训并颁发证书。美国网络司令部开发出相应标准,确保任何操作或使用军队网络的人,都获得了书面授权且符合特定标准,而且每隔一段时间就要接受一次再培训。专门负责网络防御的工作人员要接受大量正式培训。对于那些网络专业人士,国防部正在逐渐靠近核动力海军建立的模式:课堂教学、自修,最后是正式测评。为了确保防御的深度和广度,军队院校要求所有学生必须选修网络安全课程。两所军校都提供了网络运营方面的专业学位,另外两所提供了辅修学位。所有军种都有相应学校为网络安全的专业人士提供进阶培训和具体的职业路径。

网络安全也被纳入针对所有人员的继续教育项目。反观企业,几乎没有这样规模的培训。即使有,公司也很少会根据新出现的威胁及时更新员工信息或者做进一步培训(群发邮件不在此列)。另外还有一种情况现在也很流行,那就是让全体员工每年参加1到2小时的课程,回顾网络政策条例,每个模块结束后加上很短的课堂测验——这也不是我们说的培训。

更为集中的培训的确需要花费更多时间,也会影响日常运营,但是它对任何规模的公司来说都很必要。这种培训应该起到强化道德和安全实践的作用,企业也要记考勤。毕竟,只要一个人犯错就可能造成事故。

沟通正式化搭配有力后援。2014年美军有一个构想,详尽阐明了美军的网络指挥控制系统,特别是涉及安全事件时,由谁负责什么任务以及安全配置的管理和修改水平,让具有辅助安全措施的汇报和责任框架清晰起来:当国防部网络的核心部分进行安全升级或系统管理员接触到存储敏感信息的领域时,必须遵循两人操作的原则。两个人要共同投入工作并互相检查,确保正确操作。这点增强了可靠程度,也极大降低了单独行动的员工从内部进行攻击的风险。

企业完全可以效仿。多数大公司已经大幅减少了“特权”系统用户,并收回了离职员工和退出项目的承包商的准入权。中小型企业也该这么做。企业可以通过便宜且安装简便的软件,对雇员行为加以监控,在雇员转发或下载敏感信息时提出警告或者阻止下载。定期提醒雇员,公司会监控他们是否违反了安全规则,这么做有利于强化高可靠性的文化。

检查防御。2015年6月,美国网络司令部和国防部宣布,针对网络管理员和用户的操作进行地毯式检查。军队也建立了严格的安全检查标准,并加强执行团队之间的协作。

这点企业也可以学习。尽管很多大型企业确实会做安全审计,但关注的经常是在遭受外部攻击时自身系统的漏洞,而非员工行为。CEO应考虑在测试IT操作能力方面多做投资,并将公司审计部门的角色拓展到网络安全技巧、实践和文化方面(外部咨询也能提供这种服务)。

除了定期审计,企业也应该不定期抽样调查。这种方法能制止员工在工作环境中自我放松的行为。包括员工想在家办公时,将绝密信息发送到不安全的电脑上;用公共云交换敏感信息、和其他雇员共享密码等。必须要在这样的行为酿成大祸前揭发和纠正。

消除对诚实的恐惧,强调不诚实的后果。领导者必须将员工偶尔的无心之失看作纠正流程缺陷的机会。但是,对那些故意破坏标准和流程的人,组织也绝不姑息。美国中央情报局前职员爱德华·斯诺登(Edward Snowden)曾说服一位文职人员在他的工作台上输入密码,从而接触到绝密信息。这是对规定的重大破坏,这位雇员也因此被炒了鱿鱼。军队领导意识到,在强调正直、质疑态度、有力后援以及遵守流程的文化下,斯诺登绝不会有机可乘。这类违反规则的情况在海军舰队的核反应堆部门难以想象。同时,公司应鼓励雇员坦承无心之失。核动力推进装置操作员发现错误时,会立刻习惯性地反映给上级。同样,如果某个网络用户无意点进了钓鱼网站或者邮件,也该习惯性上报,而不必害怕遭到谴责。

最后,在组织中的人都应心无芥蒂地发问。推进装置的操作员受过专业训练,在遇到不知该如何处理的陌生情况时,会立刻询问上级。同样地,企业应该让员工明白,遇到问题可以随时向热线或管理者求助,这样能减少大家在面对某些情况时存在的侥幸心理。

这种方法的确比目前多数企业的方法更为正式和严格。但在网络安全切实威胁到每个公司甚至国家的今天,这也是必须的选择。美国网络防御工作漏洞众多,为此我们必须制定规则。那么,对于企业来说,是否只要守护好自己最重要资产的安全就可以了?答案是否定的。首先,这将带来网络安全的多重标准,让一切变得难以管理,危险重重。第二,你以为的最重要资产可能只是误会。比如朝鲜黑客曾攻击索尼影视娱乐公司,对这家公司危害性最大的恐怕是那些令人尴尬邮件的泄露。第三,黑客经常通过邮件等看上去水平很低的方式,接触到高度敏感的数据或系统。企业需要能保护所有数据的普遍方法。

技术能力,人的能力

在过去10年里,网络技术已经从大家习以为常的简单公共设施变成了重要且脆弱的操作引擎,其安全成为企业的头等大事。网络攻击数量的攀升已经充分证明这点。技术本身不足以防御网络攻击,减少人为失误非常重要。企业可以从这位60多年前曾是暴脾气的海军上将里科弗所采用的方法和原则开始着手进行尝试。

创建并培养一种高可靠性文化需要CEO和董事会层面的重视,同时也需要在培训和监督方面加大投资。维护网络安全成本不菲,但这笔投资必不可少。小到公司的安全和生存能力,大到国家的商业经济环境,都取决于此。牛文静|译  刘铮筝|校  李全伟|编辑)|

小詹姆斯·温内菲尔德是美国参谋长联席会议的第九任副主席,前海军上将。克里斯托弗·基希霍夫是美国参谋长联席会议的主席特别助理。大卫·厄普顿是牛津大学赛德商学院运营管理专业美标公司教席教授。

 

 

About 吉宁博士

真正的实战派企业培训师,长期致力于人力资本、公司行为、市场营销、企业战略及领导力发展等组织实践与研究,数十年来参与及主持过的管理咨询项目累计逾千次;受邀主讲过的各类企业培训课程累计逾万次。