Facebook和微软都聘用黑客 管理层更要像黑客那样去思考

在过去几年里，内部系统遭到黑客攻击的公司越来越多。除了几百家中小规模公司之外，现在的受攻击名单中还包括塔吉特、摩根大通、家得宝、索尼影视、阿什利•麦迪逊以及雅虎这样备受瞩目的企业。

很多情况下，网络安全信息泄露在持续了几周甚至数月之后才被发现。过去几年里的网络攻击事件，不仅让公司付出了惨重代价，还动摇了消费者、股东和员工的信心。

正因为如此，网络安全方面的支出呈现出加速度增长的态势。据高德纳咨询公司估计，全球信息安全支出到2018年可能增至1010亿美元。

遗憾的是，对网络安全措施的投资只能解决部分问题，传统方法所能做的仅此而已。为了提高效力，负责网络安全的高管们必须调整思维方式。

如果公司想要降低遭到外部黑客攻击的风险，它们就一定要理解黑客的思维方式。脸书、微软等公司甚至还聘用了黑客。为了像黑客那样思考，你需要知道一个手段高明、经验老道的黑客具备哪些典型特征。黑客们往往技术一流又聪明过人，还喜欢冒险。

他们通常拥有计算机科学背景。许多成功的黑客都有良好的社交和沟通技巧，这让他们能够诱导人们泄露关键信息或采取“致命”动作。

黑客在一次攻击的不同阶段实际上会有两种思维模式：探索思维和榨取思维。在一次攻击刚开始的阶段，黑客们通常会采取审慎思考和直觉思维相结合、依赖大量试错的探索思维。

例如，一个富有经验的黑客不会去攻击一家公司刚刚启用的新系统。他会选择等待，继续寻找最薄弱的环节（比如，当某家供应商、某位新员工或者某个情境违背了公司的安全标准）。

一旦拿到了进入系统的权限，黑客们就会运用榨取思维达成他们的目标——例如，尽可能多地取得信息以转卖谋利。

这个先探索再榨取的策略通常包含以下四个步骤：

找出漏洞 他们会搜索网络信息、组织信息以及网络安全政策，可能还会研究你的供应商、合作伙伴。黑客们还会尝试与公司内部人员互动，设法获得进入公司系统的权限。

扫描和测试 黑客们一旦入侵，往往就会用扫描工具去扫描公司系统中运行的应用程序。累积在一起的话，哪怕是微小的安全弱点和设计缺陷，也会堆积成重大的安全漏洞。

获取权限 黑客们往往会通过打电话，群发“钓鱼”电子邮件、伪造的电子邮件，或发短信要求个人提供登录名及密码信息——通常是假冒某个有信誉的人（例如，某位公司高管，或咨询台技术人员），同企业取得联系。

保持连接 黑客们为了在未来进行攻击，会尝试在保持不为人知的同时，维持其对系统的占有以及访问权限，比如上传一小段称为“后门”的代码。一旦黑客“占有”了某个系统，他们就可以利用其作为发起新的网络攻击的大本营。

在许多组织的网络安全问题中，人是最薄弱的环节之一。提醒员工、承包商和第三方用户提防黑客的常见手法，可树立起一道有效的防线。高管和信息管理者应当考察公司信息系统目前的管理情况，以便评估网络安全水平。有效的安全意识培训是必不可少的。

所有能够接触到机密信息的员工，无论其是在销售、营销、人力资源、财务还是高层管理岗位——甚至是临时工作人员——都需要接受网络安全意识的培训。

手法熟练的黑客可能会复制那些成功得手的攻击方法，因此，IT安全部门的工作人员展开合作并且在组织内部、行业内部，甚至是与竞争对手分享信息就变得至关重要。

网络安全是一场猫鼠游戏，而在这场游戏中，猫总是会先走一步。不过，你越是能够像黑客一样思考，就越能够更好地保护你的组织。