并购与收购案例加大了攻击者对于重要数据的兴趣,但是专家认为大多数企业都无法在执行交易之前完成一次网络安全评估。
根据Thomson Reuters的最新数据,整体回调的全球经济导致过去7年里面发生的企业并购和收效活动远远多于其他时间。许多执行官必然关注于高收益交易,但是信息安全专家则认为,大多数企业在进入M&A(Mergers and Acquisitions,企业并购)流程时因为忽视安全性而犯下致命错误。
有一个鲜活的例子,在最新一期的ICS-CERT Monitor里——由美国国土安全局(DHS)行业控制系统计算机网络应急响应小组发布的季刊,详细介绍了一起“由多个威胁发起者在几个月时间里对一个大型关键制造组织发起的攻击事件”。ICS-CERT的危害调查披露了受攻击主机的证据、攻击者在整个公司网络的最近行为及受到攻击的域帐号。
ICS-CERT指出,让入侵检测难度变大的是受攻击组织已经由一系列收购变成一种“多公司混合体”。伴随公司收购而发生的计算机网络合并带来了多个网络安全弱点,同时又降低了IT安全团队的网络可见性。
ICS-CERT Monitor的报告中写道:“这个组织已经有超过100个互联网出入点,这让网络边界保护变得非常复杂。在这种情况下,重新设计网络架构是保证公司在整个企业范围内实现统一安全状态的最佳方法。”
M&A流程中被忽略的安全问题
虽然ICS-CERT的警告仅限于一个制造业组织,但是专家告诉SearchSecurity,在企业并购或收购过程中,信息安全性通常都不在考虑范围内。
爱尔兰BH咨询公司老板及CEO Brian Honan指出,在他25年的安全行业从业经历里,他遇到过无数类似于ICS-CERT描述的情况。Honan指出,这对于大型企业而言尤为苦恼,因为将网络和企业安全文化合并到一个环境的困难是不可接受的。
Honan说:“例如,如果有一家较大规模公司,它拥有一个成熟的信息安全管理框架,然后它准备收购一家新创公司,而这个新创公司可能还没有实施任何安全流程。如果是购买一个软件产品,那么他们可能还从未对应用程序代码执行过安全性审查。”
美国加州尔湾CrowdStrike公司服务部门总裁及前FBI执行助理主管Shawn Henry指出,在他私营公司和公共部门的角色里,他非常强调在M&A流程中执行全面网络安全评估的重要性。Henry指出,在几次M&A流程中,CrowdStrike的专家都发现了攻击者主动攻击M&A交易企业的证据。这些攻击者对美国公司之间的所有交易都非常感兴趣。
此外,Henry还指出,他还曾经发现一些公司的交易是完全基于重要知识产权收购,而他发现攻击者已经攻破了IT,所收购实体的价值已经大打折扣。
但是,Henry指出,尽管重复警告和大量证据证明不作为的严重后果,但是他从未看到过有一家公司在M&A活动中对安全风险进行全面评估。
Henry说:“每天都有公司被收购,然后它们连接到自己的网络中,但是极少有公司对他们的网络安全性进行评估。对于我而言,这相当于购买一栋房子,但是完全不执行防白蚁措施。我不知道具体有多少人会做这些事情,但是这确实每天都在发生。”
Henry补充说:“我认为这里仍然有很多抵触因素,或许是因为人们并没有将它视为高优先级的事务。或许他们没有足够的时间去处理它的影响,而且有时候击败对手而成收购要比长期目标更重要一些。”
成功的网络并购要从一开始就考虑安全性
虽然企业在执行M&A交易时忽视安全性,但是Henry和Honan都表达了相同的期望,最近影响很大的安全事故(如针对Target和Home Depot的 数据攻击)让执行董事会更加关注安全性了。这意味着要在任何一次交易开始时就评估潜在M&A目标的安全性。
对于正在执行收购的公司而言,Honan强调说,CISO一定要尽快参与任何潜在收购。Honan说,CISO应该与执行官沟通,在引入一个独立网络时让他们理解哪些宝贵资源需要得到保护,然后确定收购组织可能带来哪些新风险。
Honan指出,在这些情况中,要考虑的最重要因素是收购目标是否对安全性有足够的重视。他说,这其中可能包括安全技术的实现,但是更重要的是所收购公司是否已经正确评估了资产价值,是否有一些流程和专人都保护这些资产。
Honan问道:“它是否在他们的客户列表上?它是否是他们的主要声誉?它是否是他们的知识产权?他们的相关人员是否有经过合格的安全培训?这就像去买一辆汽车。销售商会告诉你汽车的所有优点,但是你自己一定要请人彻底检查引擎、底盘及汽车的使用记录,确保它不是报废车或被盗车。审查一个公司的过程也是一样的。”
Henry认同一点,安全性应该在整个流程开始时就成为一个必要环节,这些公司应该在收购之前对收购目标执行一次全面的网络安全评估,其中包括评估硬件、软件、网络架构、数据存储方式及保护数据的人员与流程。
即使在收购或并购流程完成之后,组织仍然需要执行一些步骤来保证合并网络的安全性。在前面提到的制造业企业案例中,DHS建议类似的组织要立即限制合并后网络的互联网连接数量——Henry认为这是限制风险的最基本但最有效的方法。多年以来,联邦政府一直在努力减少它的外部互联网连接数量,目前已经从8,000个减少为100个以下,目的是减少攻击者的潜在入侵点。
此外,Henry还指出,一些组织应该执行清查评估,就像在M&A交易之前的做法一样,评估新合并实体的所有重要IP与其他资产。他强调说,这个措施可以扩大到网络架构及新增到环境的设备上。
Henry说:“我接触过许多公司,它们几年前就完成了收购,但是他们现在仍然不知道自己到底买了什么。他们不知道网络的所有子网情况。里面有许多设备、服务器、各种网段,但是他们完全监控不到,因为他们从未执行过一次全面评估或审查。”