网络安全评估应进入M&A流程

日期: 2014-11-20 作者:Brandan Blevins翻译:曾少宁 来源:TechTarget中国 英文

并购与收购案例加大了攻击者对于重要数据的兴趣,但是专家认为大多数企业都无法在执行交易之前完成一次网络安全评估。

根据Thomson Reuters的最新数据,整体回调的全球经济导致过去7年里面发生的企业并购和收效活动远远多于其他时间。许多执行官必然关注于高收益交易,但是信息安全专家则认为,大多数企业在进入M&A流程时因为忽视安全性而犯下致命错误。

有一个鲜活的例子,在最新一期的ICS-CERT Monitor里——由美国国土安全局(DHS)行业控制系统计算机网络应急响应小组发布的季刊,详细介绍了一起“由多个威胁发起者在几个月时间里对一个大型关键制造组织发起的攻击事件”。ICS-CERT的危害调查披露了受攻击主机的证据、攻击者在整个公司网络的最近行为及受到攻击的域帐号。

ICS-CERT指出,让入侵检测难度变大的是受攻击组织已经由一系列收购变成一种“多公司混合体”。伴随公司收购而发生的计算机网络合并带来了多个网络安全弱点,同时又降低了IT安全团队的网络可见性。

ICS-CERT Monitor的报告中写道:“这个组织已经有超过100个互联网出入点,这让网络边界保护变得非常复杂。在这种情况下,重新设计网络架构是保证公司在整个企业范围内实现统一安全状态的最佳方法。”

M&A流程中被忽略的安全问题

虽然ICS-CERT的警告仅限于一个制造业组织,但是专家告诉SearchSecurity,在企业并购或收购过程中,信息安全性通常都不在考虑范围内。

爱尔兰BH咨询公司老板及CEO Brian Honan指出,在他25年的安全行业从业经历里,他遇到过无数类似于ICS-CERT描述的情况。Honan指出,这对于大型企业而言尤为苦恼,因为将网络和企业安全文化合并到一个环境的困难是不可接受的。

Honan说:“例如,如果有一家较大规模公司,它拥有一个成熟的信息安全管理框架,然后它准备收购一家新创公司,而这个新创公司可能还没有实施任何安全流程。如果是购买一个软件产品,那么他们可能还从未对应用程序代码执行过安全性审查。”

美国加州尔湾CrowdStrike公司服务部门总裁及前FBI执行助理主管Shawn Henry指出,在他私营公司和公共部门的角色里,他非常强调在M&A流程中执行全面网络安全评估的重要性。Henry指出,在几次M&A流程中,CrowdStrike的专家都发现了攻击者主动攻击M&A交易企业的证据。这些攻击者对美国公司之间的所有交易都非常感兴趣。

此外,Henry还指出,他还曾经发现一些公司的交易是完全基于重要知识产权收购,而他发现攻击者已经攻破了IT,所收购实体的价值已经大打折扣。

但是,Henry指出,尽管重复警告和大量证据证明不作为的严重后果,但是他从未看到过有一家公司在M&A活动中对安全风险进行全面评估。

Henry说:“每天都有公司被收购,然后它们连接到自己的网络中,但是极少有公司对他们的网络安全性进行评估。对于我而言,这相当于购买一栋房子,但是完全不执行防白蚁措施。我不知道具体有多少人会做这些事情,但是这确实每天都在发生。”

Henry补充说:“我认为这里仍然有很多抵触因素,或许是因为人们并没有将它视为高优先级的事务。或许他们没有足够的时间去处理它的影响,而且有时候击败对手而成收购要比长期目标更重要一些。”

成功的网络并购要从一开始就考虑安全性

虽然企业在执行M&A交易时忽视安全性,但是Henry和Honan都表达了相同的期望,最近影响很大的安全事故(如针对Target和Home Depot的 数据攻击)让执行董事会更加关注安全性了。这意味着要在任何一次交易开始时就评估潜在M&A目标的安全性。

对于正在执行收购的公司而言,Honan强调说,CISO一定要尽快参与任何潜在收购。Honan说,CISO应该与执行官沟通,在引入一个独立网络时让他们理解哪些宝贵资源需要得到保护,然后确定收购组织可能带来哪些新风险。

Honan指出,在这些情况中,要考虑的最重要因素是收购目标是否对安全性有足够的重视。他说,这其中可能包括安全技术的实现,但是更重要的是所收购公司是否已经正确评估了资产价值,是否有一些流程和专人都保护这些资产。

Honan问道:“它是否在他们的客户列表上?它是否是他们的主要声誉?它是否是他们的知识产权?他们的相关人员是否有经过合格的安全培训?这就像去买一辆汽车。销售商会告诉你汽车的所有优点,但是你自己一定要请人彻底检查引擎、底盘及汽车的使用记录,确保它不是报废车或被盗车。审查一个公司的过程也是一样的。”

Henry认同一点,安全性应该在整个流程开始时就成为一个必要环节,这些公司应该在收购之前对收购目标执行一次全面的网络安全评估,其中包括评估硬件、软件、网络架构、数据存储方式及保护数据的人员与流程。

即使在收购或并购流程完成之后,组织仍然需要执行一些步骤来保证合并网络的安全性。在前面提到的制造业企业案例中,DHS建议类似的组织要立即限制合并后网络的互联网连接数量——Henry认为这是限制风险的最基本但最有效的方法。多年以来,联邦政府一直在努力减少它的外部互联网连接数量,目前已经从8,000个减少为100个以下,目的是减少攻击者的潜在入侵点。

此外,Henry还指出,一些组织应该执行清查评估,就像在M&A交易之前的做法一样,评估新合并实体的所有重要IP与其他资产。他强调说,这个措施可以扩大到网络架构及新增到环境的设备上。

Henry说:“我接触过许多公司,它们几年前就完成了收购,但是他们现在仍然不知道自己到底买了什么。他们不知道网络的所有子网情况。里面有许多设备、服务器、各种网段,但是他们完全监控不到,因为他们从未执行过一次全面评估或审查。”

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

作者

Brandan Blevins
Brandan Blevins

As news writer for SearchSecurity and SearchCloudSecurity, Brandan Blevins covers the enterprise information security landscape, from data breaches and research reports to IT security product market trends and case studies.

翻译

曾少宁
曾少宁

TechTarget中国特约技术编辑,某高校计算机科学专业教师和网络实验室负责人,曾任职某网络国际厂商,关注数据中心、开发运维、数据库及软件开发技术。有多本关于思科数据中心和虚拟化技术的译著,如《思科绿色数据中心建设与管理》和《基于IP的能源管理》等。