网络安全评估

美国加州尔湾crowdstrike公司服务部门总裁及前fbi执行助理主管shawn henry指出，在他私营公司和公共部门的角色里，他非常强调在m&a流程中执行全面网络安全评估的重要性。henry指出，在几次m&a流程中，crowdstrike的专家都发现了攻击者主动攻击m&a交易企业的证据。这些攻击者对美国公司之间的所有交易都非常感兴趣。

此外，henry还指出，他还曾经发现一些公司的交易是完全基于重要知识产权收购，而他发现攻击者已经攻破了it，所收购实体的价值已经大打折扣。

但是，henry指出，尽管重复警告和大量证据证明不作为的严重后果，但是他从未看到过有一家公司在m&a活动中对安全风险进行全面评估。

henry说：“每天都有公司被收购，然后它们连接到自己的网络中，但是极少有公司对他们的网络安全性进行评估。对于我而言，这相当于购买一栋房子，但是完全不执行防白蚁措施。

我不知道具体有多少人会做这些事情，但是这确实每天都在发生。”

henry补充说：“我认为这里仍然有很多抵触因素，或许是因为人们并没有将它视为高优先级的事务。或许他们没有足够的时间去处理它的影响，而且有时候击败对手而成收购要比长期目标更重要一些。

”成功的网络并购要从一开始就考虑安全性。

虽然企业在执行m&a交易时忽视安全性，但是henry和honan都表达了相同的期望，最近影响很大的安全事故(如针对target和home depot的数据攻击)让执行董事会更加关注安全性了。这意味着要在任何一次交易开始时就评估潜在m&a目标的安全性。

对于正在执行收购的公司而言，honan强调说，ciso一定要尽快参与任何潜在收购。honan说，ciso应该与执行官沟通，在引入一个独立网络时让他们理解哪些宝贵资源需要得到保护，然后确定收购组织可能带来哪些新风险。

honan指出，在这些情况中，要考虑的最重要因素是收购目标是否对安全性有足够的重视。他说，这其中可能包括安全技术的实现，但是更重要的是所收购公司是否已经正确评估了资产价值，是否有一些流程和专人都保护这些资产。

honan问道：“它是否在他们的客户列表上？它是否是他们的主要声誉？

它是否是他们的知识产权？他们的相关人员是否有经过合格的安全培训？这就像去买一辆汽车。

销售商会告诉你汽车的所有优点，但是你自己一定要请人彻底检查引擎、底盘及汽车的使用记录，确保它不是报废车或被盗车。审查一个公司的过程也是一样的。”

henry认同一点，安全性应该在整个流程开始时就成为一个必要环节，这些公司应该在收购之前对收购目标执行一次全面的网络安全评估，其中包括评估硬件、软件、网络架构、数据存储方式及保护数据的人员与流程。

即使在收购或并购流程完成之后，组织仍然需要执行一些步骤来保证合并网络的安全性。在前面提到的制造业企业案例中，dhs建议类似的组织要立即限制合并后网络的互联网连接数量——henry认为这是限制风险的最基本但最有效的方法。多年以来，联邦**一直在努力减少它的外部互联网连接数量，目前已经从8,000个减少为100个以下，目的是减少攻击者的潜在入侵点。

此外，henry还指出，一些组织应该执行清查评估，就像在m&a交易之前的做法一样，评估新合并实体的所有重要ip与其他资产。他强调说，这个措施可以扩大到网络架构及新增到环境的设备上。

henry说：“我接触过许多公司，它们几年前就完成了收购，但是他们现在仍然不知道自己到底买了什么。他们不知道网络的所有子网情况。

里面有许多设备、服务器、各种网段，但是他们完全监控不到，因为他们从未执行过一次全面评估或审查。”

编辑推荐】1. 正面黑客反面骇客网络安全评估初探

2. 网络安全评估：内部测试

3. 网络安全评估之边界测试。

网络安全评估

网络安全与网络安全文化及网络安全防范

网络安全与网络安全文化

网络安全知识手册网络安全知识板报

其他用户还读了

网络安全评估

网络安全与网络安全文化及网络安全防范

网络安全与网络安全文化

网络安全知识手册 网络安全知识板报

其他用户还读了

网络安全知识手册网络安全知识板报