如何在合并过程中保持IT安全

Stephen Boyer, CTO和联合创始人BitSight他知道你的公司的技术安全面临的最大威胁之一:它可能会收购另一家公司。他指出，西门罗合伙人公司(West Monroe Partners)的一项调查发现，40%的收购公司在被收购的公司中发现了网络安全问题后交易经历。这也许并不奇怪的是，在由富而德律师事务所一2014调查显示，受访者达到了惊人的78％的人认为网络安全是没有深入分析，在收购尽职调查的一部分。

如果你所在的公司正在被收购或被收购，你如何才能避免掉入这个陷阱呢?许多安全专家给了我们一些建议，告诉我们如何在收购前、收购期间和收购后锁定信息。

Sam Curry是CSO和CTO的Arbor Networks，这是通过获取NetScout去年。该公司已经专注于安全，所以他们自然做事情彻底：即使在活动开始前，公司内顶级安全专家形成的，正如他所说的那样，“一个安全委员会，在那里我们可以去了解对方，并讨论的固有风险收购“。

约翰布拉德，工程副总裁提取网络，敦促你建立一个共同的计划，而且要快。他表示:“有许多领域需要探索，而时间将会很短。”为每一项任务制定一个时间表，并提前与被收购方分享。这将有助于双方完成可以远程完成的任务，并在现场专注于高价值的对话。”

你不会得到关于合并公司内部信息的早期过程，但你也不会需要它上手。“公共记录，互联网搜索，威胁信誉数据库搜索和社交媒体研究是在确定的以前的安全问题可能存在安全隐患或证据与收购公司有价值的工具，”戴尔德鲁，CSO说，在Level 3通信。“通常情况下，会有法庭文件、证券交易委员会文件，或公众社交媒体上关于重大安全漏洞或弱点的讨论。”

BitSight的Boyer建议你看一看知名机构对一家公司的安全评级，该评级“考察公司的历史执行情况，并随着时间的推移突出目标公司的信息安全程序中的控制漏洞或弱点。”

合并的解释意味着关于合并本身的信息可能会成为黑客攻击的目标，所以你需要有针对数据的特定安全计划的微妙性。“你必须能够知道你的合并文档所在，”凯文·坎宁安，总裁兼创始人SailPoint。“谁能接近他们?”他们是曝光过度了吗?你还需要知道谁在访问这些文件，这种访问是否合法。”

罗恩·海因茨，管理合伙人SignalPeak创投他补充道:“提供尽职调查材料和系统访问权限是一种微妙的平衡行为，尤其是在合并伙伴可能是竞争对手的情况下。”在交易结束前，最好指派一个团队来监督信息共享，以确保机密文件和系统得到保护。”

Dave Wagner，首席执行官ZixCorp，建议询问一些具体的信息，以了解潜在的合并伙伴过去是如何运作的:

• 公司如何就公司政策、电子邮件安全风险以及降低风险的必要措施对员工和合作伙伴进行教育和培训?
• 董事和c级管理人员是否参加过数据安全培训?他们是否参与了数据安全程序的开发?
• 你的机密资料被盗过吗?
• 如果是这样，你做了什么来阻止他们前进?

他说，这“将帮助买家了解其他公司持有的敏感信息的类型，如何保护这些信息，以及需要实施哪些保护措施的改变。”

带着这些疑问我们的目标是组建一个完整的视图到这两个网络合并前状态。“当网络没有DMZ连接，任何恶意软件将开始横向移动，”公司首席执行官保罗·克劳斯说：东风网络。因此，了解不同网络的行为将有助于理解合并后的网络应该是什么样的。”

Level 3 Communications的Drew说:“在合并过程之前掌握这些数据有助于收集反馈、内部文档和投资信息，了解已经采取了哪些措施来纠正发现的问题。”“通常情况下，你可能会发现被收购公司尚未发现的问题，这将直接告知在合并过程中需要考虑多少谨慎。”

请记住，合并是一个逻辑上和法律上都很复杂的过程，涉及的远不止是合并的两家公司。Eastwind的克劳斯表示:“我们谈论的是银行、律师、供应商、承包商、分包商等等，他们现在参与了交易的双方。”他说:“你可以看到，两个公司实体的合并很快就会变成两个公司生态系统的合并。你不只是合并人员、资产、文化和客户;你也继承了他们的过错。”

虽然新闻发布会可能会吹捧平等合并，但事实是，许多公司愿意出售自己，恰恰是因为它们陷入了财务和物流困境——这可能会转化为内部功能紊乱。Level 3 Communications的Drew说:“通常情况下，被收购的公司会陷入困境，这意味着他们可能没有机会在关键和必要的领域跟上投资。”“这可能会导致发现不良实践、过时和暴露的资产，以及从安全角度缺乏对公司资产的覆盖或可见性。”

为什么要如此关注合并前的安全性?我们采访的专家给出了并购噩梦场景的多个具体例子:一家拥有良好网络安全的公司收购了另一家已经被入侵的公司。Eastwind的Kraus提到了他处理的一个案例:“被收购的公司向收购方的源代码管道中注入了恶意软件。”这种注射在大约一年后才为人所知，但一旦知道，伤害就造成了。源代码被盗，产品受损，公司声誉受损。”

BitSight的博耶尔指出，在一个非常公开的案例中，这种情况险些被避免。“三星以2.5亿美元的价格收购了LoopPay，将其作为移动支付系统的关键组件，”他说。“LoopPay在三星收购该公司的几个月前就遭到了入侵，但直到交易完成的一个月前，漏洞才被发现。”

拉里Larmeu，在总经理L2的数字，看到了一个缺乏文档肆虐在他工作的合并。“很多意想不到的问题都关系到双方没有太多的网络记录的之一，”他说。“他们没有标准，他们的任何技术处理的，甚至下降到授予权限的资源。当是时候做合并，没有什么工作按计划进行，因为没有规划和测试，我们在实验室环境中做了可以模拟其网络中缺乏一致性“。

您需要确定谁应该有权访问新合并的公司中的哪些数据，要做到这一点，自动化流程是关键。“您必须能够创建必要的角色、策略和过程，并使这些规则生效，而不需要逐个更改和管理权限，”SailPoint的Cunningham说。

想出一套统一的安全策略，可以通过自动化的工具，以及进行辅助。卡拉汉，在副总裁FireMon他指出，由于合并总是涉及合并多个供应商和遗留策略，“本地管理工具不会提供所需的完整视图，因此您应该通过第三方管理平台建立和实施新的最佳实践。”带有自动分析功能的第三方工具将为您提供所需的信息，以确保安全访问得到维护。”

请记住，周围的很多网络安全控制牯的资源和权力和控制人不放弃的话很容易，即使他们周围的组织转变。“拥有一个良好的资产清查昭示着谁访问了什么，尤其是对于管理员，是我已经常见错过了，直到为时已晚，” J.弥敦道Wenzler，在主要安全建筑师说AsTech咨询。你最终会遇到这样的管理员，他们把自己的领地当作人质，不愿放弃证书，甚至不告诉任何人他们的系统存在。获取所有内容的清单，然后找出谁可以访问所有内容，以便更容易地将所有内容放到合并的域结构中。”

Iain Paterson，董事总经理Cycura，建议使用“特权帐户管理解决方案，看看谁拥有王国的钥匙。”

不仅仅是管理人员会为保持旧的、合并前的惯例而斗争。前全球CISO J.R. Reagan曾以顾问身份处理过几起并购交易，他指出，许多普通用户也会出于方便或纯粹的惰性，希望保持长期不安全的做法。他表示:“我们会对被收购公司的用户进行培训，就好像他们是新员工一样。”被收购的员工可能会试图用老方法做事，并绕过一些规则——例如，使用未经批准的第三方文件共享。但我们有相应的控制措施来防止这种情况发生，即使员工试图访问被禁止的服务。”

您的合并计划它可能涉及系统整合，并最终把一些放牛。但是，这可能需要更长的时间比你想象的，你需要确保你打算转储系统的安全性没有被忽视。ExabeamCMO里克·卡恰提供从他参与合并一个悲惨的故事：“一个销售代表谁离开被收购之前从未有过自己的销售管理系统的访问已关闭超过三个月公司的权利，他可以看到每笔交易的销售人员正在研究该收购不重视对销售系统，因为它最终将被关闭。我们失去了多重优惠，价值百万，直到系统最终死亡。”

尽管管理层的本能反应可能是尽快合并合并后的公司的网络，但不要超出自己保持这些网络安全的能力。两个网络并行运行的中间阶段可能是必要的，您可以采取措施使这个阶段不那么尴尬。Cycura的Paterson说:“对资源的临时访问可以以这样一种方式提供，即不完全将两个网络暴露给对方，同时又允许工作发生。”“实现这一点的一些常见方法是受控用户组的联合，以及允许通过Citrix、RDP或其他远程技术访问资源。”

提炼的布拉德建议你抱他所谓的“文化速成班”，为新合并的公司的工作人员。“这是非常重要的，因为大多数的整合失败是由于文化上的差异，而不是技术问题。该封装你的核心原则，分享经验的公司，你有没有对齐？”

也要记住，对于两家公司的许多人来说，合并是一个充满压力和不确定性的时期。Cycura的Paterson说:“一些员工可能会感到不满，担心他们的工作将会被淘汰，或者裁员。”“监控特权账户的使用是识别这些威胁的最简单方法之一。”

合并后的人事变动在安全方面可能尤其困难，因为机构记忆对于整合合并后的安全网络非常重要，所以要采取措施防止人员外流。该公司战略副总裁迈克•帕特森(Mike Patterson)表示车安全这意味着，要“尽一切努力在合并后的团队中实现个人的均衡整合”，以防止人才流失。他表示:“如果合并后，公司只是将高层职位与收购方合并，将导致人才从收购方流失，并使新公司相当大一部分的安全运营缺乏连续性。”

Karthik Swarnam，首席信息官DirecTV公司他说，当他的公司在2015年被AT&T收购时，IT员工必须“消除我们系统中的重叠，并确定每个组织内部的最佳政策和工具，以在整个公司实施合适的政策和工具。”He says this gave them the opportunity "to explore newer security approaches broadly across AT&T while working to help secure DirecTV assets. We can share creativity, operational synergies, etc."

最后，请记住，你需要保持灵活性：你可以（也应该）计划尽可能多，你可以在开始，但你可能会发现自己需要即兴作为合并过程的进展。“公司合并后，很多事情可以改变，”鲁克安全的帕特森说。“谁可以作为该战略的关键所在高管们可能会被调换或其他机会离开，需要一种新的方法。尽管前最好并购意向，有往往是一个积分周期之后，公司将重新评估什么他们的安全战略将是“。