玩网络防御不足以赢

与商业攻势网络攻击的问题是，没有民营企业愿意谈论（或承认使用）的策略，因为害怕法律责任问题。科班和海耶斯认为，“缓解counterstriking也根据国内法和国际法的若干领域合法合理的，并且可以通过修法或重新解释它制成与其他法律领域是一致的。”

Jeff Bardin， "踏脚石71 "的CIO

Dave Aitel，首席执行官和所有者，豁免权，同意虽然法律在大多数情况下是相当明确的，但传统上有一些灵活性来解释它。“我们一直在使用检察官的自由裁量权，这样当大公司出于我们认为很好的理由而违法时，就不会有那么大的问题，”Aitel说。

当谷歌对中国人以牙还牙时，他们没有被起诉。“从表面上看，谷歌的做法是违法的，”艾特尔说。谷歌并不是唯一一个决定对已知攻击者进行报复的，这是完全有可能的，但不太可信。

或许是时候让更大的行业就攻击性安全的适当和必要作用进行开诚布公的对话，并考虑对法律进行更广泛的解释了?

在最近的博客文章，Aitel提出，“我们要对网络经济间谍寒蝉效应，同时提供的处理范围广泛的国际系统性威胁，如未来蠕虫，利用渗透测试人才和资源，在现有的板凳深度能力的开端私营部门要做到这一点，而不会影响我们的情报部门的任务“。

如果Aitel的提议成为现实，它可以创建一个执法部门，在政府和私营部门之间建立一个可靠的伙伴关系。然而，如果不这样做，企业应该进行攻击性攻击吗?

“我相信我们应该这样做。我觉得人络绎不绝，很多人是把结构解决这个问题，”巴丁说。因为在商业部门的安全主要是关于被动防御，这些球队是排名最高的防守没有在联赛中领先的整体。

巴丁说:“这种被动的坐等、停止、限制数据的防御模式不起作用。大多数人没有正确地构建他们的基础设施，大多数开发人员没有在其中构建安全性。”

网络安全顾问拉里·约翰逊(Larry Johnson)说，从他在执法、担任首席安全官和安全顾问方面的经验来看，“攻击是最后的手段。”

约翰逊说，反打击的一个问题是，没有什么是确定的，所以他们可能会在打地鼠游戏中结束。“是的，你可以消灭它们，但它们可能会在其他地方出现。没有什么是百分之百的冒犯。”

更重要的是能够收集情报，这最好通过执法来完成。“你可能真的会引发一场网络风暴，所以我建议总是让执法部门参与进来，尤其是因为要把事情搞清楚，”约翰逊说。

解决冲突需要让步，而且在大多数情况下，外交比许多其他策略更有优势。约翰逊说:“执法部门将与该公司合作，不久之后他们可能会变得无礼，但如果没有执法部门的帮助，我永远不会无礼。”

由于安全功能在主动和主动模式中几乎平分，因此最小化潜在损害的最佳方法是通过限制人为错误来实现安全意识。

当这些过程和程序到位，他们有一个事件响应计划，他们可以测试他们，这将导致重要的谈话。“他们可以谈论进攻的攻击破坏过程的攻击，让你知道你是在遵守和你必须做这样或那样的权利，”约翰逊说。

赢得比赛的更大的挑战是不是在进攻还是防守一样，因为它是规划。约翰逊说，“如果你打算为它和每个人都看了一下，签了字，你不必担心，但很多企业并没有为它的计划。”

因为似乎是在解释法律的一些模糊性，积极应对可能不是最谨慎的路径。达纳Simberkoff，首席合规性和风险官，在重大节日或说，攻击他们的攻击之外，还有很多事情企业可以做的是积极的。

“理解数据，你持有的更有价值时，你就越有可能被攻击，” Simberkoff说。收集更多的数据比他们需要和希望它有一天会是有用保持它永远企业正在面临更大的风险把他们的数据。

“这与最佳安全实践相悖。就连斯诺登也不是特别有创意。这本来是可以避免的。”辛伯克夫说道。错误并不一定是在防守的技术部分，而是在人为错误。

“我曾与隐私和安全团队合作，他们肯定认为采取积极的应对方式是他们应该采取的方法，但我仍然觉得，大多数漏洞可以通过教育和良好的政策和程序来解决，”Simberkoff说。

这就是为什么那些一流的NFL收视率排行榜的队伍都没有谁是排名第一或者进攻还是防守的人。他们是在整体上发挥更好的游戏的人。