现在世界各地的企业都在关注如何保护他们的信息资产，他们需要这些资产用以制造产品、提供服务、在市场区分自己、生成利润以及为其客户和股东创造价值，为此，这些企业正在投入巨大的资源来保护重要的信息资产。

企业和政府机构每天都在攻击笼罩之下，这种预防攻击的成本非常巨大。根据国际战略研究中心和安全公司McAfee在2014年的研究显示，美国网络犯罪成本每年占国内生产总值的0.64%。从2015年18万亿美元国内生产总值来看，这意味着每年的网络犯罪成本是1152亿美元。

鉴于网络犯罪成本如此之高，企业可能会想“为什么我不能保护自己以抵御不断的攻击，并减少损失呢?”其实，企业可以保护自己，甚至可以进行“反攻击”。但典型网络安全防御通常是这样：被动地坐着，等待下一次攻击，同时祈祷自己部署的防御措施会发挥作用。

企业可能希望攻击者不会发现他们没有部署任何防御措施的位置，但也知道攻击者会比他们更早地知道下一个新漏洞。攻击者在企业部署有效防御之前就已经有了漏洞利用包，企业最终会意识到，这种采用纯粹的防御战略来保护其信息资产的方式已然行不通。

这种类型的战略会失败在于信息防御的不对称性。这种不对称性往往表现在，“要想成功抵御攻击者，防御者需要确保所有时间内100%的正确，而攻击者只需要找准‘一次的错误’就可成功。”

常用的防御战略无法有效保护重要信息资产，这增加了企业的挫败感，他们花费在网络安全的资源充其量只能提供低水平的保护。

对于投资了网络安全但仍遭受攻击、入侵和损失的企业，受挫和愤怒之情会让他们变得更加愿意积极进取地应对攻击者。美国黑帽大会2012年的调查显示，36%的受访者声称他们已经开始对网络安全攻击进行打击报复。

打击报复攻击者的一种具体方法是“反攻击”，是指受攻击的目标会反过来攻击网络罪犯或黑客。对于愿意考虑对黑客进行反攻击的企业来说，都有哪些问题需要考虑呢?

攻击与反攻击

攻击的定义是在未经授权的情况下，访问计算机、网络或信息系统，包括其信息。攻击涉及绕过安全控制或恶意的漏洞利用。

反攻击也是指在未经授权的情况下访问计算机、网络或信息系统。这两者的区别在于动机不同。企业进行反攻击的动机可能是恢复或擦除被盗数据或知识产权，其他反攻击的动机可能从本质上来看属于报复，包括破坏或损坏攻击者的系统以及破坏他们今后执行攻击的能力。

是否执行反攻击应该由最高管理层作出决策。反攻击是技术性活动，是否要这样做属于企业性决策。信息安全是以业务为核心的运营风险管理活动，用反攻击来保护信息需要从风险管理的角度来考虑。

法律和道德问题

如果恶意攻击是非法活动，那么反攻击也是非法的。在美国，1986年的计算机欺诈与滥用法案(CFAA)表明，对计算机的未经授权访问被视为非法。

反攻击的另一个问题是附带损害。网络罪犯通常使用不知情的第三方计算机执行攻击，有时候会整合这些受感染计算机为僵尸网络，用于发动攻击和分发垃圾邮件及恶意软件。明确攻击者的真正来源很困难，对第三方拥有的计算机执行的反攻击带来了严重的责任问题。1994年对CFAA法案的修正案允许民事索赔。

撇开合法性来看，简单的道德准则包括“不伤害”，“尊重员工、承包商和供应商”以及“遵守法律”等都会被反攻击涉及的活动和结果所侵犯。

风险

反攻击包含以下风险：

经济损失

企业需要回答几个问题：反攻击是否提供任何财政激励措施?反攻击是否会减少损失或恢复信息资产及知识产权?反攻击是否可防止对计算机和网络的损坏?反攻击可节省多少成本?反攻击需要什么代价?

信誉与客户信心

如果反攻击活动吸引了媒体和执法组织的目光，这可能会影响企业的声誉。如果反攻击对第三方造成损害呢?这还会影响客户的信心，可能影响企业收入。

民事和刑事处罚

反攻击可能导致哪些潜在处罚?攻击者不太可能被起诉，但企业可能因为反攻击被强制执行离线及造成业务损失。

对于刑事起诉，美国政府在积极查找违反CFAA的行为，尽管不是针对反攻击而言的。

生产效率

拒绝服务供给带来的工作效率和业务损失可能非常严重。反攻击是对拒绝服务供给的现实应对策略吗?反攻击能否减少破坏以及加速从恶意攻击事件中恢复的速度?

安全性

在试图反攻击后，如果攻击者决定进行更多攻击，仅仅是为了破坏你的信息系统以及你开展业务的能力呢?全面的拒绝服务对你的企业意味着什么?

责任

如果反攻击对第三方造成损害呢?第三方决定在民事法庭寻求赔偿呢?

反攻击并非……

反攻击并非网络安全最佳做法的替代品，反攻击是所有其他办法都失效情况下，不得已而为之的策略。在企业已经部署了世界级的网络安全计划、政策和程序，并有丰富运作经验后，才可考虑反攻击。对于可能存在的各种法律和道德问题，企业应该思考反攻击是否确实是合理可行的网络安全保护战略。

本文转自d1net（转载）