好莱坞将并购(M&A)过程描绘成穿着昂贵服装的人们喝着威士忌、互相侮辱并在握手协议中谈判条款的场景。现实要复杂得多——而且耗时显著更长。

对于希望推进尽职调查的组织来说，网络安全不能是事后才考虑的问题。虽然理想情况下所有公司都应该关心自身安全，但对于潜在的并购目标——或那些希望自己被收购的公司来说，这一点至关重要。

“未发现的网络风险可能显著降低交易价值，或者更糟的是，导致收购后危机，而更彻底的尽职调查本可以避免这些危机，“汤森路透Westlaw Today专家在关于网络安全在并购过程中作用的系列文章中表示。“未能充分识别和解决网络安全风险可能导致重大的财务损失、法律后果以及双方无法挽回的声誉损害。”

在高管宣布开始对重要交易进行尽职调查的那一刻实施强大的安全计划超出了本文的范围。祝任何负责该项目的人好运。需要采取更主动的方法，在许多情况下，这始于组织意识到其外部攻击面真正有多大。

从开源情报开始

组织依赖自动化扫描工具来满足其攻击面发现需求并不罕见。这些产品当然有其好处（特别是当它们找到通过人工智能改进能力的方法时），但它们也有缺点。它们通常噪音大、缺乏细微差别，并且可能错过网络安全专业人员会注意到的东西。

Synack登场：我们将专有的攻击面发现与开源情报(OSINT)相结合，帮助公司更清晰地了解其外部攻击面——通过攻击者的视角，这是自动化扫描器根本无法做到的。我们的目标不是给组织一个干草堆，而是找出针在哪里。

攻击者使用相同的过程来发现潜在受害者防御中的弱点。通过以对抗性思维方式运作，Synack可以帮助组织确定其攻击面的大小，并确定哪些关键任务资产可能需要深入测试，哪些可能不需要紧急关注。

OSINT与PTaaS

攻击面发现只是Synack全面的渗透测试即服务平台的一个方面。我们还可以帮助组织识别最有可能被恶意黑客利用的漏洞，并确定减轻这些风险的努力是否可能解决与之相关的根本问题。

“确保法规合规性、展示强大的安全文化以及为收购后整合建立稳定基础仍然是成功的关键步骤，“Westlaw Today的专家说。“随着网络环境的不断发展，保持警惕和适应性是在数字时代管理并购交易复杂性的关键。”

换句话说：并购过程的复杂性和全面性甚至连四个小时的马丁·斯科塞斯电影都无法公正地展现。对银幕有效的方法在现实生活中行不通，这就是为什么渗透测试即服务(PTaaS)是希望相对无损地通过尽职调查的公司的黄金标准，至少就其安全和合规计划而言是如此。昂贵的衣服和威士忌是可选的！