不斷增長(zhǎng)的網(wǎng)絡(luò)攻擊威脅，企業(yè)如何應(yīng)對(duì)？

作為網(wǎng)絡(luò)安全公司的管理者，我曾親身感受了網(wǎng)絡(luò)攻擊在攻擊企業(yè)時(shí)的猖獗程度。我們都親眼目睹了不斷發(fā)生的勒索軟件事件；然而，各大企業(yè)還面臨著分布式拒絕服務(wù)（DDoS）、供應(yīng)鏈泄露以及網(wǎng)絡(luò)釣魚(yú)等類型的網(wǎng)絡(luò)攻擊。

最近Forrester的報(bào)告顯示，去年最嚴(yán)重的35起網(wǎng)絡(luò)攻擊事件泄露了10億條記錄；在最嚴(yán)重的9起加密貨幣攻擊中，有26億美元被盜；排名前35的違規(guī)者被罰款27億美元。以下是其中一些案例：

黑客組織Lapsus$ 稱從半導(dǎo)體芯片公司英偉達(dá)（Nvidia）那里盜取了1T字節(jié)的關(guān)鍵數(shù)據(jù)。他們要求英偉達(dá)支付100萬(wàn)美元的贖金，并提出了額外的條件。

谷歌平息了對(duì)Google Cloud Armor用戶的一次分布式拒絕服務(wù)攻擊，此次攻擊相當(dāng)于在短短10秒內(nèi)“收到了維基百科（頂級(jí)流量網(wǎng)站之一）一天的訪問(wèn)量”。

在云身份管理公司Okta宣布約2.5%客戶的記錄在一次供應(yīng)鏈攻擊中遭到泄露后，公司股價(jià)一落千丈。

反網(wǎng)絡(luò)釣魚(yú)組織Anti-Phishing Working Group稱，釣魚(yú)攻擊創(chuàng)下新高，僅2022年第三季度便記錄了超過(guò)127000次網(wǎng)絡(luò)釣魚(yú)攻擊。

IBM 《2022年數(shù)據(jù)泄露成本報(bào)告》（Cost of a Data Breach Report 2022）顯示，2022年數(shù)據(jù)泄露的平均成本達(dá)到了435萬(wàn)美元，較2021年增長(zhǎng)了2.6%，較2020年增長(zhǎng)了12.7%。

就勒索軟件而言，成本是不一樣的：SpyCloud的報(bào)告稱，2021年的平均支付金額約為185萬(wàn)美元，較2020年的76萬(wàn)增長(zhǎng)了一倍多。而且這些只是直接成本，間接成本更高，包括：

· 業(yè)務(wù)中斷和營(yíng)收損失帶來(lái)的業(yè)務(wù)損失

· 丟失客戶以及獲取新客戶的成本

· 信譽(yù)損失以及商譽(yù)下滑

· 攻擊導(dǎo)致的集體訴訟所帶來(lái)的監(jiān)管罰款和法律訴訟

日趨激烈的地緣政治摩擦，帶來(lái)了連鎖反應(yīng)。其中，國(guó)家支持的網(wǎng)絡(luò)戰(zhàn)爭(zhēng)正波及私營(yíng)領(lǐng)域。總之：各大企業(yè)經(jīng)常會(huì)因此而“躺槍”。

我們預(yù)計(jì)，網(wǎng)絡(luò)攻擊的威脅，以及對(duì)企業(yè)資產(chǎn)負(fù)債表的潛在影響，將只增不減。多個(gè)領(lǐng)域的技術(shù)進(jìn)步，例如生成式AI和自動(dòng)化，讓這些威脅參與者變得更加強(qiáng)大，繼而帶來(lái)了不斷變化的新威脅。

有鑒于這一背景，企業(yè)董事會(huì)應(yīng)將其組織的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與其業(yè)務(wù)需求相結(jié)合，這一點(diǎn)至關(guān)重要。

首先，網(wǎng)絡(luò)攻擊會(huì)威脅業(yè)務(wù)的完整性。它們可能會(huì)破壞最根本的業(yè)務(wù)組件，從客戶數(shù)據(jù)誠(chéng)信一直到IT基礎(chǔ)設(shè)施，與此同時(shí)影響公司的知識(shí)產(chǎn)權(quán)、聲譽(yù)、估值，甚至是員工士氣。

董事會(huì)和高管應(yīng)如何管理這種類型的商業(yè)風(fēng)險(xiǎn)？知識(shí)就是力量，領(lǐng)導(dǎo)層對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)對(duì)企業(yè)的影響了解越多，就越能提供有效的領(lǐng)導(dǎo)。

世界經(jīng)濟(jì)論壇的報(bào)告《董事會(huì)網(wǎng)絡(luò)風(fēng)險(xiǎn)治理原則》（Principles for Board Governance of Cyber Risk）顯示，37%的機(jī)構(gòu)堅(jiān)持認(rèn)為，風(fēng)險(xiǎn)量化（quantifying risk）舉措能夠更好地管理網(wǎng)絡(luò)風(fēng)險(xiǎn)。然而，在風(fēng)險(xiǎn)量化方面，哪些方法效果最佳？

網(wǎng)絡(luò)風(fēng)險(xiǎn)資產(chǎn)負(fù)債表是衡量網(wǎng)絡(luò)活動(dòng)潛在財(cái)務(wù)影響的一種方式。以下是如何創(chuàng)建資產(chǎn)負(fù)債表：

1. 標(biāo)準(zhǔn)化：選擇網(wǎng)絡(luò)風(fēng)險(xiǎn)量化框架，例如，使用信息風(fēng)險(xiǎn)因素分析（FAIR），這是一個(gè)提供運(yùn)營(yíng)風(fēng)險(xiǎn)和信息安全的國(guó)際標(biāo)準(zhǔn)量化模型框架。

2.優(yōu)先級(jí)：確定機(jī)構(gòu)最大的網(wǎng)絡(luò)威脅，并對(duì)這些威脅的可能性進(jìn)行量化。

3.說(shuō)明：用財(cái)務(wù)術(shù)語(yǔ)來(lái)描述網(wǎng)絡(luò)威脅的概率與網(wǎng)絡(luò)風(fēng)險(xiǎn)之間的關(guān)系，并將其與未來(lái)網(wǎng)絡(luò)投資掛鉤。

此舉將打造可供首席信息安全官（CISO）使用的分類賬，用以描述帶來(lái)投資正回報(bào)的網(wǎng)絡(luò)安全舉措業(yè)務(wù)案例。

董事會(huì)網(wǎng)絡(luò)風(fēng)險(xiǎn)治理原則介紹了董事會(huì)一開(kāi)始可以采用的六大原則：

1、將網(wǎng)絡(luò)安全看作是戰(zhàn)略業(yè)務(wù)的賦能工具：企業(yè)應(yīng)從戰(zhàn)略意義的角度來(lái)分析網(wǎng)絡(luò)安全，并將其作為企業(yè)風(fēng)險(xiǎn)的一部分。

2、了解經(jīng)濟(jì)引擎和網(wǎng)絡(luò)風(fēng)險(xiǎn)的影響：企業(yè)應(yīng)從財(cái)務(wù)角度來(lái)定義網(wǎng)絡(luò)風(fēng)險(xiǎn)偏好，以便給決策提供信息。

3、將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與業(yè)務(wù)需求相結(jié)合。管理層應(yīng)將網(wǎng)絡(luò)風(fēng)險(xiǎn)分析整合至業(yè)務(wù)決策。

4、確保機(jī)構(gòu)設(shè)計(jì)能夠支持網(wǎng)絡(luò)安全：管理層應(yīng)確保網(wǎng)絡(luò)安全功能能夠得到充分代表。

5、將網(wǎng)絡(luò)安全專長(zhǎng)融入董事會(huì)治理：管理層與董事會(huì)之間的定期討論可提供有關(guān)事故、趨勢(shì)和弱點(diǎn)的最新信息。

6、鼓勵(lì)提升系統(tǒng)性韌性：董事會(huì)應(yīng)確保管理層制定計(jì)劃，通過(guò)與公共領(lǐng)域合作來(lái)改善韌性。

董事會(huì)需要深入了解企業(yè)面對(duì)的頂級(jí)風(fēng)險(xiǎn)，而且應(yīng)有能力去量化其潛在影響。隨后，可以在成本投資決策與不采取行動(dòng)的潛在成本之間進(jìn)行權(quán)衡。

通過(guò)將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與業(yè)務(wù)需求相結(jié)合，各大組織可以打造與特定風(fēng)險(xiǎn)偏好相契合的安全檔案。這一流程需要鼓勵(lì)首席信息安全官、首席技術(shù)官以及首席信息官所轄部門之間開(kāi)展合作，上述所有人都應(yīng)參與每一個(gè)網(wǎng)絡(luò)場(chǎng)景的分析。

通過(guò)這種方式，董事會(huì)可以要求查看現(xiàn)實(shí)中的風(fēng)險(xiǎn)降低情況。同時(shí)，安全負(fù)責(zé)人可以通過(guò)幫助業(yè)務(wù)部門降低業(yè)務(wù)影響的風(fēng)險(xiǎn)，與其建立聯(lián)盟關(guān)系。

網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的第一步涉及選定優(yōu)先目標(biāo)。各大機(jī)構(gòu)可以利用像MITRE ATT&CK這樣的行業(yè)框架，通過(guò)合并威脅可視度，來(lái)提供有關(guān)盲點(diǎn)的洞見(jiàn)。MITRE為安全運(yùn)營(yíng)團(tuán)隊(duì)開(kāi)發(fā)和制定檢測(cè)規(guī)則框架提供了基礎(chǔ)，這些規(guī)則針對(duì)的是機(jī)構(gòu)所面臨的獨(dú)特威脅和弱點(diǎn)。

像MITRE這樣的框架能夠讓企業(yè)通過(guò)查看行業(yè)、地理位置和管理者等參數(shù)，改善威脅覆蓋和響應(yīng)。借助MITRE，各大組織可以發(fā)現(xiàn)哪些威脅，以及技術(shù)格局的哪些方面，最有可能帶來(lái)?yè)p失。公司可以通過(guò)使用MITRE來(lái)確立關(guān)鍵業(yè)務(wù)資產(chǎn)，并據(jù)此來(lái)制定降低業(yè)務(wù)風(fēng)險(xiǎn)的定制計(jì)劃。

有鑒于宏觀經(jīng)濟(jì)下行的影響，很多高管面臨的最大問(wèn)題在于，如何以更加有限的資源來(lái)維持有效的網(wǎng)絡(luò)安全。自動(dòng)化與AI具有降低風(fēng)險(xiǎn)規(guī)避成本的潛力，因而在這個(gè)領(lǐng)域擁有廣闊的應(yīng)用空間。

IBM的《2022年數(shù)據(jù)泄露成本報(bào)告》（2022 Cost of a Data Breach）稱，對(duì)于部署了AI與自動(dòng)化的機(jī)構(gòu)來(lái)說(shuō)，其數(shù)據(jù)泄露成本平均降低了300萬(wàn)美元。AI是其最大的成本節(jié)約工具，那些部署了AI與自動(dòng)化的企業(yè)能夠更快地檢測(cè)到數(shù)據(jù)泄露，因而能夠?qū)?shù)據(jù)泄露對(duì)業(yè)務(wù)的影響降至最低。另一個(gè)削減成本的策略涉及高級(jí)云解決方案，該方案能夠大幅節(jié)省數(shù)據(jù)收集和存儲(chǔ)成本。

為了實(shí)現(xiàn)上述這一切，各大組織需要合適的人才。但這并非易事。簡(jiǎn)單來(lái)說(shuō)，網(wǎng)絡(luò)安全工作崗位數(shù)量已經(jīng)超出了可用的專業(yè)人士數(shù)量。（ISC）2稱，網(wǎng)絡(luò)安全勞動(dòng)力在2022年增至470萬(wàn)人，創(chuàng)下了員工數(shù)的新高。然而，超過(guò)340萬(wàn)個(gè)崗位依然無(wú)人可用，形勢(shì)可謂十分嚴(yán)峻。

托管檢測(cè)與響應(yīng)（MDR）能夠解決可用人才的缺乏問(wèn)題。MDR提供商都是外包服務(wù)，能夠?yàn)楦鞔髾C(jī)構(gòu)提供先進(jìn)的安全作業(yè)能力，并與這些機(jī)構(gòu)開(kāi)展合作，在發(fā)現(xiàn)威脅時(shí)進(jìn)行補(bǔ)救。MDR提供商可讓公司接觸到頂級(jí)專業(yè)人士，后者可提供有關(guān)路線圖決策的反饋，而且這些專業(yè)人士可以處理現(xiàn)有、新出現(xiàn)的以及不斷變化的威脅。企業(yè)發(fā)現(xiàn)，先進(jìn)的MDR服務(wù)提供商還可以讓其以更少的資源完成更多的事情，也就是在維持可擴(kuò)展性的同時(shí)減少員工數(shù)量。

在當(dāng)前環(huán)境下，MDR提供商的關(guān)聯(lián)度正在與日俱增。它不僅僅關(guān)乎資源以及如何使用這些資源，同時(shí)還涉及如何打造未來(lái)的路線圖。調(diào)整自己的關(guān)注點(diǎn)，將網(wǎng)絡(luò)安全當(dāng)作一項(xiàng)業(yè)務(wù)風(fēng)險(xiǎn)來(lái)評(píng)估，同時(shí)將精力更多地用于應(yīng)對(duì)那些危害最大的威脅，此舉有助于確保企業(yè)能夠足夠快地發(fā)現(xiàn)威脅并做出響應(yīng)，從而保護(hù)組織的關(guān)鍵資產(chǎn)。這才是真正的目標(biāo)。

有鑒于不斷增長(zhǎng)的網(wǎng)絡(luò)攻擊威脅，企業(yè)管理者應(yīng)將網(wǎng)絡(luò)安全看作是一種戰(zhàn)略業(yè)務(wù)的賦能工具。通過(guò)展示網(wǎng)絡(luò)安全的業(yè)務(wù)案例，將網(wǎng)絡(luò)風(fēng)險(xiǎn)管理與機(jī)構(gòu)的業(yè)務(wù)目標(biāo)相結(jié)合，我們便可以用董事會(huì)理解的語(yǔ)言，制定有關(guān)機(jī)構(gòu)當(dāng)前和未來(lái)的網(wǎng)絡(luò)健康決策。

尤瓦爾·沃爾曼（Yuval Wollman）| 文

尤瓦爾·沃爾曼是UST旗下公司CyberProof的總裁。他此前曾擔(dān)任情報(bào)負(fù)責(zé)人，在公私營(yíng)領(lǐng)域有大量經(jīng)驗(yàn)。加入CyberProof之前，尤瓦爾曾擔(dān)任IDB Group業(yè)務(wù)開(kāi)發(fā)部副總裁，該公司是以色列最大的企業(yè)集團(tuán)之一。他此前曾在以色列公共領(lǐng)域工作了十年，最后擔(dān)任的職務(wù)是情報(bào)部理事長(zhǎng)。

劉雋 | 編輯

本文來(lái)自微信公眾號(hào)“哈佛商業(yè)評(píng)論”（ID：hbrchinese），作者：HBR-China，36氪經(jīng)授權(quán)發(fā)布。