作為網絡安全公司的管理者,我曾親身感受了網絡攻擊在攻擊企業時的猖獗程度。我們都親眼目睹了不斷發生的勒索軟體事件;然而,各大企業還面臨着分布式拒絕服務(DDoS)、供應鍊洩露以及網絡釣魚等類型的網絡攻擊。
最近Forrester的報告顯示,去年最嚴重的35起網絡攻擊事件洩露了10億條記錄;在最嚴重的9起加密貨币攻擊中,有26億美元被盜;排名前35的違規者被罰款27億美元。以下是其中一些案例:
黑客組織Lapsus$ 稱從半導體晶片公司英偉達(Nvidia)那裡盜取了1T位元組的關鍵資料。他們要求英偉達支付100萬美元的贖金,并提出了額外的條件。
谷歌平息了對Google Cloud Armor使用者的一次分布式拒絕服務攻擊,此次攻擊相當于在短短10秒内“收到了維基百科(頂級流量網站之一)一天的通路量”。
在雲身份管理公司Okta宣布約2.5%客戶的記錄在一次供應鍊攻擊中遭到洩露後,公司股價一落千丈。
反網絡釣魚組織Anti-Phishing Working Group稱,釣魚攻擊創下新高,僅2022年第三季度便記錄了超過127000次網絡釣魚攻擊。
資料洩露的成本
IBM 《2022年資料洩露成本報告》(Cost of a Data Breach Report 2022)顯示,2022年資料洩露的平均成本達到了435萬美元,較2021年增長了2.6%,較2020年增長了12.7%。
就勒索軟體而言,成本是不一樣的:SpyCloud的報告稱,2021年的平均支付金額約為185萬美元,較2020年的76萬增長了一倍多。而且這些隻是直接成本,間接成本更高,包括:
· 業務中斷和營收損失帶來的業務損失
· 丢失客戶以及擷取新客戶的成本
· 信譽損失以及商譽下滑
· 攻擊導緻的集體訴訟所帶來的監管罰款和法律訴訟
不斷增長的網絡威脅
日趨激烈的地緣政治摩擦,帶來了連鎖反應。其中,國家支援的網絡戰争正波及私營領域。總之:各大企業經常會是以而“躺槍”。
我們預計,網絡攻擊的威脅,以及對企業資産負債表的潛在影響,将隻增不減。多個領域的技術進步,例如生成式AI和自動化,讓這些威脅參與者變得更加強大,繼而帶來了不斷變化的新威脅。
有鑒于這一背景,企業董事會應将其組織的網絡風險管理與其業務需求相結合,這一點至關重要。
将網絡安全作為首要業務風險
首先,網絡攻擊會威脅業務的完整性。它們可能會破壞最根本的業務元件,從客戶資料誠信一直到IT基礎設施,與此同時影響公司的知識産權、聲譽、估值,甚至是員工士氣。
董事會和高管應如何管理這種類型的商業風險?知識就是力量,上司層對網絡風險對企業的影響了解越多,就越能提供有效的上司。
網絡風險資産負債表可以提供洞見
世界經濟論壇的報告《董事會網絡風險治理原則》(Principles for Board Governance of Cyber Risk)顯示,37%的機構堅持認為,風險量化(quantifying risk)舉措能夠更好地管理網絡風險。然而,在風險量化方面,哪些方法效果最佳?
網絡風險資産負債表是衡量網絡活動潛在财務影響的一種方式。以下是如何建立資産負債表:
1. 标準化:選擇網絡風險量化架構,例如,使用資訊風險因素分析(FAIR),這是一個提供營運風險和資訊安全的國際标準量化模型架構。
2.優先級:确定機構最大的網絡威脅,并對這些威脅的可能性進行量化。
3.說明:用财務術語來描述網絡威脅的機率與網絡風險之間的關系,并将其與未來網絡投資挂鈎。
此舉将打造可供首席資訊安全官(CISO)使用的分類賬,用以描述帶來投資正回報的網絡安全舉措業務案例。
企業董事會應如何管理網絡風險
董事會網絡風險治理原則介紹了董事會一開始可以采用的六大原則:
1、将網絡安全看作是戰略業務的賦能工具:企業應從戰略意義的角度來分析網絡安全,并将其作為企業風險的一部分。
2、了解經濟引擎和網絡風險的影響:企業應從财務角度來定義網絡風險偏好,以便給決策提供資訊。
3、将網絡風險管理與業務需求相結合。管理層應将網絡風險分析整合至業務決策。
4、確定機構設計能夠支援網絡安全:管理層應確定網絡安全功能能夠得到充分代表。
5、将網絡安全專長融入董事會治理:管理層與董事會之間的定期讨論可提供有關事故、趨勢和弱點的最新資訊。
6、鼓勵提升系統性韌性:董事會應確定管理層制定計劃,通過與公共領域合作來改善韌性。
從業務角度出發,尋找正确平衡
董事會需要深入了解企業面對的頂級風險,而且應有能力去量化其潛在影響。随後,可以在成本投資決策與不采取行動的潛在成本之間進行權衡。
通過将網絡風險管理與業務需求相結合,各大組織可以打造與特定風險偏好相契合的安全檔案。這一流程需要鼓勵首席資訊安全官、首席技術官以及首席資訊官所轄部門之間開展合作,上述所有人都應參與每一個網絡場景的分析。
通過這種方式,董事會可以要求檢視現實中的風險降低情況。同時,安全負責人可以通過幫助業務部門降低業務影響的風險,與其建立聯盟關系。
确立“頂級業務”
網絡風險管理的第一步涉及標明優先目标。各大機構可以利用像MITRE ATT&CK這樣的行業架構,通過合并威脅可視度,來提供有關盲點的洞見。MITRE為安全營運團隊開發和制定檢測規則架構提供了基礎,這些規則針對的是機構所面臨的獨特威脅和弱點。
像MITRE這樣的架構能夠讓企業通過檢視行業、地理位置和管理者等參數,改善威脅覆寫和響應。借助MITRE,各大組織可以發現哪些威脅,以及技術格局的哪些方面,最有可能帶來損失。公司可以通過使用MITRE來确立關鍵業務資産,并據此來制定降低業務風險的定制計劃。
降低成本
有鑒于宏觀經濟下行的影響,很多高管面臨的最大問題在于,如何以更加有限的資源來維持有效的網絡安全。自動化與AI具有降低風險規避成本的潛力,因而在這個領域擁有廣闊的應用空間。
IBM的《2022年資料洩露成本報告》(2022 Cost of a Data Breach)稱,對于部署了AI與自動化的機構來說,其資料洩露成本平均降低了300萬美元。AI是其最大的成本節約工具,那些部署了AI與自動化的企業能夠更快地檢測到資料洩露,因而能夠将資料洩露對業務的影響降至最低。另一個削減成本的政策涉及進階雲解決方案,該方案能夠大幅節省資料收集和存儲成本。
以招聘合适的人才作為開端
為了實作上述這一切,各大組織需要合适的人才。但這并非易事。簡單來說,網絡安全工作崗位數量已經超出了可用的專業人士數量。(ISC)2稱,網絡安全勞動力在2022年增至470萬人,創下了員工數的新高。然而,超過340萬個崗位依然無人可用,形勢可謂十分嚴峻。
托管檢測與響應(MDR)能夠解決可用人才的缺乏問題。MDR提供商都是外包服務,能夠為各大機構提供先進的安全作業能力,并與這些機構開展合作,在發現威脅時進行補救。MDR提供商可讓公司接觸到頂級專業人士,後者可提供有關路線圖決策的回報,而且這些專業人士可以處理現有、新出現的以及不斷變化的威脅。企業發現,先進的MDR服務提供商還可以讓其以更少的資源完成更多的事情,也就是在維持可擴充性的同時減少員工數量。
在目前環境下,MDR提供商的關聯度正在與日俱增。它不僅僅關乎資源以及如何使用這些資源,同時還涉及如何打造未來的路線圖。調整自己的關注點,将網絡安全當作一項業務風險來評估,同時将精力更多地用于應對那些危害最大的威脅,此舉有助于確定企業能夠足夠快地發現威脅并做出響應,進而保護組織的關鍵資産。這才是真正的目标。
有鑒于不斷增長的網絡攻擊威脅,企業管理者應将網絡安全看作是一種戰略業務的賦能工具。通過展示網絡安全的業務案例,将網絡風險管理與機構的業務目标相結合,我們便可以用董事會了解的語言,制定有關機構目前和未來的網絡健康決策。
尤瓦爾·沃爾曼(Yuval Wollman)| 文
尤瓦爾·沃爾曼是UST旗下公司CyberProof的總裁。他此前曾擔任情報負責人,在公私營領域有大量經驗。加入CyberProof之前,尤瓦爾曾擔任IDB Group業務開發部副總裁,該公司是以色列最大的企業集團之一。他此前曾在以色列公共領域工作了十年,最後擔任的職務是情報部理事長。
劉隽 | 編輯
晶片制造,絕對是人類最複雜的工程之一。小小一枚晶片,為什麼會成為如此重要的關鍵技術?晶片産業發展至今,有哪些重要的啟示值得我們深思↓
表現再出色,也未必能當好上司