不断增长的网络攻击威胁，企业如何应对？

作为网络安全公司的管理者，我曾亲身感受了网络攻击在攻击企业时的猖獗程度。我们都亲眼目睹了不断发生的勒索软件事件；然而，各大企业还面临着分布式拒绝服务（DDoS）、供应链泄露以及网络钓鱼等类型的网络攻击。

最近Forrester的报告显示，去年最严重的35起网络攻击事件泄露了10亿条记录；在最严重的9起加密货币攻击中，有26亿美元被盗；排名前35的违规者被罚款27亿美元。以下是其中一些案例：

黑客组织Lapsus$ 称从半导体芯片公司英伟达（Nvidia）那里盗取了1T字节的关键数据。他们要求英伟达支付100万美元的赎金，并提出了额外的条件。

谷歌平息了对Google Cloud Armor用户的一次分布式拒绝服务攻击，此次攻击相当于在短短10秒内“收到了维基百科（顶级流量网站之一）一天的访问量”。

在云身份管理公司Okta宣布约2.5%客户的记录在一次供应链攻击中遭到泄露后，公司股价一落千丈。

反网络钓鱼组织Anti-Phishing Working Group称，钓鱼攻击创下新高，仅2022年第三季度便记录了超过127000次网络钓鱼攻击。

IBM 《2022年数据泄露成本报告》（Cost of a Data Breach Report 2022）显示，2022年数据泄露的平均成本达到了435万美元，较2021年增长了2.6%，较2020年增长了12.7%。

就勒索软件而言，成本是不一样的：SpyCloud的报告称，2021年的平均支付金额约为185万美元，较2020年的76万增长了一倍多。而且这些只是直接成本，间接成本更高，包括：

· 业务中断和营收损失带来的业务损失

· 丢失客户以及获取新客户的成本

· 信誉损失以及商誉下滑

· 攻击导致的集体诉讼所带来的监管罚款和法律诉讼

日趋激烈的地缘政治摩擦，带来了连锁反应。其中，国家支持的网络战争正波及私营领域。总之：各大企业经常会因此而“躺枪”。

我们预计，网络攻击的威胁，以及对企业资产负债表的潜在影响，将只增不减。多个领域的技术进步，例如生成式AI和自动化，让这些威胁参与者变得更加强大，继而带来了不断变化的新威胁。

有鉴于这一背景，企业董事会应将其组织的网络风险管理与其业务需求相结合，这一点至关重要。

首先，网络攻击会威胁业务的完整性。它们可能会破坏最根本的业务组件，从客户数据诚信一直到IT基础设施，与此同时影响公司的知识产权、声誉、估值，甚至是员工士气。

董事会和高管应如何管理这种类型的商业风险？知识就是力量，领导层对网络风险对企业的影响了解越多，就越能提供有效的领导。

世界经济论坛的报告《董事会网络风险治理原则》（Principles for Board Governance of Cyber Risk）显示，37%的机构坚持认为，风险量化（quantifying risk）举措能够更好地管理网络风险。然而，在风险量化方面，哪些方法效果最佳？

网络风险资产负债表是衡量网络活动潜在财务影响的一种方式。以下是如何创建资产负债表：

1. 标准化：选择网络风险量化框架，例如，使用信息风险因素分析（FAIR），这是一个提供运营风险和信息安全的国际标准量化模型框架。

2.优先级：确定机构最大的网络威胁，并对这些威胁的可能性进行量化。

3.说明：用财务术语来描述网络威胁的概率与网络风险之间的关系，并将其与未来网络投资挂钩。

此举将打造可供首席信息安全官（CISO）使用的分类账，用以描述带来投资正回报的网络安全举措业务案例。

董事会网络风险治理原则介绍了董事会一开始可以采用的六大原则：

1、将网络安全看作是战略业务的赋能工具：企业应从战略意义的角度来分析网络安全，并将其作为企业风险的一部分。

2、了解经济引擎和网络风险的影响：企业应从财务角度来定义网络风险偏好，以便给决策提供信息。

3、将网络风险管理与业务需求相结合。管理层应将网络风险分析整合至业务决策。

4、确保机构设计能够支持网络安全：管理层应确保网络安全功能能够得到充分代表。

5、将网络安全专长融入董事会治理：管理层与董事会之间的定期讨论可提供有关事故、趋势和弱点的最新信息。

6、鼓励提升系统性韧性：董事会应确保管理层制定计划，通过与公共领域合作来改善韧性。

董事会需要深入了解企业面对的顶级风险，而且应有能力去量化其潜在影响。随后，可以在成本投资决策与不采取行动的潜在成本之间进行权衡。

通过将网络风险管理与业务需求相结合，各大组织可以打造与特定风险偏好相契合的安全档案。这一流程需要鼓励首席信息安全官、首席技术官以及首席信息官所辖部门之间开展合作，上述所有人都应参与每一个网络场景的分析。

通过这种方式，董事会可以要求查看现实中的风险降低情况。同时，安全负责人可以通过帮助业务部门降低业务影响的风险，与其建立联盟关系。

网络风险管理的第一步涉及选定优先目标。各大机构可以利用像MITRE ATT&CK这样的行业框架，通过合并威胁可视度，来提供有关盲点的洞见。MITRE为安全运营团队开发和制定检测规则框架提供了基础，这些规则针对的是机构所面临的独特威胁和弱点。

像MITRE这样的框架能够让企业通过查看行业、地理位置和管理者等参数，改善威胁覆盖和响应。借助MITRE，各大组织可以发现哪些威胁，以及技术格局的哪些方面，最有可能带来损失。公司可以通过使用MITRE来确立关键业务资产，并据此来制定降低业务风险的定制计划。

有鉴于宏观经济下行的影响，很多高管面临的最大问题在于，如何以更加有限的资源来维持有效的网络安全。自动化与AI具有降低风险规避成本的潜力，因而在这个领域拥有广阔的应用空间。

IBM的《2022年数据泄露成本报告》（2022 Cost of a Data Breach）称，对于部署了AI与自动化的机构来说，其数据泄露成本平均降低了300万美元。AI是其最大的成本节约工具，那些部署了AI与自动化的企业能够更快地检测到数据泄露，因而能够将数据泄露对业务的影响降至最低。另一个削减成本的策略涉及高级云解决方案，该方案能够大幅节省数据收集和存储成本。

为了实现上述这一切，各大组织需要合适的人才。但这并非易事。简单来说，网络安全工作岗位数量已经超出了可用的专业人士数量。（ISC）2称，网络安全劳动力在2022年增至470万人，创下了员工数的新高。然而，超过340万个岗位依然无人可用，形势可谓十分严峻。

托管检测与响应（MDR）能够解决可用人才的缺乏问题。MDR提供商都是外包服务，能够为各大机构提供先进的安全作业能力，并与这些机构开展合作，在发现威胁时进行补救。MDR提供商可让公司接触到顶级专业人士，后者可提供有关路线图决策的反馈，而且这些专业人士可以处理现有、新出现的以及不断变化的威胁。企业发现，先进的MDR服务提供商还可以让其以更少的资源完成更多的事情，也就是在维持可扩展性的同时减少员工数量。

在当前环境下，MDR提供商的关联度正在与日俱增。它不仅仅关乎资源以及如何使用这些资源，同时还涉及如何打造未来的路线图。调整自己的关注点，将网络安全当作一项业务风险来评估，同时将精力更多地用于应对那些危害最大的威胁，此举有助于确保企业能够足够快地发现威胁并做出响应，从而保护组织的关键资产。这才是真正的目标。

有鉴于不断增长的网络攻击威胁，企业管理者应将网络安全看作是一种战略业务的赋能工具。通过展示网络安全的业务案例，将网络风险管理与机构的业务目标相结合，我们便可以用董事会理解的语言，制定有关机构当前和未来的网络健康决策。

尤瓦尔·沃尔曼（Yuval Wollman）| 文

尤瓦尔·沃尔曼是UST旗下公司CyberProof的总裁。他此前曾担任情报负责人，在公私营领域有大量经验。加入CyberProof之前，尤瓦尔曾担任IDB Group业务开发部副总裁，该公司是以色列最大的企业集团之一。他此前曾在以色列公共领域工作了十年，最后担任的职务是情报部理事长。

刘隽 | 编辑

本文来自微信公众号“哈佛商业评论”（ID：hbrchinese），作者：HBR-China，36氪经授权发布。