不断增长的网络攻击威胁,企业如何应对?

哈佛商业评论
+ 关注
2023-07-28 15:41
1.2w次阅读
将网络安全作为首要业务风险。

不断增长的网络攻击威胁,企业如何应对?

作为网络安全公司的管理者,我曾亲身感受了网络攻击在攻击企业时的猖獗程度。我们都亲眼目睹了不断发生的勒索软件事件;然而,各大企业还面临着分布式拒绝服务(DDoS)、供应链泄露以及网络钓鱼等类型的网络攻击。

最近Forrester的报告显示,去年最严重的35起网络攻击事件泄露了10亿条记录;在最严重的9起加密货币攻击中,有26亿美元被盗;排名前35的违规者被罚款27亿美元。以下是其中一些案例:

黑客组织Lapsus$ 称从半导体芯片公司英伟达(Nvidia)那里盗取了1T字节的关键数据。他们要求英伟达支付100万美元的赎金,并提出了额外的条件。

谷歌平息了对Google Cloud Armor用户的一次分布式拒绝服务攻击,此次攻击相当于在短短10秒内“收到了维基百科(顶级流量网站之一)一天的访问量”。

在云身份管理公司Okta宣布约2.5%客户的记录在一次供应链攻击中遭到泄露后,公司股价一落千丈。

反网络钓鱼组织Anti-Phishing Working Group称,钓鱼攻击创下新高,仅2022年第三季度便记录了超过127000次网络钓鱼攻击。

IBM 《2022年数据泄露成本报告》(Cost of a Data Breach Report 2022)显示,2022年数据泄露的平均成本达到了435万美元,较2021年增长了2.6%,较2020年增长了12.7%。

就勒索软件而言,成本是不一样的:SpyCloud的报告称,2021年的平均支付金额约为185万美元,较2020年的76万增长了一倍多。而且这些只是直接成本,间接成本更高,包括:

· 业务中断和营收损失带来的业务损失

· 丢失客户以及获取新客户的成本

· 信誉损失以及商誉下滑

· 攻击导致的集体诉讼所带来的监管罚款和法律诉讼

日趋激烈的地缘政治摩擦,带来了连锁反应。其中,国家支持的网络战争正波及私营领域。总之:各大企业经常会因此而“躺枪”。

我们预计,网络攻击的威胁,以及对企业资产负债表的潜在影响,将只增不减。多个领域的技术进步,例如生成式AI和自动化,让这些威胁参与者变得更加强大,继而带来了不断变化的新威胁。

有鉴于这一背景,企业董事会应将其组织的网络风险管理与其业务需求相结合,这一点至关重要。

首先,网络攻击会威胁业务的完整性。它们可能会破坏最根本的业务组件,从客户数据诚信一直到IT基础设施,与此同时影响公司的知识产权、声誉、估值,甚至是员工士气。

董事会和高管应如何管理这种类型的商业风险?知识就是力量,领导层对网络风险对企业的影响了解越多,就越能提供有效的领导。

世界经济论坛的报告《董事会网络风险治理原则》(Principles for Board Governance of Cyber Risk)显示,37%的机构坚持认为,风险量化(quantifying risk)举措能够更好地管理网络风险。然而,在风险量化方面,哪些方法效果最佳?

网络风险资产负债表是衡量网络活动潜在财务影响的一种方式。以下是如何创建资产负债表:

1. 标准化:选择网络风险量化框架,例如,使用信息风险因素分析(FAIR),这是一个提供运营风险和信息安全的国际标准量化模型框架。

2.优先级:确定机构最大的网络威胁,并对这些威胁的可能性进行量化。

3.说明:用财务术语来描述网络威胁的概率与网络风险之间的关系,并将其与未来网络投资挂钩。

此举将打造可供首席信息安全官(CISO)使用的分类账,用以描述带来投资正回报的网络安全举措业务案例。

董事会网络风险治理原则介绍了董事会一开始可以采用的六大原则:

1、将网络安全看作是战略业务的赋能工具:企业应从战略意义的角度来分析网络安全,并将其作为企业风险的一部分。

2、了解经济引擎和网络风险的影响:企业应从财务角度来定义网络风险偏好,以便给决策提供信息。

3、将网络风险管理与业务需求相结合。管理层应将网络风险分析整合至业务决策。

4、确保机构设计能够支持网络安全:管理层应确保网络安全功能能够得到充分代表。

5、将网络安全专长融入董事会治理:管理层与董事会之间的定期讨论可提供有关事故、趋势和弱点的最新信息。

6、鼓励提升系统性韧性:董事会应确保管理层制定计划,通过与公共领域合作来改善韧性。

董事会需要深入了解企业面对的顶级风险,而且应有能力去量化其潜在影响。随后,可以在成本投资决策与不采取行动的潜在成本之间进行权衡。

通过将网络风险管理与业务需求相结合,各大组织可以打造与特定风险偏好相契合的安全档案。这一流程需要鼓励首席信息安全官、首席技术官以及首席信息官所辖部门之间开展合作,上述所有人都应参与每一个网络场景的分析。

通过这种方式,董事会可以要求查看现实中的风险降低情况。同时,安全负责人可以通过帮助业务部门降低业务影响的风险,与其建立联盟关系。

网络风险管理的第一步涉及选定优先目标。各大机构可以利用像MITRE ATT&CK这样的行业框架,通过合并威胁可视度,来提供有关盲点的洞见。MITRE为安全运营团队开发和制定检测规则框架提供了基础,这些规则针对的是机构所面临的独特威胁和弱点。

像MITRE这样的框架能够让企业通过查看行业、地理位置和管理者等参数,改善威胁覆盖和响应。借助MITRE,各大组织可以发现哪些威胁,以及技术格局的哪些方面,最有可能带来损失。公司可以通过使用MITRE来确立关键业务资产,并据此来制定降低业务风险的定制计划。

有鉴于宏观经济下行的影响,很多高管面临的最大问题在于,如何以更加有限的资源来维持有效的网络安全。自动化与AI具有降低风险规避成本的潜力,因而在这个领域拥有广阔的应用空间。

IBM的《2022年数据泄露成本报告》(2022 Cost of a Data Breach)称,对于部署了AI与自动化的机构来说,其数据泄露成本平均降低了300万美元。AI是其最大的成本节约工具,那些部署了AI与自动化的企业能够更快地检测到数据泄露,因而能够将数据泄露对业务的影响降至最低。另一个削减成本的策略涉及高级云解决方案,该方案能够大幅节省数据收集和存储成本。

为了实现上述这一切,各大组织需要合适的人才。但这并非易事。简单来说,网络安全工作岗位数量已经超出了可用的专业人士数量。(ISC)2称,网络安全劳动力在2022年增至470万人,创下了员工数的新高。然而,超过340万个岗位依然无人可用,形势可谓十分严峻。

托管检测与响应(MDR)能够解决可用人才的缺乏问题。MDR提供商都是外包服务,能够为各大机构提供先进的安全作业能力,并与这些机构开展合作,在发现威胁时进行补救。MDR提供商可让公司接触到顶级专业人士,后者可提供有关路线图决策的反馈,而且这些专业人士可以处理现有、新出现的以及不断变化的威胁。企业发现,先进的MDR服务提供商还可以让其以更少的资源完成更多的事情,也就是在维持可扩展性的同时减少员工数量。

在当前环境下,MDR提供商的关联度正在与日俱增。它不仅仅关乎资源以及如何使用这些资源,同时还涉及如何打造未来的路线图。调整自己的关注点,将网络安全当作一项业务风险来评估,同时将精力更多地用于应对那些危害最大的威胁,此举有助于确保企业能够足够快地发现威胁并做出响应,从而保护组织的关键资产。这才是真正的目标。

有鉴于不断增长的网络攻击威胁,企业管理者应将网络安全看作是一种战略业务的赋能工具。通过展示网络安全的业务案例,将网络风险管理与机构的业务目标相结合,我们便可以用董事会理解的语言,制定有关机构当前和未来的网络健康决策。

尤瓦尔·沃尔曼(Yuval Wollman)| 文

尤瓦尔·沃尔曼是UST旗下公司CyberProof的总裁。他此前曾担任情报负责人,在公私营领域有大量经验。加入CyberProof之前,尤瓦尔曾担任IDB Group业务开发部副总裁,该公司是以色列最大的企业集团之一。他此前曾在以色列公共领域工作了十年,最后担任的职务是情报部理事长。

刘隽 | 编辑

本文来自微信公众号“哈佛商业评论”(ID:hbrchinese),作者:HBR-China,36氪经授权发布。

[免责声明]

原文标题: 不断增长的网络攻击威胁,企业如何应对?

本文由作者原创发布于36氪企服点评;未经许可,禁止转载。

0
消息通知
咨询入驻
商务合作