网络攻击的威胁——以及对企业资产负债表的潜在影响——预计只会越来越大。生成式人工智能和自动化等领域的技术进步加强了威胁行为体,导致了新的和不断演变的威胁。在这种背景下,企业董事会将其组织的网络风险管理与业务需求保持一致变得越来越重要。网络攻击首先是对企业诚信的一种威胁。它们可以破坏业务的最基本组成部分,从客户数据的完整性到IT基础设施,同时影响公司的知识产权、声誉、估值,甚至员工的士气。董事会和高级领导人应该如何管理这类商业风险?知识带来力量,企业领导层对网络风险对业务的影响了解得越多,就越能提供有效的领导。
作为一家网络安全公司的负责人,我对企业受到网络攻击的程度有切身体会。我们都经常看到有关勒索软件的头条新闻;但企业也面临着分布式拒绝服务(DDoS)攻击、供应链破坏和网络钓鱼攻击等问题。
根据弗雷斯特公司最近的一份报告,去年前35起数据泄露事件中,有10亿条记录被泄露;在前九大加密货币泄露事件中,26亿美元被盗;对前35名违规者处以27亿美元的罚款。这里有几个例子:
- Lapsus$声称从semi窃取了1tb的关键数据半导体芯片公司英伟达。他们要求赔偿100万美元赎金然后做加法最终的要求。
- 谷歌遏制了对谷歌云盔甲客户的DDoS攻击,并将其比作“在10秒内接收到维基百科(流量最大的网站之一)的所有日常请求”。
- 当认证公司Okta宣布其约2.5%的客户被记录在案时,该公司股价暴跌硒暴露在a供应链攻击。
- 根据反网络钓鱼工作组(Anti-Phishing Working Group)的数据,网络钓鱼的攻击次数创下新高,仅在2022年第三季度就发生了超过1,27万次攻击。
数据泄露的代价
根据IBM的《2022年数据泄露成本报告》,2022年数据泄露的平均成本达到435万美元,比2021年增长2.6%,比2020年增长12.7%。
对于勒索软件,成本有所不同:根据SpyCloud的报告,2021年的平均支付额约为185万美元,是2020年76万美元的两倍多。
这些只是直接成本;间接成本更大。它们包括:
- 由于业务中断和收入损失而失去业务
- 流失的客户,以及获得新客户的成本
- 声誉损失,商誉减少
- 当攻击导致集体诉讼时,监管罚款和法律诉讼
网络威胁日益严重
地缘政治紧张局势不断升级,尤其是围绕俄乌冲突和美中关系的紧张局势,造成了连锁反应,国家支持的网络战正在影响私营部门。底线:企业经常成为附带损害。
管理网络风险
探索挑战和解决方案。网络攻击的威胁——以及对企业资产负债表的潜在影响——预计只会越来越大。生成式人工智能和自动化等领域的技术进步加强了威胁行为体,导致了新的和不断演变的威胁。
在这种背景下,企业董事会将其组织的网络风险管理与业务需求保持一致变得越来越重要。
网络安全是一个关键的商业风险
网络攻击首先是对企业诚信的一种威胁。它们可以破坏业务的最基本组成部分,从客户数据的完整性到IT基础设施,同时影响公司的知识产权、声誉、估值,甚至员工的士气。
董事会和高级领导人应该如何管理这类商业风险?知识带来力量,企业领导层对网络风险对业务的影响了解得越多,就越能提供有效的领导。
网络风险资产负债表可以提供洞察力
根据世界经济论坛(World Economic Forum)的报告《网络风险董事会治理原则》(Principles for Board Governance of Cyber Risk), 37%的组织强烈认为,量化风险有助于更好地管理网络风险。但量化风险的最佳方式是什么?
网络风险资产负债表是描绘网络事件潜在财务影响的一种方式。创建资产负债表包括:
- 标准化: Selec建立网络风险量化模型框架,例如,通过利用信息风险因素分析(FAIR),一个国际标准Nal标准定量模型提供操作的框架风险和信息安全
- 优先级:定义组织的顶级网络威胁并量化这些威胁的可能性
- 映射:有限公司将网络威胁的可能性与财务方面的网络风险联系起来,并将其与未来的网络投资联系起来
这创建了一个分类帐,首席信息安全官(ciso)可以使用它来描述网络安全工作的商业案例,这些案例显示出积极的投资回报。
公司董事会应如何管理网络风险
《网络风险董事会治理原则》介绍了董事会应遵循的六项原则:
- 了解网络安全是一个战略业务推动者企业应在公司内部分析网络安全问题上下文的战略含义,作为企业风险的一部分。
- 了解网络风险的经济驱动因素和影响:企业应该从财务角度定义网络风险偏好,以帮助制定决策。
- 将网络风险管理与业务需求结合起来:管理层应该将网络风险分析整合到业务决策中。
- 确保组织设计支持网络安全:管理层应确保网络安全功能得到充分体现。
- 将网络安全专业知识纳入董事会治理:管理层和董事会之间的定期会议应提供有关事件、趋势和漏洞的最新信息。
- 鼓励系统弹性:董事会应确保管理层制定计划,通过与公共部门合作来提高弹性。
找到正确的平衡-从商业的角度
董事会需要深入了解企业面临的主要风险,并应该能够量化它们的潜在影响。然后,可以将成本投资决策与采取行动的潜在成本进行权衡。
通过将网络风险管理与业务需求相结合,组织可以构建与定义的风险偏好相一致的安全配置文件。这一过程需要鼓励首席信息安全官、首席技术官和首席信息官职能部门之间的协作,他们都应该参与分析每个网络场景。
通过这种方法,董事会可以要求看到真正的风险降低。与此同时,安全负责人可以通过帮助业务单位降低业务影响的风险,在它们内部建立同盟。
绘制“皇冠上的宝石”
网络风险管理的第一步包括优先考虑在哪里安家。组织可以利用像MITRE ATT&CK这样的行业框架,通过统一的威胁可见性提供对盲点的洞察。MITRE为安全操作团队开发和规划检测规则框架提供了基础,这些规则特定于组织的独特威胁和漏洞。
像MITRE这样的框架可以通过查看行业、地理位置和领导等参数来改善威胁覆盖和响应。通过MITRE,组织可以识别哪些威胁以及技术领域的哪些方面最有可能导致破坏。通过使用MITRE绘制关键业务资产,可以开发用于降低业务风险的定制计划。
降低成本
考虑到宏观经济低迷的影响,许多高管面临的最大问题是,如何用更有限的资源维持有效的网络安全。这就是自动化和人工智能(AI)的用武之地,因为它们有可能降低降低风险的成本。
根据IBM的《2022年数据泄露成本报告》,部署人工智能和自动化的组织平均减少了300万美元的数据泄露成本。人工智能是他们最大的成本节省者;那些部署人工智能和自动化的公司更快地发现了漏洞,最大限度地减少了对运营的影响。另一种削减成本的策略涉及先进的云解决方案,可以大大节省数据摄取和存储成本。
从找到合适的人才开始
为了实现这一切,组织需要有合适的人才。但说起来容易做起来难。简而言之:网络安全工作岗位比可用的专业人员数量要多。根据(ISC)2的数据,网络安全劳动力在2022年增长到470万人,是有记录以来的最高数量。然而,仍有340多万个职位空缺。这是一个严峻的形势。
管理检测和响应(MDR)可以解决可用人才缺乏的问题。MDR提供商是外包服务,可以为组织提供高级安全操作功能,并与这些组织协作,在发现威胁时修复威胁。他们提供访问顶级专业人员的机会,这些专业人员提供有关路线图相关决策的输入,并且可以处理现有的、新的和不断发展的威胁。企业发现,一个先进的MDR服务提供商可以用更少的资源做更多的事情——在保持人员数量减少的同时保持可伸缩性。
在当前形势下,耐多药治疗提供者的作用日益重要。这不仅仅是关于资源和如何使用它们,还包括如何建立一个前进的路线图。将重点转移到将网络安全作为一种商业风险来评估,同时将精力专门投入到构成最大危险的威胁上,这有助于确保企业能够足够快速地检测和响应,以保护组织的关键资产。这才是真正的目标。
随着网络攻击威胁的不断增长,企业领导者应该将网络安全视为战略业务推动者。通过说明网络安全的商业案例——将网络风险管理与组织的商业目标结合起来——就有可能以董事会能够理解的方式做出有关组织网络健康的当前和未来决策。
