作為網(wǎng)絡(luò)安全公司的管理者，我曾親身感受了網(wǎng)絡(luò)攻擊在攻擊企業(yè)時的猖獗程度。我們都親眼目睹了不斷發(fā)生的勒索軟件事件；然而，各大企業(yè)還面臨著分布式拒絕服務(wù)（DDoS）、供應鏈泄露以及網(wǎng)絡(luò)釣魚等類型的網(wǎng)絡(luò)攻擊。

最近Forrester的報告顯示，去年最嚴重的35起網(wǎng)絡(luò)攻擊事件泄露了10億條記錄；在最嚴重的9起加密貨幣攻擊中，有26億美元被盜；排名前35的違規(guī)者被罰款27億美元。以下是其中一些案例：

黑客組織Lapsus$ 稱從半導體芯片公司英偉達（Nvidia）那里盜取了1T字節(jié)的關(guān)鍵數(shù)據(jù)。他們要求英偉達支付100萬美元的贖金，并提出了額外的條件。

谷歌平息了對Google Cloud Armor用戶的一次分布式拒絕服務(wù)攻擊，此次攻擊相當于在短短10秒內(nèi)“收到了維基百科（頂級流量網(wǎng)站之一）一天的訪問量”。

在云身份管理公司Okta宣布約2.5%客戶的記錄在一次供應鏈攻擊中遭到泄露后，公司股價一落千丈。

反網(wǎng)絡(luò)釣魚組織Anti-Phishing Working Group稱，釣魚攻擊創(chuàng)下新高，僅2022年第三季度便記錄了超過127000次網(wǎng)絡(luò)釣魚攻擊。

IBM 《2022年數(shù)據(jù)泄露成本報告》（Cost of a Data Breach Report 2022）顯示，2022年數(shù)據(jù)泄露的平均成本達到了435萬美元，較2021年增長了2.6%，較2020年增長了12.7%。

就勒索軟件而言，成本是不一樣的：SpyCloud的報告稱，2021年的平均支付金額約為185萬美元，較2020年的76萬增長了一倍多。而且這些只是直接成本，間接成本更高，包括：

· 業(yè)務(wù)中斷和營收損失帶來的業(yè)務(wù)損失

· 丟失客戶以及獲取新客戶的成本

· 信譽損失以及商譽下滑

· 攻擊導致的集體訴訟所帶來的監(jiān)管罰款和法律訴訟

日趨激烈的地緣政治摩擦，帶來了連鎖反應。其中，國家支持的網(wǎng)絡(luò)戰(zhàn)爭正波及私營領(lǐng)域。總之：各大企業(yè)經(jīng)常會因此而“躺槍”。

我們預計，網(wǎng)絡(luò)攻擊的威脅，以及對企業(yè)資產(chǎn)負債表的潛在影響，將只增不減。多個領(lǐng)域的技術(shù)進步，例如生成式AI和自動化，讓這些威脅參與者變得更加強大，繼而帶來了不斷變化的新威脅。

有鑒于這一背景，企業(yè)董事會應將其組織的網(wǎng)絡(luò)風險管理與其業(yè)務(wù)需求相結(jié)合，這一點至關(guān)重要。

首先，網(wǎng)絡(luò)攻擊會威脅業(yè)務(wù)的完整性。它們可能會破壞最根本的業(yè)務(wù)組件，從客戶數(shù)據(jù)誠信一直到IT基礎(chǔ)設(shè)施，與此同時影響公司的知識產(chǎn)權(quán)、聲譽、估值，甚至是員工士氣。

董事會和高管應如何管理這種類型的商業(yè)風險？知識就是力量，領(lǐng)導層對網(wǎng)絡(luò)風險對企業(yè)的影響了解越多，就越能提供有效的領(lǐng)導。

世界經(jīng)濟論壇的報告《董事會網(wǎng)絡(luò)風險治理原則》（Principles for Board Governance of Cyber Risk）顯示，37%的機構(gòu)堅持認為，風險量化（quantifying risk）舉措能夠更好地管理網(wǎng)絡(luò)風險。然而，在風險量化方面，哪些方法效果最佳？

網(wǎng)絡(luò)風險資產(chǎn)負債表是衡量網(wǎng)絡(luò)活動潛在財務(wù)影響的一種方式。以下是如何創(chuàng)建資產(chǎn)負債表：

1. 標準化：選擇網(wǎng)絡(luò)風險量化框架，例如，使用信息風險因素分析（FAIR），這是一個提供運營風險和信息安全的國際標準量化模型框架。

2.優(yōu)先級：確定機構(gòu)最大的網(wǎng)絡(luò)威脅，并對這些威脅的可能性進行量化。

3.說明：用財務(wù)術(shù)語來描述網(wǎng)絡(luò)威脅的概率與網(wǎng)絡(luò)風險之間的關(guān)系，并將其與未來網(wǎng)絡(luò)投資掛鉤。

此舉將打造可供首席信息安全官（CISO）使用的分類賬，用以描述帶來投資正回報的網(wǎng)絡(luò)安全舉措業(yè)務(wù)案例。

董事會網(wǎng)絡(luò)風險治理原則介紹了董事會一開始可以采用的六大原則：

1、將網(wǎng)絡(luò)安全看作是戰(zhàn)略業(yè)務(wù)的賦能工具：企業(yè)應從戰(zhàn)略意義的角度來分析網(wǎng)絡(luò)安全，并將其作為企業(yè)風險的一部分。

2、了解經(jīng)濟引擎和網(wǎng)絡(luò)風險的影響：企業(yè)應從財務(wù)角度來定義網(wǎng)絡(luò)風險偏好，以便給決策提供信息。

3、將網(wǎng)絡(luò)風險管理與業(yè)務(wù)需求相結(jié)合。管理層應將網(wǎng)絡(luò)風險分析整合至業(yè)務(wù)決策。

4、確保機構(gòu)設(shè)計能夠支持網(wǎng)絡(luò)安全：管理層應確保網(wǎng)絡(luò)安全功能能夠得到充分代表。

5、將網(wǎng)絡(luò)安全專長融入董事會治理：管理層與董事會之間的定期討論可提供有關(guān)事故、趨勢和弱點的最新信息。

6、鼓勵提升系統(tǒng)性韌性：董事會應確保管理層制定計劃，通過與公共領(lǐng)域合作來改善韌性。

董事會需要深入了解企業(yè)面對的頂級風險，而且應有能力去量化其潛在影響。隨后，可以在成本投資決策與不采取行動的潛在成本之間進行權(quán)衡。

通過將網(wǎng)絡(luò)風險管理與業(yè)務(wù)需求相結(jié)合，各大組織可以打造與特定風險偏好相契合的安全檔案。這一流程需要鼓勵首席信息安全官、首席技術(shù)官以及首席信息官所轄部門之間開展合作，上述所有人都應參與每一個網(wǎng)絡(luò)場景的分析。

通過這種方式，董事會可以要求查看現(xiàn)實中的風險降低情況。同時，安全負責人可以通過幫助業(yè)務(wù)部門降低業(yè)務(wù)影響的風險，與其建立聯(lián)盟關(guān)系。

網(wǎng)絡(luò)風險管理的第一步涉及選定優(yōu)先目標。各大機構(gòu)可以利用像MITRE ATT&CK這樣的行業(yè)框架，通過合并威脅可視度，來提供有關(guān)盲點的洞見。MITRE為安全運營團隊開發(fā)和制定檢測規(guī)則框架提供了基礎(chǔ)，這些規(guī)則針對的是機構(gòu)所面臨的獨特威脅和弱點。

像MITRE這樣的框架能夠讓企業(yè)通過查看行業(yè)、地理位置和管理者等參數(shù)，改善威脅覆蓋和響應。借助MITRE，各大組織可以發(fā)現(xiàn)哪些威脅，以及技術(shù)格局的哪些方面，最有可能帶來損失。公司可以通過使用MITRE來確立關(guān)鍵業(yè)務(wù)資產(chǎn)，并據(jù)此來制定降低業(yè)務(wù)風險的定制計劃。

有鑒于宏觀經(jīng)濟下行的影響，很多高管面臨的最大問題在于，如何以更加有限的資源來維持有效的網(wǎng)絡(luò)安全。自動化與AI具有降低風險規(guī)避成本的潛力，因而在這個領(lǐng)域擁有廣闊的應用空間。

IBM的《2022年數(shù)據(jù)泄露成本報告》（2022 Cost of a Data Breach）稱，對于部署了AI與自動化的機構(gòu)來說，其數(shù)據(jù)泄露成本平均降低了300萬美元。AI是其最大的成本節(jié)約工具，那些部署了AI與自動化的企業(yè)能夠更快地檢測到數(shù)據(jù)泄露，因而能夠?qū)?shù)據(jù)泄露對業(yè)務(wù)的影響降至最低。另一個削減成本的策略涉及高級云解決方案，該方案能夠大幅節(jié)省數(shù)據(jù)收集和存儲成本。

為了實現(xiàn)上述這一切，各大組織需要合適的人才。但這并非易事。簡單來說，網(wǎng)絡(luò)安全工作崗位數(shù)量已經(jīng)超出了可用的專業(yè)人士數(shù)量。（ISC）2稱，網(wǎng)絡(luò)安全勞動力在2022年增至470萬人，創(chuàng)下了員工數(shù)的新高。然而，超過340萬個崗位依然無人可用，形勢可謂十分嚴峻。

托管檢測與響應（MDR）能夠解決可用人才的缺乏問題。MDR提供商都是外包服務(wù)，能夠為各大機構(gòu)提供先進的安全作業(yè)能力，并與這些機構(gòu)開展合作，在發(fā)現(xiàn)威脅時進行補救。MDR提供商可讓公司接觸到頂級專業(yè)人士，后者可提供有關(guān)路線圖決策的反饋，而且這些專業(yè)人士可以處理現(xiàn)有、新出現(xiàn)的以及不斷變化的威脅。企業(yè)發(fā)現(xiàn)，先進的MDR服務(wù)提供商還可以讓其以更少的資源完成更多的事情，也就是在維持可擴展性的同時減少員工數(shù)量。

在當前環(huán)境下，MDR提供商的關(guān)聯(lián)度正在與日俱增。它不僅僅關(guān)乎資源以及如何使用這些資源，同時還涉及如何打造未來的路線圖。調(diào)整自己的關(guān)注點，將網(wǎng)絡(luò)安全當作一項業(yè)務(wù)風險來評估，同時將精力更多地用于應對那些危害最大的威脅，此舉有助于確保企業(yè)能夠足夠快地發(fā)現(xiàn)威脅并做出響應，從而保護組織的關(guān)鍵資產(chǎn)。這才是真正的目標。

有鑒于不斷增長的網(wǎng)絡(luò)攻擊威脅，企業(yè)管理者應將網(wǎng)絡(luò)安全看作是一種戰(zhàn)略業(yè)務(wù)的賦能工具。通過展示網(wǎng)絡(luò)安全的業(yè)務(wù)案例，將網(wǎng)絡(luò)風險管理與機構(gòu)的業(yè)務(wù)目標相結(jié)合，我們便可以用董事會理解的語言，制定有關(guān)機構(gòu)當前和未來的網(wǎng)絡(luò)健康決策。

尤瓦爾·沃爾曼（Yuval Wollman）| 文

尤瓦爾·沃爾曼是UST旗下公司CyberProof的總裁。他此前曾擔任情報負責人，在公私營領(lǐng)域有大量經(jīng)驗。加入CyberProof之前，尤瓦爾曾擔任IDB Group業(yè)務(wù)開發(fā)部副總裁，該公司是以色列最大的企業(yè)集團之一。他此前曾在以色列公共領(lǐng)域工作了十年，最后擔任的職務(wù)是情報部理事長。

劉雋 | 編輯

本文來自微信公眾號“哈佛商業(yè)評論”（ID：hbrchinese），作者：HBR-China，36氪經(jīng)授權(quán)發(fā)布。