作為網絡安全公司的管理者，我曾親身感受了網絡攻擊在攻擊企業時的猖獗程度。我們都親眼目睹了不斷發生的勒索軟件事件；然而，各大企業還面臨著分布式拒絕服務（DDoS）、供應鏈泄露以及網絡釣魚等類型的網絡攻擊。

最近Forrester的報告顯示，去年最嚴重的35起網絡攻擊事件泄露了10億條記錄；在最嚴重的9起加密貨幣攻擊中，有26億美元被盜；排名前35的違規者被罰款27億美元。以下是其中一些案例：

黑客組織Lapsus$ 稱從半導體芯片公司英偉達（Nvidia）那里盜取了1T字節的關鍵數據。他們要求英偉達支付100萬美元的贖金，并提出了額外的條件。

谷歌平息了對Google Cloud Armor用戶的一次分布式拒絕服務攻擊，此次攻擊相當于在短短10秒內“收到了維基百科（頂級流量網站之一）一天的訪問量”。

在云身份管理公司Okta宣布約2.5%客戶的記錄在一次供應鏈攻擊中遭到泄露后，公司股價一落千丈。

反網絡釣魚組織Anti-Phishing Working Group稱，釣魚攻擊創下新高，僅2022年第三季度便記錄了超過127000次網絡釣魚攻擊。

IBM 《2022年數據泄露成本報告》（Cost of a Data Breach Report 2022）顯示，2022年數據泄露的平均成本達到了435萬美元，較2021年增長了2.6%，較2020年增長了12.7%。

就勒索軟件而言，成本是不一樣的：SpyCloud的報告稱，2021年的平均支付金額約為185萬美元，較2020年的76萬增長了一倍多。而且這些只是直接成本，間接成本更高，包括：

· 業務中斷和營收損失帶來的業務損失

· 丟失客戶以及獲取新客戶的成本

· 信譽損失以及商譽下滑

· 攻擊導致的集體訴訟所帶來的監管罰款和法律訴訟

日趨激烈的地緣政治摩擦，帶來了連鎖反應。其中，國家支持的網絡戰爭正波及私營領域。總之：各大企業經常會因此而“躺槍”。

我們預計，網絡攻擊的威脅，以及對企業資產負債表的潛在影響，將只增不減。多個領域的技術進步，例如生成式AI和自動化，讓這些威脅參與者變得更加強大，繼而帶來了不斷變化的新威脅。

有鑒于這一背景，企業董事會應將其組織的網絡風險管理與其業務需求相結合，這一點至關重要。

首先，網絡攻擊會威脅業務的完整性。它們可能會破壞最根本的業務組件，從客戶數據誠信一直到IT基礎設施，與此同時影響公司的知識產權、聲譽、估值，甚至是員工士氣。

董事會和高管應如何管理這種類型的商業風險？知識就是力量，領導層對網絡風險對企業的影響了解越多，就越能提供有效的領導。

世界經濟論壇的報告《董事會網絡風險治理原則》（Principles for Board Governance of Cyber Risk）顯示，37%的機構堅持認為，風險量化（quantifying risk）舉措能夠更好地管理網絡風險。然而，在風險量化方面，哪些方法效果最佳？

網絡風險資產負債表是衡量網絡活動潛在財務影響的一種方式。以下是如何創建資產負債表：

1. 標準化：選擇網絡風險量化框架，例如，使用信息風險因素分析（FAIR），這是一個提供運營風險和信息安全的國際標準量化模型框架。

2.優先級：確定機構最大的網絡威脅，并對這些威脅的可能性進行量化。

3.說明：用財務術語來描述網絡威脅的概率與網絡風險之間的關系，并將其與未來網絡投資掛鉤。

此舉將打造可供首席信息安全官（CISO）使用的分類賬，用以描述帶來投資正回報的網絡安全舉措業務案例。

董事會網絡風險治理原則介紹了董事會一開始可以采用的六大原則：

1、將網絡安全看作是戰略業務的賦能工具：企業應從戰略意義的角度來分析網絡安全，并將其作為企業風險的一部分。

2、了解經濟引擎和網絡風險的影響：企業應從財務角度來定義網絡風險偏好，以便給決策提供信息。

3、將網絡風險管理與業務需求相結合。管理層應將網絡風險分析整合至業務決策。

4、確保機構設計能夠支持網絡安全：管理層應確保網絡安全功能能夠得到充分代表。

5、將網絡安全專長融入董事會治理：管理層與董事會之間的定期討論可提供有關事故、趨勢和弱點的最新信息。

6、鼓勵提升系統性韌性：董事會應確保管理層制定計劃，通過與公共領域合作來改善韌性。

董事會需要深入了解企業面對的頂級風險，而且應有能力去量化其潛在影響。隨后，可以在成本投資決策與不采取行動的潛在成本之間進行權衡。

通過將網絡風險管理與業務需求相結合，各大組織可以打造與特定風險偏好相契合的安全檔案。這一流程需要鼓勵首席信息安全官、首席技術官以及首席信息官所轄部門之間開展合作，上述所有人都應參與每一個網絡場景的分析。

通過這種方式，董事會可以要求查看現實中的風險降低情況。同時，安全負責人可以通過幫助業務部門降低業務影響的風險，與其建立聯盟關系。

網絡風險管理的第一步涉及選定優先目標。各大機構可以利用像MITRE ATT&CK這樣的行業框架，通過合并威脅可視度，來提供有關盲點的洞見。MITRE為安全運營團隊開發和制定檢測規則框架提供了基礎，這些規則針對的是機構所面臨的獨特威脅和弱點。

像MITRE這樣的框架能夠讓企業通過查看行業、地理位置和管理者等參數，改善威脅覆蓋和響應。借助MITRE，各大組織可以發現哪些威脅，以及技術格局的哪些方面，最有可能帶來損失。公司可以通過使用MITRE來確立關鍵業務資產，并據此來制定降低業務風險的定制計劃。

有鑒于宏觀經濟下行的影響，很多高管面臨的最大問題在于，如何以更加有限的資源來維持有效的網絡安全。自動化與AI具有降低風險規避成本的潛力，因而在這個領域擁有廣闊的應用空間。

IBM的《2022年數據泄露成本報告》（2022 Cost of a Data Breach）稱，對于部署了AI與自動化的機構來說，其數據泄露成本平均降低了300萬美元。AI是其最大的成本節約工具，那些部署了AI與自動化的企業能夠更快地檢測到數據泄露，因而能夠將數據泄露對業務的影響降至最低。另一個削減成本的策略涉及高級云解決方案，該方案能夠大幅節省數據收集和存儲成本。

為了實現上述這一切，各大組織需要合適的人才。但這并非易事。簡單來說，網絡安全工作崗位數量已經超出了可用的專業人士數量。（ISC）2稱，網絡安全勞動力在2022年增至470萬人，創下了員工數的新高。然而，超過340萬個崗位依然無人可用，形勢可謂十分嚴峻。

托管檢測與響應（MDR）能夠解決可用人才的缺乏問題。MDR提供商都是外包服務，能夠為各大機構提供先進的安全作業能力，并與這些機構開展合作，在發現威脅時進行補救。MDR提供商可讓公司接觸到頂級專業人士，后者可提供有關路線圖決策的反饋，而且這些專業人士可以處理現有、新出現的以及不斷變化的威脅。企業發現，先進的MDR服務提供商還可以讓其以更少的資源完成更多的事情，也就是在維持可擴展性的同時減少員工數量。

在當前環境下，MDR提供商的關聯度正在與日俱增。它不僅僅關乎資源以及如何使用這些資源，同時還涉及如何打造未來的路線圖。調整自己的關注點，將網絡安全當作一項業務風險來評估，同時將精力更多地用于應對那些危害最大的威脅，此舉有助于確保企業能夠足夠快地發現威脅并做出響應，從而保護組織的關鍵資產。這才是真正的目標。

有鑒于不斷增長的網絡攻擊威脅，企業管理者應將網絡安全看作是一種戰略業務的賦能工具。通過展示網絡安全的業務案例，將網絡風險管理與機構的業務目標相結合，我們便可以用董事會理解的語言，制定有關機構當前和未來的網絡健康決策。

尤瓦爾·沃爾曼（Yuval Wollman）| 文

尤瓦爾·沃爾曼是UST旗下公司CyberProof的總裁。他此前曾擔任情報負責人，在公私營領域有大量經驗。加入CyberProof之前，尤瓦爾曾擔任IDB Group業務開發部副總裁，該公司是以色列最大的企業集團之一。他此前曾在以色列公共領域工作了十年，最后擔任的職務是情報部理事長。

劉雋 | 編輯

本文來自微信公眾號“哈佛商業評論”（ID：hbrchinese），作者：HBR-China，36氪經授權發布。