我們可以從挑戰者災難中學到什么關于網絡安全的知識?一切。
了解您的組織面臨的潛在威脅是現代風險管理的重要組成部分。它涉及預測和評估影響風險的所有因素。流程、程序和投資都可以增加、最小化甚至消除風險。
另一個因素是人的因素。很多時候,在一個組織內,存在一種文化,大量的歷史數據講述一個故事,但管理層相信一些完全不同的東西。這種“認知失調”可能導致過分強調和依賴近期數據和/或經驗,并低估長期統計分析。
也許沒有比1986年挑戰者號航天飛機災難更好的例子了,它現在作為風險管理不當的案例研究。當年 1 月,挑戰者號在發射后 73 秒解體,原因是其中一個火箭助推器中的墊圈(稱為 O 形環)失效。雖然災難的物理原因是由 O 形環的故障引起的,但由此產生的調查事故的羅杰斯委員會發現,美國宇航局未能正確識別“管理程序和技術設計中的缺陷,這些缺陷如果得到糾正,可能會阻止挑戰者的悲劇。”
盡管可追溯到1977年的有力證據表明,O 形環是一種有缺陷的設計,在某些條件/溫度下可能會失效,但 NASA 管理層和火箭制造商 Morton Thiokol 都沒有對有缺陷的接頭設計帶來的危險做出充分反應。他們沒有重新設計接頭,而是將問題定義為“可接受的飛行風險”。在之前 24 次成功的航天飛機飛行過程中,NASA 管理層建立了一種“安全文化”,盡管研究和開發提供了大量數據和關于 O 形環的警告,但這種文化淡化了與飛行航天飛機相關的技術風險(研發)工程師。
正如美國物理學家理查德·費曼 (Richard Feynman) 在談到這場災難時所說:“對于成功的技術,現實必須優先于公共關系,因為大自然是不會被愚弄的。”
當涉及到網絡安全時,從來沒有說過更真實的話。高管人員需要停止評估和實施滿足最低合規性的網絡安全戰略和解決方案,并建立“可接受風險”文化,并開始管理現實世界的風險——由硬數據支持的風險。
風險管理和網絡安全
對您的組織的網絡攻擊威脅不再是是否知道的問題,而是何時,以及C-Suite高管知道的問題。根據 C-Suite Perspectives: Trends in the Cyberattack Landscape, Security Threats and Business Impacts,96% 的高管擔心混合計算環境導致的網絡漏洞和安全風險。管理風險要求組織在風險和潛在風險出現時對其進行計劃并迅速做出反應。網絡安全也不例外。對于任何組織,風險可以分為四個基本類別:
挑戰者號災難突出了所有這四個風險類別。以戰略風險為例。Morton Thiokol的工程師表達了擔憂,并提供了有關 O 形圈在發射前幾年和發射前幾天的性能數據,并表示應該推遲發射。美國宇航局迫于壓力要啟動已經推遲的任務,并受到之前 24 次成功的航天飛機飛行的鼓舞,這導致他們對失敗的現實視而不見,迫使 Morton Thiokol 提供不同的建議。Morton Thiokol 管理層決定將組織目標置于硬數據支持的安全問題之前。提出了發射建議,導致載人太空探索中最災難性的事件之一。
這個戰略風險的例子可以完美地類比實施網絡安全戰略和解決方案的組織。有無數高調的網絡攻擊和數據泄露的例子,其中高層管理人員在網絡漏洞之前得到警告,但沒有采取任何行動來防止即將發生的災難。臭名昭著的2018年 Panera Bread 數據泄露就是這樣一個例子。Facebook 是另一個。其平臺運營經理在 2011 年至 2012 年期間警告這家社交科技巨頭的管理層實施審計或執行其他機制,以確保從社交網絡中提取的用戶數據不會被第三方開發人員和/或系統濫用。這些警告顯然被忽略了。
那么為什么這種情況會不斷發生呢?DDoS和 WAF 緩解解決方案的實施通常涉及組織內的三個關鍵組件:管理、安全團隊/SOC 和合規性。盡管安全團隊提供了大量的硬數據,表明組織當前容易受到攻擊,或者沒有為最新一代的攻擊媒介做好準備,但管理層通常會過分強調近期的安全結果/經驗;他們感到安全的是,該組織迄今為止從未成為成功網絡攻擊的受害者。前面提到的 Facebook 故事就是一個完美的例子:他們允許歷史覆蓋平臺經理提供的有關新安全風險的硬數據。
強調這種“認知失調”的是合規團隊,他們經常尋求僅基于滿足最低合規標準的復選框功能來評估DDoS 緩解解決方案。或者,該戰略還推動了一種成本節約方法,該方法在組織內產生短期財務節約,該組織通常將網絡安全視為相對于其他戰略計劃(如移動性、物聯網和云計算)的事后考慮。
最終結果?組織不是在管理現實世界的風險,而是在管理“昨天的”風險,從而使自己容易受到新的攻擊媒介、物聯網僵尸網絡漏洞、網絡犯罪分子和其他幾周甚至幾天前不存在的威脅的攻擊。
網絡攻擊的真實成本
要了解這對組織的長期成功有多么不利,需要掌握網絡攻擊的真實成本。可悲的是,這些數據點通常與上述關于漏洞的統計數據一樣不被理解或忽視。網絡攻擊的成本可以通過四個風險類別進行映射:
[if !supportLists]·?[endif]戰略風險:據40%的高管稱,網絡攻擊的平均成本超過 100 萬美元/歐元。5% 的人估計這一成本超過 2500 萬美元/歐元。
[if !supportLists]·?[endif]聲譽風險:網絡攻擊后,客戶流失率可能會增加多達30%。此外,因數據泄露而失去超過 4% 客戶的組織的平均總成本為 510 萬美元。此外,41% 的高管報告稱,客戶在數據泄露后對其公司采取了法律行動。雅虎和 Equifax 數據泄露訴訟是兩個備受矚目的例子。
[if !supportLists]·?[endif]產品風險:知識產權委員會估計,假冒商品、盜版軟件和竊取的商業機密每年給美國經濟造成6000億美元的損失。
[if !supportLists]·?[endif]治理風險:與數據泄露相關的“隱藏”成本包括保險費增加、信用評級降低和商品名稱貶值。在宣布數據泄露后, Equifax 被華爾街貶值40 億美元。
保護客戶體驗,管理風險
只有通過識別組織每天面臨的新風險并制定計劃將其最小化,其高管才能為公司的成功奠定基礎。就航天飛機計劃而言,大量明確表明存在不可接受的飛行風險的數據因滿足運營目標的需要而被擱置一旁。可以從1986年 1 月的那個決定性的日子中吸取哪些教訓并將其應用于網絡安全?首先,這場災難突出了管理風險的五個關鍵步驟。
就網絡安全而言,這意味著執行領導層必須權衡其網絡安全團隊、合規團隊和高層管理人員的意見,并使用數據來識別漏洞和成功緩解漏洞的要求。在數字時代,網絡安全必須被視為一項持續的戰略舉措,不能僅僅委托給合規性。領導層必須充分權衡網絡攻擊/數據泄露對組織造成的潛在成本與實施正確安全策略和解決方案所需的資源。最后,如果正確理解,風險實際上可以轉化為競爭優勢。在網絡安全方面,它可以用作與需要快速網絡性能、響應式應用程序和安全客戶體驗的消費者的競爭優勢。
那么,在面臨新的安全威脅、預算緊張、網絡安全專業人員短缺以及需要保護日益多樣化的基礎設施的情況下,高管們應該如何實現這一目標呢?關鍵是為企業及其客戶創造一個安全的環境。
根據C-Suite Perspectives: Trends in the Cyberattack Landscape, Security Threats and Business Impacts,研究表明,為了營造這種氛圍,高管必須愿意接受新技術、對新意識形態持開放態度并接受變革。致力于掌握這一不斷發展的威脅的高管必須打破組織中存在的孤島,以評估整個企業的風險維度并從整體上解決這些風險。接下來是平衡上述投資與風險等式。在決定將資源投資于何處以推動公司向前發展時,所有高管都將面臨艱難的選擇。
根據同一份報告,十分之四的受訪者認為基礎設施復雜性的增加、數字化轉型計劃、人工智能的集成和向云的遷移是對安全規劃和預算分配造成壓力的事件。
賭注很高。安全威脅會嚴重影響公司的品牌聲譽,導致客戶流失、運營效率降低和訴訟。高管人員必須吸取挑戰者號航天飛機災難的教訓:停止評估和實施滿足最低合規性的網絡安全戰略和解決方案,并開始通過信任數據、拋開近期經驗/“直覺”來應對現實世界的風險并了解網絡攻擊的真實成本。那些愿意接受技術和變革并優先考慮網絡安全的高管將贏得 21 世紀消費者的信任和忠誠。
