當(dāng)前網(wǎng)絡(luò)攻擊在數(shù)量、強(qiáng)度和復(fù)雜性方面持續(xù)增長。盡管攻擊者在不斷變化，但幾十年來，企業(yè)領(lǐng)導(dǎo)者卻因采用相同的網(wǎng)絡(luò)風(fēng)險管理策略而飽受困擾。組織必須學(xué)習(xí)如何擺脫臨時解決方案并投資于長期的彈性措施，以在未來的網(wǎng)絡(luò)經(jīng)濟(jì)中蓬勃發(fā)展。美國約翰斯·霍普金斯大學(xué)懷廷工程學(xué)院土木與系統(tǒng)工程系和自治保證研究所的助理教授格雷戈里·法爾科（Gregory Falco）與哈佛大學(xué)肯尼迪學(xué)院貝爾弗科學(xué)與國際事務(wù)中心主任埃里克·羅森巴赫（Eric Rosenbach）合著了《直面網(wǎng)絡(luò)風(fēng)險》（Confronting Cyber Risk）一書，提出了“嵌入耐力戰(zhàn)略”這一概念，倡導(dǎo)建立根植于組織的網(wǎng)絡(luò)安全文化，以持續(xù)、系統(tǒng)地應(yīng)對未來的網(wǎng)絡(luò)風(fēng)險。該書即將在明年2月份由由牛津大學(xué)出版社出版。

　　《直面網(wǎng)絡(luò)風(fēng)險：網(wǎng)絡(luò)安全的嵌入式耐久性戰(zhàn)略》是一本實用的領(lǐng)導(dǎo)力指南，概述了改善組織網(wǎng)絡(luò)安全和減輕網(wǎng)絡(luò)風(fēng)險的新戰(zhàn)略。資深網(wǎng)絡(luò)安全專家Falco和 Rosenbach介紹了嵌入式耐久性戰(zhàn)略，作為網(wǎng)絡(luò)風(fēng)險管理的系統(tǒng)級方法，該方法解決了組織風(fēng)險的相互依賴的組成部分，并使組織為長期不可避免的網(wǎng)絡(luò)威脅做好準(zhǔn)備。作者使用從SolarWinds到Colonial Pipeline攻擊的真實示例，擴(kuò)展到硬件和軟件之外，為組織提供了一個經(jīng)過深思熟慮的十步流程，以解決網(wǎng)絡(luò)攻擊中常見的同時發(fā)生的運營、聲譽(yù)和訴訟風(fēng)險。作者斷言，未來的“密碼”可助力商業(yè)領(lǐng)袖應(yīng)對下一代網(wǎng)絡(luò)風(fēng)險挑戰(zhàn)。

　　清晰而翔實的《直面網(wǎng)絡(luò)風(fēng)險》為CEO和網(wǎng)絡(luò)新手等提供了具體指導(dǎo)，指導(dǎo)他們?nèi)绾螌嵤┘舛藨?zhàn)略，以在不斷變化的網(wǎng)絡(luò)風(fēng)險環(huán)境中降低組織對惡意網(wǎng)絡(luò)攻擊的系統(tǒng)性風(fēng)險。

　　網(wǎng)絡(luò)安全不單是一個IT問題

　　不要把網(wǎng)絡(luò)安全當(dāng)成一個簡單的IT問題，而是一個高管和領(lǐng)導(dǎo)的問題。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)保護(hù)通常被認(rèn)為是一種反應(yīng)性措施，但組織需要開始將網(wǎng)絡(luò)保護(hù)視為一種規(guī)劃方式。與財務(wù)規(guī)劃類似，網(wǎng)絡(luò)安全應(yīng)納入日常業(yè)務(wù)。它不是一個附加組件；它應(yīng)該嵌入到組織中，這就是為什么作者使用“嵌入耐力戰(zhàn)略”這個術(shù)語。這個詞表明，把網(wǎng)絡(luò)安全視為一種耐力練習(xí)。即使在組織中嵌入了措施，網(wǎng)絡(luò)安全問題也會在其存在的整個過程中發(fā)生。從長期馬拉松耐力的角度考慮策略和風(fēng)險緩解是很重要的。

　　為什么嵌入式耐力策略很重要？

　　在問題出現(xiàn)時解決問題可能會花費組織更多的錢，因為他們將花錢請顧問來解決問題。使用全面的方法意味著改變看待這個挑戰(zhàn)的方式，將其視為持續(xù)的而不是一個單一的實例。當(dāng)長期預(yù)防成為組織文化的一部分時，就需要領(lǐng)導(dǎo)者全面考慮潛在事件的每一個方面。這種預(yù)先考慮使他們能夠迅速行動，同時也能在遭遇襲擊時保持組織的完整性。

　　了解攻擊你的人是誰，他們想要什么，將有助于組織制定他們的策略。您的攻擊者想要在系統(tǒng)中制造混亂嗎？他們要現(xiàn)金嗎？他們是想竊取你知識產(chǎn)權(quán)的競爭對手嗎？通過回答這些問題和其他問題，公司可以找到在攻擊期間和之后采取行動的方法。

　　作者提出了一個全面的方法來幫助組織思考網(wǎng)絡(luò)問題。通過事件和案例研究，幫助領(lǐng)導(dǎo)者考慮組織網(wǎng)絡(luò)體驗的事前、事中和事后組成部分。

　　如何建立嵌入式耐久策戰(zhàn)略

　　閱讀新聞，了解其他組織如何處理他們的網(wǎng)絡(luò)事件。只要組織的報道透明，即使是非技術(shù)性新聞也能提供關(guān)于網(wǎng)絡(luò)事件中到底發(fā)生了什么的洞見。被黑客攻擊仍然是一種恥辱。如果組織選擇在被黑客攻擊時對正在發(fā)生的事情和受影響的人保持透明，那么他們可以將自己的事件作為其他領(lǐng)導(dǎo)團(tuán)隊的案例研究。特別是在受到勒索軟件攻擊的情況下，了解一些細(xì)節(jié)很有幫助，比如該公司被收取了多少費用，以及他們是否與攻擊者進(jìn)行了談判。

　　這些都不是新問題。人們對網(wǎng)絡(luò)安全的閱讀和了解越多，領(lǐng)導(dǎo)團(tuán)隊就應(yīng)該對他們在網(wǎng)絡(luò)安全方面的行動有更多的認(rèn)識。希望通過這本書鼓勵更積極的措施，通過將預(yù)防性的想法、行動和過程嵌入到組織運作的各個方面。這允許長期規(guī)劃和更有組織地全面的策略來主動應(yīng)對網(wǎng)絡(luò)安全事件。