當(dāng)前網(wǎng)絡(luò)攻擊在數(shù)量、強(qiáng)度和復(fù)雜性方面持續(xù)增長(zhǎng)。盡管攻擊者在不斷變化，但幾十年來(lái)，企業(yè)領(lǐng)導(dǎo)者卻因采用相同的網(wǎng)絡(luò)風(fēng)險(xiǎn)管理策略而飽受困擾。組織必須學(xué)習(xí)如何擺脫臨時(shí)解決方案并投資于長(zhǎng)期的彈性措施，以在未來(lái)的網(wǎng)絡(luò)經(jīng)濟(jì)中蓬勃發(fā)展。美國(guó)約翰斯·霍普金斯大學(xué)懷廷工程學(xué)院土木與系統(tǒng)工程系和自治保證研究所的助理教授格雷戈里·法爾科（Gregory Falco）與哈佛大學(xué)肯尼迪學(xué)院貝爾弗科學(xué)與國(guó)際事務(wù)中心主任埃里克·羅森巴赫（Eric Rosenbach）合著了《直面網(wǎng)絡(luò)風(fēng)險(xiǎn)》（Confronting Cyber Risk）一書(shū)，提出了“嵌入耐力戰(zhàn)略”這一概念，倡導(dǎo)建立根植于組織的網(wǎng)絡(luò)安全文化，以持續(xù)、系統(tǒng)地應(yīng)對(duì)未來(lái)的網(wǎng)絡(luò)風(fēng)險(xiǎn)。該書(shū)即將在明年2月份由由牛津大學(xué)出版社出版。

　　《直面網(wǎng)絡(luò)風(fēng)險(xiǎn)：網(wǎng)絡(luò)安全的嵌入式耐久性戰(zhàn)略》是一本實(shí)用的領(lǐng)導(dǎo)力指南，概述了改善組織網(wǎng)絡(luò)安全和減輕網(wǎng)絡(luò)風(fēng)險(xiǎn)的新戰(zhàn)略。資深網(wǎng)絡(luò)安全專家Falco和 Rosenbach介紹了嵌入式耐久性戰(zhàn)略，作為網(wǎng)絡(luò)風(fēng)險(xiǎn)管理的系統(tǒng)級(jí)方法，該方法解決了組織風(fēng)險(xiǎn)的相互依賴的組成部分，并使組織為長(zhǎng)期不可避免的網(wǎng)絡(luò)威脅做好準(zhǔn)備。作者使用從SolarWinds到Colonial Pipeline攻擊的真實(shí)示例，擴(kuò)展到硬件和軟件之外，為組織提供了一個(gè)經(jīng)過(guò)深思熟慮的十步流程，以解決網(wǎng)絡(luò)攻擊中常見(jiàn)的同時(shí)發(fā)生的運(yùn)營(yíng)、聲譽(yù)和訴訟風(fēng)險(xiǎn)。作者斷言，未來(lái)的“密碼”可助力商業(yè)領(lǐng)袖應(yīng)對(duì)下一代網(wǎng)絡(luò)風(fēng)險(xiǎn)挑戰(zhàn)。

　　清晰而翔實(shí)的《直面網(wǎng)絡(luò)風(fēng)險(xiǎn)》為CEO和網(wǎng)絡(luò)新手等提供了具體指導(dǎo)，指導(dǎo)他們?nèi)绾螌?shí)施尖端戰(zhàn)略，以在不斷變化的網(wǎng)絡(luò)風(fēng)險(xiǎn)環(huán)境中降低組織對(duì)惡意網(wǎng)絡(luò)攻擊的系統(tǒng)性風(fēng)險(xiǎn)。

　　網(wǎng)絡(luò)安全不單是一個(gè)IT問(wèn)題

　　不要把網(wǎng)絡(luò)安全當(dāng)成一個(gè)簡(jiǎn)單的IT問(wèn)題，而是一個(gè)高管和領(lǐng)導(dǎo)的問(wèn)題。網(wǎng)絡(luò)安全和網(wǎng)絡(luò)保護(hù)通常被認(rèn)為是一種反應(yīng)性措施，但組織需要開(kāi)始將網(wǎng)絡(luò)保護(hù)視為一種規(guī)劃方式。與財(cái)務(wù)規(guī)劃類似，網(wǎng)絡(luò)安全應(yīng)納入日常業(yè)務(wù)。它不是一個(gè)附加組件；它應(yīng)該嵌入到組織中，這就是為什么作者使用“嵌入耐力戰(zhàn)略”這個(gè)術(shù)語(yǔ)。這個(gè)詞表明，把網(wǎng)絡(luò)安全視為一種耐力練習(xí)。即使在組織中嵌入了措施，網(wǎng)絡(luò)安全問(wèn)題也會(huì)在其存在的整個(gè)過(guò)程中發(fā)生。從長(zhǎng)期馬拉松耐力的角度考慮策略和風(fēng)險(xiǎn)緩解是很重要的。

　　為什么嵌入式耐力策略很重要？

　　在問(wèn)題出現(xiàn)時(shí)解決問(wèn)題可能會(huì)花費(fèi)組織更多的錢(qián)，因?yàn)樗麄儗⒒ㄥX(qián)請(qǐng)顧問(wèn)來(lái)解決問(wèn)題。使用全面的方法意味著改變看待這個(gè)挑戰(zhàn)的方式，將其視為持續(xù)的而不是一個(gè)單一的實(shí)例。當(dāng)長(zhǎng)期預(yù)防成為組織文化的一部分時(shí)，就需要領(lǐng)導(dǎo)者全面考慮潛在事件的每一個(gè)方面。這種預(yù)先考慮使他們能夠迅速行動(dòng)，同時(shí)也能在遭遇襲擊時(shí)保持組織的完整性。

　　了解攻擊你的人是誰(shuí)，他們想要什么，將有助于組織制定他們的策略。您的攻擊者想要在系統(tǒng)中制造混亂嗎？他們要現(xiàn)金嗎？他們是想竊取你知識(shí)產(chǎn)權(quán)的競(jìng)爭(zhēng)對(duì)手嗎？通過(guò)回答這些問(wèn)題和其他問(wèn)題，公司可以找到在攻擊期間和之后采取行動(dòng)的方法。

　　作者提出了一個(gè)全面的方法來(lái)幫助組織思考網(wǎng)絡(luò)問(wèn)題。通過(guò)事件和案例研究，幫助領(lǐng)導(dǎo)者考慮組織網(wǎng)絡(luò)體驗(yàn)的事前、事中和事后組成部分。

　　如何建立嵌入式耐久策戰(zhàn)略

　　閱讀新聞，了解其他組織如何處理他們的網(wǎng)絡(luò)事件。只要組織的報(bào)道透明，即使是非技術(shù)性新聞也能提供關(guān)于網(wǎng)絡(luò)事件中到底發(fā)生了什么的洞見(jiàn)。被黑客攻擊仍然是一種恥辱。如果組織選擇在被黑客攻擊時(shí)對(duì)正在發(fā)生的事情和受影響的人保持透明，那么他們可以將自己的事件作為其他領(lǐng)導(dǎo)團(tuán)隊(duì)的案例研究。特別是在受到勒索軟件攻擊的情況下，了解一些細(xì)節(jié)很有幫助，比如該公司被收取了多少費(fèi)用，以及他們是否與攻擊者進(jìn)行了談判。

　　這些都不是新問(wèn)題。人們對(duì)網(wǎng)絡(luò)安全的閱讀和了解越多，領(lǐng)導(dǎo)團(tuán)隊(duì)就應(yīng)該對(duì)他們?cè)诰W(wǎng)絡(luò)安全方面的行動(dòng)有更多的認(rèn)識(shí)。希望通過(guò)這本書(shū)鼓勵(lì)更積極的措施，通過(guò)將預(yù)防性的想法、行動(dòng)和過(guò)程嵌入到組織運(yùn)作的各個(gè)方面。這允許長(zhǎng)期規(guī)劃和更有組織地全面的策略來(lái)主動(dòng)應(yīng)對(duì)網(wǎng)絡(luò)安全事件。