从飓风应对中汲取的网络安全风险管理启示

风险是真实的。为了更好地理解网络安全风险，让我们将网络风险与自然界飓风风险进行对比。我们可以从佛罗里达的飓风和未命名风暴中汲取经验，并将其应用于网络安全领域。

网络安全风险管理可能令人望而生畏，有时听起来很学术化。你是否学过标准公式？
网络风险 = 威胁 × 漏洞 × 后果

网络风险可能是一个枯燥的话题，涉及许多“假设”情景。它通常被留给在安静办公室里的治理和合规专家，但网络风险管理应该是显而易见的、主动的，并涉及整个组织。

为什么风险管理重要

这不是陈旧的公式；它是动态的，就像天气一样。
在佛罗里达萨拉索塔县，我们没想到在一个月内遭遇三场重大风暴。萨拉索塔县、威尼斯市和佛罗里达电力照明公司擅长对自然灾害进行分类和准备。良好的风险管理拯救了生命和家园。

在阳光之州，我们仍然每天查看天气。你是否定期评估组织的网络安全风险？

下面，我将讨论如何处理网络风险，并提供一些工具来更好地管理网络安全风险。

与风险共存

我们每天都与网络安全风险共存。没有系统是百分之百安全的。风险始终存在，我们无法逃避。漏洞、事件、配置错误是不可避免的。毕竟，我们是人。

我们能对风险做什么？

转移

大多数组织都有某种形式的网络保险，但组织可能直到发生重大事件时才知道保险覆盖范围。或者，当事情变得糟糕时。虽然你的组织将风险转移给保险公司，但作为风险专业人士，你仍然需要采取一些行动步骤：

至少每年阅读一次网络保险政策。了解组织中哪些业务部门负责保险政策中定义的行动。
知道如何联系保险公司（电子邮件、电话、聊天），以及哪位团队成员负责联系保险公司。
保留政策的离线副本和电话号码。

缓解

组织可以通过网络卫生实践（包括补丁管理和漏洞管理）来降低风险。你可以降低风险，但无法完全消除它。作为网络安全专业人士，如果我们能让高级领导层和董事会理解这一概念，我们就为他们提供了巨大服务。

网络安全是复杂的，网络安全风险的信息有时会在技术细节中丢失。不要让高级领导层错过这一信息。我们无法完全防止网络攻击，但可以通过网络卫生大大减少攻击面。要了解更多关于网络卫生的信息，请参阅CIS控制措施以进行深入讨论（www.cissecurity.org）。

接受并在能力和预算范围内做好准备

风暴袭击10天后，完整的房屋被埋在沙中，没有水和电。车辆被困在车库内；邻居们甚至需要挖掘并清除几英寸的沙子才能打开车库门。市县没有预料到这一点。

组织的业务连续性和灾难恢复计划是否解决了网络安全事件，如勒索软件或分布式拒绝服务攻击（DDoS）？当你的数据中心严重受损，无法启动域控制器时会发生什么？没有目录服务，你的公司能运行多久？

事先优先考虑系统和数据

你无法拥有一切。组织必须在风暴（勒索软件攻击）之前优先考虑系统和数据。如果你的数据中心宕机，组织是否优先考虑了备用电源或替代数据中心？哪些数据对组织的核心业务最关键？

预期意外

飓风米尔顿于2024年10月9日星期三晚上8:30左右以3级风暴在佛罗里达萨拉索塔县的西耶斯塔 Key登陆。那天晚上，萨拉索塔机场的屋顶被吹飞。我当时在Wild West Hackin’ Fest，我的更新登机牌显示我仍然在一个关闭的机场降落。我不得不说服航空公司机场确实没有屋顶，我需要飞往另一个机场。你试过说服航空公司机场没有屋顶吗？

风险工具包

建立现实的风险登记册。它不必花哨，电子表格就可以。如果你的数据中心宕机或微软服务中断，你能访问风险登记册吗？
对网络风险直接而准确。不要向高级领导层粉饰真相，要诚实并提供全貌。
进行桌面演练，即使是极端情况。我们在2017年飓风艾尔玛后了解到，我们可能几周没有电力。你的勒索软件事件可能需要几周才能解决。记录经验教训。
优先考虑。只能有一个第一优先级。对你的组织来说，最重要的一件事是什么？制造？电子邮件？电子健康记录？我无法告诉你。组织的领导必须做出决定并传达。
记录经验教训。
不要否认网络风险，即使是国家行为者。
在已经决策疲劳时准备好做出艰难决定。承认你可能决策疲劳，寻求可信顾问。
听取可信新闻来源。
为团队选择兴趣和专业领域。一个人精通勒索软件，另一个人精通DDoS场景。
使用简单的风险度量与业务领导者沟通。每个人都理解红绿灯类比。

最后思考

飓风米尔顿期间，人们被关在家中，没有互联网或电力。他们坐在黑暗中，想知道屋顶是否还在，邻居是否无恙。这很可怕。

网络风险和事件也可能令人恐惧。但网络事件确实会结束。