从飓风防范中汲取的网络安全风险管理启示

风险是真实存在的。为了更好地理解网络安全风险，让我们将网络风险与自然界中飓风的风险进行比较。我们可以从佛罗里达的飓风和未命名风暴中汲取教训，并将其应用于网络安全。

网络安全风险管理可能令人望而生畏。有时，它听起来很学术化。你学过标准公式吗？

网络风险 = 威胁 × 漏洞 × 后果

网络风险可能是一个枯燥的话题，涉及许多“假设”。它通常留给安静办公室里的治理和合规专家，但网络风险管理应该是显而易见的、积极的，并涉及整个组织。

为什么风险管理重要

这不是尘封的公式；它是动态的，就像天气一样。

我们没有预料到在佛罗里达州萨拉索塔县不到一个月内会发生三场大风暴。萨拉索塔县、威尼斯市和佛罗里达电力与照明公司擅长分类和准备自然灾害。良好的风险管理拯救了生命和家园。

在阳光之州，我们仍然每天检查天气。你是否定期评估组织的网络安全风险？

下面，我将讨论如何处理网络风险，并提供一些工具来更好地管理网络安全风险。

与风险共存

我们每天都与网络安全风险共存。没有系统是百分之百安全的。风险始终存在。我们无法逃避它。违规、事件、配置错误是不可避免的。毕竟，我们是人。

我们能对风险做什么？

转移

大多数组织都有某种形式的网络保险，但组织可能直到发生重大事件时才知道哪些会被覆盖。或者，当事情变得糟糕时。虽然你的组织将风险转移给保险公司，但作为风险专业人士，你仍然需要采取一些行动步骤：

至少每年阅读一次网络保险政策。了解组织中哪些业务部门负责网络保险政策中定义的行动。
知道如何联系你的保险公司（电子邮件、电话、聊天），以及哪位团队成员负责联系保险公司。
保留政策的离线副本和电话号码。

缓解

你的组织可以通过网络卫生实践（包括补丁管理和漏洞管理）来降低风险。你可以降低风险，但无法完全缓解它。作为网络安全专业人士，如果我们能让高级领导和董事会理解这一概念，我们就为他们提供了巨大的服务。

网络安全是复杂的，网络安全风险的信息有时会在技术细节中丢失。不要让高级领导错过这一信息。我们无法完全防止网络攻击，但可以通过网络卫生大大减少攻击面。要了解更多关于网络卫生的信息，请参阅CIS控制以进行深入讨论（www.cissecurity.org）。

接受并在能力和预算范围内做好准备

风暴袭击10天后，有完整的房屋被埋在沙中，没有水和电。车辆被困在车库内；邻居们甚至无法打开车库门，除非挖开并移除几英寸的沙。市县没有预料到这一点。

你的组织的业务连续性和灾难恢复计划是否解决了网络安全事件，如勒索软件或分布式拒绝服务攻击（DDoS）？当你的数据中心严重受损，无法启动域控制器时，会发生什么？没有目录服务，你的公司能运行多久？

事先优先考虑系统和数据

你不能拥有一切。你的组织必须在风暴（勒索软件攻击）之前优先考虑系统和数据。如果你的数据中心宕机，你的组织是否优先考虑了备用电源或替代数据中心？哪些数据对你的组织核心业务最关键？

预料意外

飓风米尔顿于2024年10月9日星期三晚上8:30左右以3级风暴在佛罗里达州萨拉索塔县的西耶斯塔 Key登陆。那天晚上，萨拉索塔机场的屋顶被吹飞。我当时在Wild West Hackin’ Fest，我的更新登机牌显示我仍然在一个关闭的机场降落。我不得不说服航空公司机场确实没有屋顶，我需要飞往另一个机场。你试过说服航空公司机场没有屋顶吗？

风险工具包

建立一个现实的风险登记册。它不必花哨。电子表格就可以。如果你的数据中心宕机，你能访问风险登记册吗？如果微软宕机呢？
对网络风险直接而准确。不要对高级领导粉饰真相。诚实并为他们提供全貌。
进行桌面演练，即使是极端情况。我们在2017年飓风艾尔玛后了解到，我们可能几周没有电。你的勒索软件事件可能需要几周才能解决。记录经验教训。
优先考虑。只能有一个第一优先级。对你的组织来说，最重要的一件事是什么？制造？电子邮件？电子健康记录？我无法告诉你。你的组织领导必须做出决定并传达它。
记录经验教训。
不要否认网络风险，即使是国家行为者。
在已经有决策疲劳时准备好做出艰难决定。承认你可能会有决策疲劳。寻求可信顾问。
听取可信新闻来源。
为你的团队选择兴趣和专业领域。一个人精通勒索软件，另一个人精通DDoS场景。
使用简单的风险测量工具与业务领导者沟通。每个人都理解红绿灯类比。

最后思考

飓风米尔顿期间，人们被关在家里，没有互联网或电力。他们坐在黑暗中，想知道屋顶是否还在，邻居是否无恙。令人恐惧。

网络风险和事件也可能令人恐惧。但网络事件确实会结束。