重构风险运营：构建业务协同的网络安全战略

随着网络风险持续升级，许多组织面临网络安全投资与实际风险降低之间的脱节。尽管安全预算增加、正式网络风险计划实施以及新框架的采用，最新数据显示这些努力往往未能降低风险状况。

根据Dark Reading发布的《Qualys网络风险状况报告》，71%的组织报告网络风险水平正在上升（51%）或保持稳定（20%），仅有6%的组织风险水平下降。虽然近半数（49%）组织拥有正式的网络风险计划，但整个行业仍处于早期成熟阶段。值得注意的是，43%的这些计划实施时间不超过两年，19%仍处于规划阶段。

不到三分之一的网络风险计划与业务目标保持一致，这揭示了关键的不协调问题。这通常源于工具和团队孤岛、优先级冲突以及统一可见性有限等挑战。因此，尽管网络风险日益成为业务问题，大多数组织仍将其视为技术挑战，导致分散且低效的风险管理，使企业在加速数字化转型和AI驱动威胁的环境中处于脆弱状态。

缺失的指标：将业务背景融入网络风险管理

如果风险管理不锚定在业务目标上，组织就会陷入"网络风险打地鼠"的困境，在没有战略框架的情况下应对威胁。数据显示，近五分之一组织仍依赖CVSS等单一分数漏洞排名，忽略了业务运营的细微差别。例如，CVSS评分为10的漏洞似乎需要立即修补或解决，但如果该漏洞仅存在于隔离服务器上，可能不会对业务构成实质性风险。只有在考虑对业务健康影响程度的情况下，风险才能被准确评估。

反应式、合规驱动的方法以及传统的一刀切方法（如静态评估、孤岛遥测和基于CVSS的优先级排序）在当今网络风险环境中效果不佳。这些方法无法评估现实世界的影响，造成了业务协同方面的差距。

高管在安全讨论中需要的不仅仅是漏洞列表。他们希望了解面临风险的内容以及如何保护这些内容。这包括理解更广泛的影响，如运营中断、监管处罚和声誉损害。

这里的关键要点是，风险优先级排序必须是业务对话，而不是技术对话。这需要让非安全利益相关者（财务、运营和董事会）参与网络风险讨论。扩展这些对话使组织能够超越传统的上下文风险评分，并根据资产价值、可利用性和整体业务影响来确定优先级。

资产可见性和上下文优先级排序对于有效的风险缓解至关重要。然而，虽然90%的组织向董事会报告网络风险发现，但只有18%使用综合风险情景，14%将风险报告与财务量化挂钩。业务利益相关者的参与时间不到一半，只有22%的网络风险讨论包括财务团队。

因此，安全团队难以将风险数据转化为易于理解的业务见解，造成了沟通障碍，使风险缓解复杂化。

ROC在更智能风险优先级排序中的作用

为了将业务背景融入风险管理，具有前瞻性的安全团队正在采用Qualys风险运营中心（ROC）等模型。该框架在业务风险背景下统一检测、评估和缓解，用强调可利用性、资产重要性和下游业务影响的上下文评分取代严重性优先模型。

ROC作为集中式跨职能中心，将网络安全与运营和财务风险整合在一起。通过将风险要素整合到一个平台中，组织可以简化持续威胁暴露管理，以财务术语量化网络风险，并协调实时优先级排序和修复。

通过打破安全、IT、财务和合规之间的孤岛，ROC促进了企业范围内的协作和统一的风险缓解方法。Qualys的ROC为利益相关者提供共享语言和实时见解，使能够根据每个组织独特的风险状况和优先级进行主动风险缓解。它确保修复优先考虑业务影响而非技术严重性。

ROC框架标志着从分散工具向全面风险缓解策略的转变。它专注于组织在违规发生前的风险暴露。在2025年及以后，采用这种模式的组织将更具韧性、资本效率和运营效率。

网络领导者的战略要点

随着网络犯罪分子利用AI和机器学习进行更复杂的攻击，风险比以往任何时候都高。当今的网络风险环境要求从合规驱动的清单转向上下文感知策略。企业必须优先考虑最关键的风险，而不仅仅是最明显的风险。

网络风险管理的未来在于将上下文、协作和网络安全作为核心业务功能整合的策略。这需要文化转变：安全领导者必须用与业务相关的见解取代技术行话，传达网络安全的现实影响，以获得高管层和董事会的支持。

随着威胁的发展，基于业务影响确定风险优先级的安全领导者将处于最佳位置来缓解这些威胁。使用ROC等框架使安全运营与业务优先级保持一致，使CISO能够做出明智的战略决策，帮助在真正降低风险方面取得进展。