如何通过评估网络风险提升网络弹性

Armor Defense公司的GRC和网络安全负责人Miguel Clarke分享了网络弹性是一种思维方式，而非单纯的技术解决方案。

Cyber Security Hub与Miguel Clarke（Armor Defense的GRC和网络安全负责人，前联邦调查局(FBI)特工主管）就企业如何有效评估网络风险并提高网络弹性进行了对话。

Cyber Security Hub：什么是网络风险管理？为什么它对有效的网络安全如此重要？

Miguel Clarke：网络风险管理实际上是发现所有会影响业务的因素的过程。风险是你期望发生的事情与实际发生的事情之间的差距，而且通常是不利的。因此，你正在努力缩小期望与实际事件展开之间的差距。这就是你的风险管理。

在这个过程中，你应该考虑哪些风险可以完全避免。例如，今天早上我穿着白衬衫喝咖啡。与其穿上罩衫之类的东西，我只是脱掉了衬衫，这样我就可以完全避免这种风险。你必须开始思考如何管理这种风险并减轻影响。继续这个类比，如果我真的把咖啡洒在衬衫上，我有什么可用的工具？我有多少时间？你还必须考虑什么是你可以接受的风险——例如，我不想用吸管喝咖啡，所以我会把咖啡放在防溢杯里。

风险管理是审视可能影响业务的整个场景，并真正尝试最小化该风险。

CSH：网络风险管理如何帮助组织防范新兴威胁，例如勒索软件？

MC：我对此有点不同的看法。

在风险管理中，我们非常注重避免风险、减轻和管理风险，我们的大部分努力都围绕保护展开。当保护是你的策略时，你必须始终100%正确。你没有其他可以做的事情。回到我们洒咖啡的类比，我有一套防污渍的西装，这是另一种减轻风险的方式，而不是穿白衬衫。如果我把咖啡洒在白衬衫上，我需要制定一个应对计划。

可能有些风险我根本无法避免，所以也许我必须选择一个不同的设置，让我对污渍的容忍度更高一些。目前企业关注的大部分事情都是提供更好的保护，但不幸的是，企业永远无法100%地防范网络安全事件。我认为我们能够提供帮助的方式是开始将部分努力集中在弹性上。

总会有勒索软件，甚至还有尚未发明的下一个网络威胁。那么，作为一家企业，我需要做什么？嗯，我需要看到问题，理解问题，然后能够迅速做出反应。因此，我们需要投入更多精力去观察和理解。这就是公司可能会提出某种扩展检测和响应(XDR)的地方，这将使他们能够看到网络中发生的情况，并将其置于上下文中，以便更好地理解威胁。这将使他们能够启动他们应对该威胁的任何计划。

这就是我认为我们能够提供帮助的方式，即让人们进入这种思维模式。保护是其中的一部分，响应是另一部分，另一部分是在这两者之间平衡你的努力、时间和优先级。风险管理能为组织做的最重要的事情是说’这些是你将面临的威胁，在这些威胁结束时，如果你做了这些事情，你就会没事’。

对我来说，这就是风险管理的意义所在。它让你能够说，‘如果这些事情发生了，如果我做了这些事情，它会很痛苦，但我会没事的。最重要的是，业务将继续盈利运营’。

CSH：你认为网络风险管理策略中最重要的要素是什么？

MC：我认为这取决于组织固有的能力。对于一家拥有大量知识产权并利用其赚钱的小公司来说，网络风险管理的重要方面将与拥有更多资源的大公司不同。

所以，我认为你必须审视你的组织和自己的能力，因为对你来说容易的事情对别人来说可能很困难。如果我们从运动员的角度来思考，马拉松运动员可能不擅长推铅球。

网络风险策略也是如此。你发现自己所处的条件很大程度上取决于你作为一个组织固有的能力。如果我们看看孙子的《孙子兵法》，它说你必须先了解自己，然后了解你的对手，然后了解冲突发生的地点。当你做了这三件事，你就能说出最重要的因素是什么。例如，如果你生产实体产品，那么对你来说重要的可能是保护你的实体库存和供应链。

你的风险状况将与，比如说，一家在线赌博公司看起来非常不同，如果他们无法访问互联网，他们就赚不到钱，并且还会遭受声誉损失，因为业务完全在线，而他们已经被迫下线。

你必须将需要抵御网络攻击的恢复能力的重要性与组织的能力相匹配。

CSH：网络安全团队如何创造最佳环境来有效评估和管理他们在该环境中可能看到的网络风险？

MC：任何经历过车祸的人，都不会在起床喝咖啡前躺在床上说，‘我想我今天可能会出车祸’。

像这样的悲剧总是让我们感到意外。我认为有效应对这种意外的能力是团队能做的最重要的事情。意外事件总是发生。有效应对这种意外的能力是团队能做的最重要的事情，而优雅恢复的能力才是关键。

如果你有一个组织，拥有一个非常好的网络威胁缓解策略计划，并且预先做出了所有正确的选择，那么人们对它遭受网络攻击的反应会有所不同。

你可以通过比较公司在经历网络安全事件时的方法来看出这一点。例如，PayPal在2023年初发生数据泄露，并发布通知称有34,942个账户受到影响，而美高梅度假村最近遭受网络攻击，该组织表示‘我们不太确定影响范围’。

那么，你告诉我：如果你必须投资，你实际上更愿意把钱投到哪里？是投给一个说‘这确切是影响范围，这些是受影响的特定账户数量，这是如何发生的，这些是我们采取的措施’，并清晰列出所有信息的组织，还是一个不采取这些步骤的组织？

目标是达到一个点，公司可以说：‘这是我们的计划，这是我们处理的方式。这是我们预期的。我们预期这一点是合理的，我们为这一天进行了演练。我们能够执行这个计划的85%，所以下次我们将尝试将其提高到90%或95%。’

这与我们在新闻中听到的大多数违规事件大不相同。

CSH：网络安全团队在尝试评估和缓解网络风险时面临的最大挑战是什么？你认为如何克服这些挑战？

MC：评估网络风险的最大挑战是我们总是低估它。影响几乎总是比估计的更糟。我们很多人是专业的风险缓解者和管理者，但我们仍然会出错。回到美高梅度假村的网络攻击，我拒绝相信美高梅认为他们的勒索软件漏洞会让他们损失100亿美元，包括收入损失、估值损失以及市场和客户信心的丧失。

对我来说，这是最大的问题。那里存在巨大的差距。尽管有很多关于数据泄露成本的数据，但它们仍然都严重低估了它。所以对我来说，我认为这是最大的领域。

CSH：看看这类网络攻击，你认为它们是否会因为其巨大的范围和造成的破坏而激励恶意行为者？

MC：我不同意，我认为他们已经受到激励了。行业专家估计，网络犯罪经济预计在2023年将创造8万亿美元。你需要不要把它看作是一个网络犯罪问题或一个组织的问题。它本身就是一个经济体，就像任何其他组织、任何其他公司一样，并且作为一个经济体，按GDP计算是世界第三大经济体。

它比全球毒品贸易的总价值还要高，后者预计价值在4260亿美元到6520亿美元之间。如果你看看每一次自然灾害的总成本——2022年为3130亿美元——它仍然是这个数字的10倍多。

CSH：你认为哪些威胁或技术将构成最大的网络风险？组织应如何为其做准备？

MC：我在这里听起来像张破唱片，因为其他所有人都在说‘这些是会产生最大影响的技术’，但由于我在FBI的时间，我倾向于不太考虑技术，我不考虑武器。每当我们有一个坏人时，我们的工作就是阻止那个坏人。所以，我不考虑他们是否有手枪或刀，因为我的重点是阻止坏人，而不是他的装备。

我们花了很多时间谈论这些行为者使用的工具，无论是人工智能(AI)、勒索软件、黑客攻击、国家安全威胁等等。为了对这种威胁产生影响，我们必须专注于弹性和你所能容忍的，然后理解你能承受什么以及在什么条件下你能承受它们。然后你阻断那些会影响你网络弹性的因素，并在技术上做任何需要做的事情来阻断这些事情。

你还需要能够观察你的问题，这涉及到查看你的XDR能力，并努力能够理解它们。所以，你将有一个安全运营中心(SOC)，然后这将使你能够查看安全自动化、编排和事件管理以及需要到位的策略和程序等方面。这包括发生网络安全事件时该怎么做。你需要有一个计划并演练那个计划。

我们无法控制外面有多少坏人或有多少人意图不良，但我们可以让自己变得有弹性。

这些是我认为我们需要关注的事情，比如将我们的一部分努力转向培养弹性思维，并更加强调企业如何从事件中恢复。如果我们都这样建立网络弹性，它将成为网络犯罪经济的解药。它不会是一种[单一的]技术，它将是一种思维方式。它将是为培养技能留出时间，以便你可以发展一套能让你保护自己的技能集。

最后，你将能够查看那些将增强你技能的工具，以便你能够与思维方式一起执行你的技能。

Miguel Clarke的回答经过编辑，力求简洁明了。