网络安全已成为全球组织的首要任务,但情况并非一直如此。
就在几年前,许多企业还对重大网络威胁毫无准备。2017年发生的WannaCry勒索软件攻击堪称最引人注目的事件之一,该病毒利用系统漏洞迅速蔓延全球,将数据作为人质勒索赎金。这场攻击利用了美国国家安全局(NSA)最初开发的漏洞利用程序,影响了跨行业超过20万台计算机系统。
不久之后,NotPetya攻击来袭,彻底抹除了计算机中的数据。尽管此前刚刚经历过警醒,许多组织仍猝不及防。
三种保护技术与数据的方法
网络攻击事件在2024年持续激增,其中包括网络钓鱼、恶意软件和勒索软件等攻击形式。根据Keeper Security的最新研究显示,高达92%的IT负责人表示当前网络攻击的发生频率已超过2023年。这一增长趋势凸显了日益严峻的威胁态势,企业亟需加强网络安全防御体系。
1. 量化网络风险量化网络风险
将风险转化为财务术语有助于领导层理解潜在影响。正如我们所见,网络威胁正日益加剧。IBM 2024年报告估计,数据泄露事件的平均成本现已攀升至488万美元。
企业再也不能对网络安全采取被动应对策略。计算潜在损失能清晰揭示数据泄露对企业利润的影响程度,从而推动企业加大投入以构建更强大的防御体系。
2. 使网络风险与组织战略保持一致
网络风险管理策略应与组织整体风险框架相融合。风险管理学会将风险偏好定义为"组织为实现战略目标而愿意承担的风险规模与类型"。明确企业的"风险偏好",可确保防御措施与战略目标保持一致。
监管机构正敦促企业正式制定网络风险战略,该战略有助于管理层评估其是否具备充分抵御不断演变的网络威胁的能力。
通过这种方式处理网络风险管理,使其能够纳入公司整体风险框架,从而判断风险暴露是否可承受或可接受。
3. 定期评估网络防御体系与供应商风险
网络风险评估必须贯穿所有部门(包括第三方供应商)的持续过程。这包括测试网络安全、扫描漏洞以及评估安全控制措施的有效性。随着供应链攻击日益频繁,应密切监控第三方风险。通过频繁的内部外部审计配合桌面演练,可帮助团队在事件发生时快速有效地响应。
正如《网络风险战略部署指南》所述,企业有必要密切监控各部门的网络风险状况。
奥纬咨询
首先,通过网络风险评估和整体安全评估识别风险。其次,应开展第三方审查;根据安全要求评估安全控制功能,并评估内部及第三方对安全的影响。最后,评估业务连续性与灾难恢复计划的整体有效性,以及在需要整改时策略的完善程度。
4. 持续测试网络事件响应
您的事件响应计划必须全面且经过频繁测试,才能真正具备韧性。这包括模拟各种攻击场景、明确定义部门职责,并定期演练危机沟通流程。桌面演练有助于利益相关者理解网络风险的细微差别并提升应急准备。然而,随着网络威胁不断演变,您的计划必须定期更新和强化,以确保其持续有效。
在当今环境中,网络攻击不仅是IT问题,更是企业运营问题。通过量化风险、将网络安全与战略目标相融合、并严格测试应急预案,企业能够更有效地抵御潜在干扰,减轻安全漏洞造成的严重后果。
编者按: 本文章最初发表在 Preparis 业务连续性软件网站上。2024 年 10 月,Mitratech 收购了业务连续性规划和应急响应解决方案的领先供应商Preparis。对内容进行了更新,以反映 Mitratech 扩大的产品范围、行业进步和监管动态。
