对抗网络攻击：组织如何改善网络安全防御

重点内容

• 对手在网络空间的攻击能力不断增强，造成巨大的经济损失。
• 网络安全已不仅仅是IT部门的责任，高层领导需积极参与。
• 慈善机构应评估与对手的网络风险，以及如何应对潜在的网络攻击威胁。
• 使用成熟的框架如MITRE ATT&CK，以提高对抗能力，确保网络防御有效。

不论是国家还是犯罪组织，敌对方在网络能力上的投入持续增加，以实施各种攻击。随着网络攻击的频率和严重性持续上升，网络犯罪的损失预计到2025年可能达到10.5万亿美元
。尽管组织在网络安全上进行了大量投资，敌人仍不断突破防线，数据泄露的平均成本已上升到创纪录的424万美元 。

不幸的是，即使企业能够在财务上超越对手，威胁的影响依旧不会有所变化。现有程序有效性及网络防御人员的工作过度表明，组织必须改变其方法。虽然这看似一项艰巨的任务，但组织可以通过三个问题来从被动应对转变为建立一个战略前瞻的防御体系，在对手达到目标之前进行阻断。

谁推动组织内的变革以确保网络防御有效性？

如今的网络安全环境类似于一种低强度的非对称战争。安全运营团队的工作节奏与军队在战争期间面临的情况类似。因此，尽管公司在网络防御方面投入了大量资源和资金，敌对方依然取得令人遗憾的成功，造成了巨额损失。这些损失还不包括本可以用于创造正面商业成果的机会成本。不幸的是，在如今的网络空间战场上，敌人的能力和训练已经超越了许多公私部门组织的安全有效性。

我们不能将网络安全风险的防御视为只有IT部门或网络安全部门的责任。高层管理人员需要参与这一对话，通过制定数据安全原则，增强组织的应对威胁的韧性。

C-suite及董事会成员不仅需要理解网络安全已成为机遇与负担，还必须认同这一点。它可以为组织提供能力以促进积极的商业成果；然而，在成功的网络攻击发生后，则将会成为严重的负担。高管和董事会需要明白，我们现在处于一个低强度的网络冲突中，网络防御运营已成为商业连续性的重要组成部分。因此，关于当前安全程序和运营有效性的问题至关重要，这是他们的信托责任之一。

执行团队与董事会是否对可接受的网络安全风险达成共识？

敌对方正在大力投资网络操作以实现他们的目标。我们不断看到攻击的速度和严重性在逐年加剧。作为响应，CISO们面临着向董事会解释其网络防御战略的压力。然而，许多企业并没有合适的组织结构或焦点来使领导团队理解如何协调对网络威胁的持续应对。

根据麦肯锡 的报告，网络安全员工通常离CEO有至少两个层级的距离。网络安全团队与C-
suite之间的非正式沟通，如电子邮件，甚至不到一半的时间能够发生。虽然大多数董事会和高管承认网络攻击对其业务构成严重威胁，但他们对如何制定应对这些威胁的策略感到迷茫。

安全团队应当回答一个根本性的问题：我们是否已充分组织和投资以保护我们认为重要的内容？由于典型的CISO需要监控数十种安全控制措施，并还需遵循更多的标准和法规，这并不是一个容易解决的问题。吸引眼球的数据泄露事件频繁发生，并且可能出现的下一个重大攻击导致企业急于购买新的网络安全工具
，但事与愿违，购买新的解决方案并不能万事大吉。此举反而导致工具的分散和复杂性增加，使与高管和董事会的沟通变得极为艰难。

CISO需要对组织的安全控制进行比对手更深入的评估以加强沟通。然后，要有效地与整个执行团队进行沟通，CISO必须投资于那些能够定期衡量他们安全程序表现的解决方案，并提供易于理解的数据指标。通过客观评估安全控制的有效性以及发现安全控制堆