2022-03-02我们可以从挑战者灾难中学到什么关于网络安全的知识?一切。

我们可以从挑战者灾难中学到什么关于网络安全的知识?一切。

了解您的组织面临的潜在威胁是现代风险管理的重要组成部分。它涉及预测和评估影响风险的所有因素。流程、程序和投资都可以增加、最小化甚至消除风险。

另一个因素是人的因素。很多时候,在一个组织内,存在一种文化,大量的历史数据讲述一个故事,但管理层相信一些完全不同的东西。这种“认知失调”可能导致过分强调和依赖近期数据和/或经验,并低估长期统计分析。

也许没有比1986年挑战者号航天飞机灾难更好的例子了,它现在作为风险管理不当的案例研究。当年 1 月,挑战者号在发射后 73 秒解体,原因是其中一个火箭助推器中的垫圈(称为 O 形环)失效。虽然灾难的物理原因是由 O 形环的故障引起的,但由此产生的调查事故的罗杰斯委员会发现,美国宇航局未能正确识别“管理程序和技术设计中的缺陷,这些缺陷如果得到纠正,可能会阻止挑战者的悲剧。”

尽管可追溯到1977年的有力证据表明,O 形环是一种有缺陷的设计,在某些条件/温度下可能会失效,但 NASA 管理层和火箭制造商 Morton Thiokol 都没有对有缺陷的接头设计带来的危险做出充分反应。他们没有重新设计接头,而是将问题定义为“可接受的飞行风险”。在之前 24 次成功的航天飞机飞行过程中,NASA 管理层建立了一种“安全文化”,尽管研究和开发提供了大量数据和关于 O 形环的警告,但这种文化淡化了与飞行航天飞机相关的技术风险(研发)工程师。

正如美国物理学家理查德·费曼 (Richard Feynman) 在谈到这场灾难时所说:“对于成功的技术,现实必须优先于公共关系,因为大自然是不会被愚弄的。”

当涉及到网络安全时,从来没有说过更真实的话。高管人员需要停止评估和实施满足最低合规性的网络安全战略和解决方案,并建立“可接受风险”文化,并开始管理现实世界的风险——由硬数据支持的风险。

风险管理和网络安全

对您的组织的网络攻击威胁不再是是否知道的问题,而是何时,以及C-Suite高管知道的问题。根据 C-Suite Perspectives: Trends in the Cyberattack Landscape, Security Threats and Business Impacts,96% 的高管担心混合计算环境导致的网络漏洞和安全风险。管理风险要求组织在风险和潜在风险出现时对其进行计划并迅速做出反应。网络安全也不例外。对于任何组织,风险可以分为四个基本类别:

挑战者号灾难突出了所有这四个风险类别。以战略风险为例。Morton Thiokol的工程师表达了担忧,并提供了有关 O 形圈在发射前几年和发射前几天的性能数据,并表示应该推迟发射。美国宇航局迫于压力要启动已经推迟的任务,并受到之前 24 次成功的航天飞机飞行的鼓舞,这导致他们对失败的现实视而不见,迫使 Morton Thiokol 提供不同的建议。Morton Thiokol 管理层决定将组织目标置于硬数据支持的安全问题之前。提出了发射建议,导致载人太空探索中最灾难性的事件之一。

这个战略风险的例子可以完美地类比实施网络安全战略和解决方案的组织。有无数高调的网络攻击和数据泄露的例子,其中高层管理人员在网络漏洞之前得到警告,但没有采取任何行动来防止即将发生的灾难。臭名昭著的2018年 Panera Bread 数据泄露就是这样一个例子。Facebook 是另一个。其平台运营经理在 2011 年至 2012 年期间警告这家社交科技巨头的管理层实施审计或执行其他机制,以确保从社交网络中提取的用户数据不会被第三方开发人员和/或系统滥用。这些警告显然被忽略了。

那么为什么这种情况会不断发生呢?DDoS和 WAF 缓解解决方案的实施通常涉及组织内的三个关键组件:管理、安全团队/SOC 和合规性。尽管安全团队提供了大量的硬数据,表明组织当前容易受到攻击,或者没有为最新一代的攻击媒介做好准备,但管理层通常会过分强调近期的安全结果/经验;他们感到安全的是,该组织迄今为止从未成为成功网络攻击的受害者。前面提到的 Facebook 故事就是一个完美的例子:他们允许历史覆盖平台经理提供的有关新安全风险的硬数据。

强调这种“认知失调”的是合规团队,他们经常寻求仅基于满足最低合规标准的复选框功能来评估DDoS 缓解解决方案。或者,该战略还推动了一种成本节约方法,该方法在组织内产生短期财务节约,该组织通常将网络安全视为相对于其他战略计划(如移动性、物联网和云计算)的事后考虑。

最终结果?组织不是在管理现实世界的风险,而是在管理“昨天的”风险,从而使自己容易受到新的攻击媒介、物联网僵尸网络漏洞、网络犯罪分子和其他几周甚至几天前不存在的威胁的攻击。

网络攻击的真实成本

要了解这对组织的长期成功有多么不利,需要掌握网络攻击的真实成本。可悲的是,这些数据点通常与上述关于漏洞的统计数据一样不被理解或忽视。网络攻击的成本可以通过四个风险类别进行映射:

[if !supportLists]· [endif]战略风险:据40%的高管称,网络攻击的平均成本超过 100 万美元/欧元。5% 的人估计这一成本超过 2500 万美元/欧元。

[if !supportLists]· [endif]声誉风险:网络攻击后,客户流失率可能会增加多达30%。此外,因数据泄露而失去超过 4% 客户的组织的平均总成本为 510 万美元。此外,41% 的高管报告称,客户在数据泄露后对其公司采取了法律行动。雅虎和 Equifax 数据泄露诉讼是两个备受瞩目的例子。

[if !supportLists]· [endif]产品风险:知识产权委员会估计,假冒商品、盗版软件和窃取的商业机密每年给美国经济造成6000亿美元的损失。

[if !supportLists]· [endif]治理风险:与数据泄露相关的“隐藏”成本包括保险费增加、信用评级降低和商品名称贬值。在宣布数据泄露后, Equifax 被华尔街贬值40 亿美元。

保护客户体验,管理风险

只有通过识别组织每天面临的新风险并制定计划将其最小化,其高管才能为公司的成功奠定基础。就航天飞机计划而言,大量明确表明存在不可接受的飞行风险的数据因满足运营目标的需要而被搁置一旁。可以从1986年 1 月的那个决定性的日子中吸取哪些教训并将其应用于网络安全?首先,这场灾难突出了管理风险的五个关键步骤。

就网络安全而言,这意味着执行领导层必须权衡其网络安全团队、合规团队和高层管理人员的意见,并使用数据来识别漏洞和成功缓解漏洞的要求。在数字时代,网络安全必须被视为一项持续的战略举措,不能仅仅委托给合规性。领导层必须充分权衡网络攻击/数据泄露对组织造成的潜在成本与实施正确安全策略和解决方案所需的资源。最后,如果正确理解,风险实际上可以转化为竞争优势。在网络安全方面,它可以用作与需要快速网络性能、响应式应用程序和安全客户体验的消费者的竞争优势。

那么,在面临新的安全威胁、预算紧张、网络安全专业人员短缺以及需要保护日益多样化的基础设施的情况下,高管们应该如何实现这一目标呢?关键是为企业及其客户创造一个安全的环境。

根据C-Suite Perspectives: Trends in the Cyberattack Landscape, Security Threats and Business Impacts,研究表明,为了营造这种氛围,高管必须愿意接受新技术、对新意识形态持开放态度并接受变革。致力于掌握这一不断发展的威胁的高管必须打破组织中存在的孤岛,以评估整个企业的风险维度并从整体上解决这些风险。接下来是平衡上述投资与风险等式。在决定将资源投资于何处以推动公司向前发展时,所有高管都将面临艰难的选择。

根据同一份报告,十分之四的受访者认为基础设施复杂性的增加、数字化转型计划、人工智能的集成和向云的迁移是对安全规划和预算分配造成压力的事件。

赌注很高。安全威胁会严重影响公司的品牌声誉,导致客户流失、运营效率降低和诉讼。高管人员必须吸取挑战者号航天飞机灾难的教训:停止评估和实施满足最低合规性的网络安全战略和解决方案,并开始通过信任数据、抛开近期经验/“直觉”来应对现实世界的风险并了解网络攻击的真实成本。那些愿意接受技术和变革并优先考虑网络安全的高管将赢得 21 世纪消费者的信任和忠诚。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 206,723评论 6 481
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 88,485评论 2 382
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 152,998评论 0 344
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 55,323评论 1 279
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 64,355评论 5 374
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 49,079评论 1 285
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 38,389评论 3 400
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,019评论 0 259
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 43,519评论 1 300
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,971评论 2 325
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,100评论 1 333
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,738评论 4 324
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 39,293评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,289评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,517评论 1 262
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 45,547评论 2 354
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,834评论 2 345

推荐阅读更多精彩内容