我們可以從挑戰(zhàn)者災難中學到什么關(guān)于網(wǎng)絡(luò)安全的知識禁筏？一切持钉。

了解您的組織面臨的潛在威脅是現(xiàn)代風險管理的重要組成部分。它涉及預測和評估影響風險的所有因素篱昔。流程每强、程序和投資都可以增加、最小化甚至消除風險州刽。

另一個因素是人的因素空执。很多時候，在一個組織內(nèi)穗椅，存在一種文化辨绊，大量的歷史數(shù)據(jù)講述一個故事，但管理層相信一些完全不同的東西匹表。這種“認知失調(diào)”可能導致過分強調(diào)和依賴近期數(shù)據(jù)和/或經(jīng)驗门坷，并低估長期統(tǒng)計分析。

也許沒有比1986年挑戰(zhàn)者號航天飛機災難更好的例子了袍镀，它現(xiàn)在作為風險管理不當?shù)陌咐芯磕觥．斈?1 月，挑戰(zhàn)者號在發(fā)射后 73 秒解體流椒，原因是其中一個火箭助推器中的墊圈（稱為 O 形環(huán)）失效敏簿。雖然災難的物理原因是由 O 形環(huán)的故障引起的，但由此產(chǎn)生的調(diào)查事故的羅杰斯委員會發(fā)現(xiàn)宣虾，美國宇航局未能正確識別“管理程序和技術(shù)設(shè)計中的缺陷惯裕，這些缺陷如果得到糾正，可能會阻止挑戰(zhàn)者的悲劇绣硝◎呤疲”

盡管可追溯到1977年的有力證據(jù)表明，O 形環(huán)是一種有缺陷的設(shè)計鹉胖，在某些條件/溫度下可能會失效握玛，但 NASA 管理層和火箭制造商 Morton Thiokol 都沒有對有缺陷的接頭設(shè)計帶來的危險做出充分反應。他們沒有重新設(shè)計接頭甫菠，而是將問題定義為“可接受的飛行風險”挠铲。在之前 24 次成功的航天飛機飛行過程中，NASA 管理層建立了一種“安全文化”寂诱，盡管研究和開發(fā)提供了大量數(shù)據(jù)和關(guān)于 O 形環(huán)的警告拂苹，但這種文化淡化了與飛行航天飛機相關(guān)的技術(shù)風險（研發(fā)）工程師。

正如美國物理學家理查德·費曼 (Richard Feynman) 在談到這場災難時所說：“對于成功的技術(shù)痰洒，現(xiàn)實必須優(yōu)先于公共關(guān)系瓢棒，因為大自然是不會被愚弄的浴韭。”

當涉及到網(wǎng)絡(luò)安全時脯宿，從來沒有說過更真實的話念颈。高管人員需要停止評估和實施滿足最低合規(guī)性的網(wǎng)絡(luò)安全戰(zhàn)略和解決方案，并建立“可接受風險”文化连霉，并開始管理現(xiàn)實世界的風險——由硬數(shù)據(jù)支持的風險榴芳。

風險管理和網(wǎng)絡(luò)安全

對您的組織的網(wǎng)絡(luò)攻擊威脅不再是是否知道的問題，而是何時跺撼，以及C-Suite高管知道的問題翠语。根據(jù) C-Suite Perspectives: Trends in the Cyberattack Landscape, Security Threats and Business Impacts，96% 的高管擔心混合計算環(huán)境導致的網(wǎng)絡(luò)漏洞和安全風險财边。管理風險要求組織在風險和潛在風險出現(xiàn)時對其進行計劃并迅速做出反應肌括。網(wǎng)絡(luò)安全也不例外。對于任何組織酣难，風險可以分為四個基本類別：

挑戰(zhàn)者號災難突出了所有這四個風險類別谍夭。以戰(zhàn)略風險為例。Morton Thiokol的工程師表達了擔憂憨募，并提供了有關(guān) O 形圈在發(fā)射前幾年和發(fā)射前幾天的性能數(shù)據(jù)紧索，并表示應該推遲發(fā)射。美國宇航局迫于壓力要啟動已經(jīng)推遲的任務菜谣，并受到之前 24 次成功的航天飛機飛行的鼓舞珠漂，這導致他們對失敗的現(xiàn)實視而不見，迫使 Morton Thiokol 提供不同的建議尾膊。Morton Thiokol 管理層決定將組織目標置于硬數(shù)據(jù)支持的安全問題之前媳危。提出了發(fā)射建議，導致載人太空探索中最災難性的事件之一冈敛。

這個戰(zhàn)略風險的例子可以完美地類比實施網(wǎng)絡(luò)安全戰(zhàn)略和解決方案的組織待笑。有無數(shù)高調(diào)的網(wǎng)絡(luò)攻擊和數(shù)據(jù)泄露的例子，其中高層管理人員在網(wǎng)絡(luò)漏洞之前得到警告抓谴，但沒有采取任何行動來防止即將發(fā)生的災難意鲸。臭名昭著的2018年 Panera Bread 數(shù)據(jù)泄露就是這樣一個例子膏潮。Facebook 是另一個。其平臺運營經(jīng)理在 2011 年至 2012 年期間警告這家社交科技巨頭的管理層實施審計或執(zhí)行其他機制北专，以確保從社交網(wǎng)絡(luò)中提取的用戶數(shù)據(jù)不會被第三方開發(fā)人員和/或系統(tǒng)濫用株灸。這些警告顯然被忽略了敏沉。

那么為什么這種情況會不斷發(fā)生呢诊沪？DDoS和 WAF 緩解解決方案的實施通常涉及組織內(nèi)的三個關(guān)鍵組件：管理差导、安全團隊/SOC 和合規(guī)性。盡管安全團隊提供了大量的硬數(shù)據(jù)，表明組織當前容易受到攻擊浅悉，或者沒有為最新一代的攻擊媒介做好準備，但管理層通常會過分強調(diào)近期的安全結(jié)果/經(jīng)驗券犁；他們感到安全的是术健，該組織迄今為止從未成為成功網(wǎng)絡(luò)攻擊的受害者。前面提到的 Facebook 故事就是一個完美的例子：他們允許歷史覆蓋平臺經(jīng)理提供的有關(guān)新安全風險的硬數(shù)據(jù)粘衬。

強調(diào)這種“認知失調(diào)”的是合規(guī)團隊荞估，他們經(jīng)常尋求僅基于滿足最低合規(guī)標準的復選框功能來評估DDoS 緩解解決方案≈尚拢或者勘伺，該戰(zhàn)略還推動了一種成本節(jié)約方法，該方法在組織內(nèi)產(chǎn)生短期財務節(jié)約褂删，該組織通常將網(wǎng)絡(luò)安全視為相對于其他戰(zhàn)略計劃（如移動性飞醉、物聯(lián)網(wǎng)和云計算）的事后考慮。

最終結(jié)果屯阀？組織不是在管理現(xiàn)實世界的風險缅帘，而是在管理“昨天的”風險，從而使自己容易受到新的攻擊媒介难衰、物聯(lián)網(wǎng)僵尸網(wǎng)絡(luò)漏洞钦无、網(wǎng)絡(luò)犯罪分子和其他幾周甚至幾天前不存在的威脅的攻擊。

網(wǎng)絡(luò)攻擊的真實成本

要了解這對組織的長期成功有多么不利盖袭，需要掌握網(wǎng)絡(luò)攻擊的真實成本失暂。可悲的是鳄虱，這些數(shù)據(jù)點通常與上述關(guān)于漏洞的統(tǒng)計數(shù)據(jù)一樣不被理解或忽視弟塞。網(wǎng)絡(luò)攻擊的成本可以通過四個風險類別進行映射：

[if !supportLists]·?[endif]戰(zhàn)略風險：據(jù)40%的高管稱，網(wǎng)絡(luò)攻擊的平均成本超過 100 萬美元/歐元拙已。5% 的人估計這一成本超過 2500 萬美元/歐元宣肚。

[if !supportLists]·?[endif]聲譽風險：網(wǎng)絡(luò)攻擊后，客戶流失率可能會增加多達30%悠栓。此外霉涨，因數(shù)據(jù)泄露而失去超過 4% 客戶的組織的平均總成本為 510 萬美元。此外惭适，41% 的高管報告稱笙瑟，客戶在數(shù)據(jù)泄露后對其公司采取了法律行動。雅虎和 Equifax 數(shù)據(jù)泄露訴訟是兩個備受矚目的例子癞志。

[if !supportLists]·?[endif]產(chǎn)品風險：知識產(chǎn)權(quán)委員會估計往枷，假冒商品、盜版軟件和竊取的商業(yè)機密每年給美國經(jīng)濟造成6000億美元的損失。

[if !supportLists]·?[endif]治理風險：與數(shù)據(jù)泄露相關(guān)的“隱藏”成本包括保險費增加错洁、信用評級降低和商品名稱貶值秉宿。在宣布數(shù)據(jù)泄露后， Equifax 被華爾街貶值40 億美元屯碴。

保護客戶體驗描睦，管理風險

只有通過識別組織每天面臨的新風險并制定計劃將其最小化，其高管才能為公司的成功奠定基礎(chǔ)导而。就航天飛機計劃而言忱叭，大量明確表明存在不可接受的飛行風險的數(shù)據(jù)因滿足運營目標的需要而被擱置一旁〗褚眨可以從1986年 1 月的那個決定性的日子中吸取哪些教訓并將其應用于網(wǎng)絡(luò)安全韵丑？首先，這場災難突出了管理風險的五個關(guān)鍵步驟虚缎。

就網(wǎng)絡(luò)安全而言撵彻，這意味著執(zhí)行領(lǐng)導層必須權(quán)衡其網(wǎng)絡(luò)安全團隊、合規(guī)團隊和高層管理人員的意見实牡，并使用數(shù)據(jù)來識別漏洞和成功緩解漏洞的要求千康。在數(shù)字時代，網(wǎng)絡(luò)安全必須被視為一項持續(xù)的戰(zhàn)略舉措铲掐，不能僅僅委托給合規(guī)性拾弃。領(lǐng)導層必須充分權(quán)衡網(wǎng)絡(luò)攻擊/數(shù)據(jù)泄露對組織造成的潛在成本與實施正確安全策略和解決方案所需的資源。最后摆霉，如果正確理解豪椿，風險實際上可以轉(zhuǎn)化為競爭優(yōu)勢。在網(wǎng)絡(luò)安全方面携栋，它可以用作與需要快速網(wǎng)絡(luò)性能搭盾、響應式應用程序和安全客戶體驗的消費者的競爭優(yōu)勢。

那么婉支，在面臨新的安全威脅鸯隅、預算緊張、網(wǎng)絡(luò)安全專業(yè)人員短缺以及需要保護日益多樣化的基礎(chǔ)設(shè)施的情況下向挖，高管們應該如何實現(xiàn)這一目標呢蝌以？關(guān)鍵是為企業(yè)及其客戶創(chuàng)造一個安全的環(huán)境。

根據(jù)C-Suite Perspectives: Trends in the Cyberattack Landscape, Security Threats and Business Impacts何之，研究表明跟畅，為了營造這種氛圍，高管必須愿意接受新技術(shù)溶推、對新意識形態(tài)持開放態(tài)度并接受變革徊件。致力于掌握這一不斷發(fā)展的威脅的高管必須打破組織中存在的孤島奸攻，以評估整個企業(yè)的風險維度并從整體上解決這些風險。接下來是平衡上述投資與風險等式虱痕。在決定將資源投資于何處以推動公司向前發(fā)展時睹耐，所有高管都將面臨艱難的選擇。

根據(jù)同一份報告部翘，十分之四的受訪者認為基礎(chǔ)設(shè)施復雜性的增加硝训、數(shù)字化轉(zhuǎn)型計劃、人工智能的集成和向云的遷移是對安全規(guī)劃和預算分配造成壓力的事件略就。

賭注很高。安全威脅會嚴重影響公司的品牌聲譽晃酒，導致客戶流失表牢、運營效率降低和訴訟。高管人員必須吸取挑戰(zhàn)者號航天飛機災難的教訓：停止評估和實施滿足最低合規(guī)性的網(wǎng)絡(luò)安全戰(zhàn)略和解決方案贝次，并開始通過信任數(shù)據(jù)崔兴、拋開近期經(jīng)驗/“直覺”來應對現(xiàn)實世界的風險并了解網(wǎng)絡(luò)攻擊的真實成本。那些愿意接受技術(shù)和變革并優(yōu)先考慮網(wǎng)絡(luò)安全的高管將贏得 21 世紀消費者的信任和忠誠蛔翅。