系統性風險威脅著每個組織

我們相互連接的數字系統日益復雜，造成了一種新型的全球風險，每個組織都必須了解這一點。任何連接點的重大故障都可能產生廣泛的連鎖反應，影響多個組織。系統性風險——一種源于系統的一個部分并威脅到整體的風險——是首席信息安全官(CISO)和董事會必須認識到的一個新興問題。

Log4j漏洞是源自供應鏈的系統性風險的最新示例之一，展示了單個軟件如何使全球的關鍵系統處于危險之中。美國國土安全部網絡審查委員會最近的一份報告稱該漏洞是“地方性漏洞”，評估認為來自易受攻擊的Log4j實例的重大風險將至少再持續十年。雖然還沒有網絡攻擊歸因于Log4j，但安全研究人員觀察到黑客最近在2022年8月試圖利用該漏洞。

什么是系統性風險及其重要性？

相關：IT專業人員的勒索軟件安全：2022年報告

以其系統性風險框架而聞名的數字導演網絡將系統性風險描述為“復雜系統中的組件故障將級聯并危及更大系統的威脅”?？▋然鶉H和平基金會和阿斯彭研究所的一份報告對系統性網絡風險有類似的定義，但更狹隘地側重于網絡：“單一事件或發展可能引發廣泛的失敗和跨越多個組織、部門的負面影響的可能性，或國家。”此外，該報告指出，“網絡空間某處的單一故障可能會引起更大范圍的連鎖反應，并帶來災難性后果”，這一點日益受到關注。

在2017年NotPetya惡意軟件攻擊之后，我們看到了這樣的災難性后果，該攻擊迅速傳播到世界各地的系統，并最終造成估計100億美元的損失。隨著組織繼續他們的數字化轉型之旅并將大部分基礎設施遷移到云端，他們對各種SaaS提供商的依賴呈指數級增長。系統性風險已成為任何現代組織所固有的。

我們信任可以訪問我們數據的任何系統，無論是我們自己的內部架構、我們的SaaS供應商的系統，還是我們合作伙伴網絡的系統，都會產生固有的系統風險。這種風險可能來自任何單點，因為任何單點都可能失敗。

應對系統性風險是比網絡風險更大的挑戰

許多組織仍在試圖弄清楚如何解決他們的網絡安全風險，而系統性風險使這一挑戰變得更加嚴峻，尤其是因為它更難以檢測?，F在數據中心是一個全球網格，分布在不同的SaaS平臺上，數據無處不在，我們必須考慮的固有風險是完全不同的——事情不再完全在我們的內部控制之下。

解決系統性風險需要一種不同于許多組織過去使用的以周邊為中心的戰略的方法。我們必須轉變觀點，從業務支持的角度思考。這意味著我們不應著眼于周邊，而應考慮我們組織的業務價值以及對其執行團隊和董事會最重要的事情——暫停并考慮圍繞核心業務支持功能的所有技術。

以您的企業架構為例。您需要哪些工具來減輕各種風險？所有這些工具如何相互連接或互連？這種相互關聯的潛在風險失敗在哪里？這種相互關聯性帶來的潛在弱點和系統性風險在哪里？這些是您應該從整體上考慮的層次，因為任何一個點的故障都可能導致更大系統的故障。

人是系統性風險的核心組成部分

一個組織內最大的內在風險之一是它的人——這一點怎么強調都不為過。最新的Verizon數據泄露調查報告顯示，82%的數據泄露涉及人為因素。從戰術上講，這是您需要開始解決系統性風險的領域。

每個人都是攻擊媒介，也是您生態系統中最脆弱的目標之一。威脅行為者不斷地利用這個攻擊面。您必須磨練并理解五個關鍵方面：

• 哪些人在您的組織中造成最大風險
• 誰受到攻擊，為什么
• 大家是怎么被攻擊的
• 不同個人受到損害的可能性有多大
• 這種妥協會對您的整個組織產生什么影響

通過回答這些問題并繪制每個人的系統性風險概況，您可以全面了解以人為本的系統性風險。這使您能夠根據那些更有可能導致系統故障的風險來確定風險的優先級并優化您的緩解策略和控制。

我們目前看到的以人為中心的系統性風險的一個例子是隨著人們大規模離開組織而全面“大洗牌”。他們帶著組織的數據離開，這增加了內部威脅的風險。Proofpoint最近對安全領導者進行的一項調查發現，56%的安全領導者認為人為錯誤是對其組織的最大威脅，而受感染的內部人員是最有可能的媒介。大辭職的揮之不去的影響只會加劇這種擔憂。

許多組織仍在為基礎網絡安全而苦苦掙扎，將系統性風險添加到安全領導者的議程中似乎是一項艱巨的任務。事實上，你必須先解決許多基本問題，然后才能開始考慮更具戰略性和整體性的問題。但解決系統性風險的需求將變得更加緊迫，并且隨著組織達到一定的安全成熟度水平，最終這將成為一種期望。安全領導者和董事會不應該等待那一刻，必須現在就開始對話，抓住機會提升有關網絡風險的討論。