SolarWinds 攻击凸显了董事会层面网络安全决策的必要性

2020 年 12 月披露的 SolarWinds 黑客事件突显出，如果组织中没有良好的网络安全政策，软件和系统供应链很容易成为攻击目标。

在官方声明中，网络安全和基础设施安全局 (CISA) 表示，高级持续威胁 (APT) 行为者对美国政府机构、关键基础设施实体和私营部门组织的妥协至少始于 2020 年 3 月。而且 APT攻击者在这些入侵中表现出了耐心、操作安全性和复杂的技术。 “CISA 预计，从受感染的环境中移除这个威胁参与者对组织来说将是非常复杂和具有挑战性的。”此处的声明中列出了详细的感染媒介和危害缓解措施。

阅读其详细信息证实了我们在 Embedded.com 和 EE Times 的简报中关于半导体行业安全专家和提供安全元件、设备、配置和安全的公司关于物联网 (IoT) 安全和网络安全主题的很多信息生命周期管理。

令我感到惊讶的是，当世界各地的政府部门对安全性如此偏执时，就会发生此类违规行为，但由于第三方系统、软件和设备供应商似乎跳过了适当的安全机制和政策，而使自己完全容易受到攻击，这真的让我感到惊讶。我记得，即使在几年前作为英国政府的承包商工作，我们也需要时刻注意安全培训和意识的数量。一个小例子是我变得多么偏执，在出差时从不将笔记本电脑留在上锁的汽车或任何其他地方。它总是必须在我身上或靠近我可以看到的地方。当然，还有很多其他事情需要我们认真观察。

但是，SolarWinds 漏洞更多地是一个基本的政策问题，即安全性是否应该只是硬件和软件系统设计人员的职责范围，还是应该在组织的更高级别上得到更认真的对待。

因此，企业财务顾问 Woodside Capital Partners 应及时编写一份报告，概述“给 CEO、董事、董事会成员和私募股权公司的七个教训”。该报告由其董事总经理 Nishant Jadhav 撰写，称 SolarWinds 供应链攻击强调了在执行和董事会层面对网络安全有更深入了解的必要性。在监控工具不可见的大多数商业环境中可能潜伏着高级持续威胁的世界中，面对未知，保护声誉和企业价值变得越来越重要。

它说，高管、顾问和投资者需要问的关键问题是公司是否可以在董事会层面回答它是否有网络保证。这是它的七课。

第一课：采用安全第一与合规第一的心态——自上而下

安全第一的心态意味着执行领导团队和董事会了解该特定公司面临的风险。这也意味着公司了解它为客户和合作伙伴带来的风险。另一方面，合规至上的心态是一场竞赛，只做最低限度的工作以获得及格分数。合规第一的心态是倒退的，因为它在攻击当天衡量您的基线，并为您提供未来固定时间的保证。不幸的是，这是一种失败的网络安全保护策略，因为威胁不断演变，并且随着国家对手的参与而变得更加复杂。执行领导团队和董事会需要每季度就公司的威胁态势进行确认。

教训二：首席信息安全官 (CISO) 必须是执行领导团队的一部分，而不仅仅是向信息技术负责人报告

优秀的 CISO 接受过培训，可以从整体上考虑持续的威胁媒介和不断变化的攻击面。这包括您面对的客户无意中泄露数据、使用您的产品给客户带来的风险，以及您的公司在部署技术供自己使用时的风险。因此，CISO 必须涉及业务的所有方面，并且作为直线领导者必须具有一定的影响力，以便在原子级别进行变革。 CISO 必须承担责任，以确保他们的建议已经渗透到各个级别，并且在任何时间点都可以衡量持续的保护和风险敞口。这听起来很繁重，也可能是政治性的，但由于攻击使公司措手不及且无法遏制它而产生的责任可能是毁灭性的——暂时在资本市场上，从声誉的角度来看是永久性的。

教训三：CISO 的 KPI 必须包括持续的保护和补救

一旦在网络上发现新的漏洞，立即解雇 CISO 似乎是一种常见的做法，但这种思路是无效且陈旧的。相反，这是在需要改变的威胁之后围绕 CISO 职责的对话。为 CISO 提供符合公司安全差距的安全预算。此外，不仅要根据给定季度的业务正常运行时间来衡量他们的成功，还要根据业务的每个派别随着时间的推移而产生的意识来衡量他们的成功。将围绕企业如何应对源自您自己组织领域之外的威胁（例如 SolarWinds 案例）添加到这种混合 KPI 中。模拟该行为及其对您的客户、您的声誉以及随后的估值/股价的影响。

教训四：值得信赖的解决方案提供商/合作伙伴并不意味着安全合作伙伴

SolarWinds 供应链攻击已经证明，威胁可能超出您自己的最佳安全实践的控制范围。从本质上讲，无论公司有多大以及他们的安全实践有多么良好，没有任何合作伙伴是安全的合作伙伴。创建一个用于孵化新产品的“气隙”网络可以通过可信赖的合作伙伴解决方案减轻威胁渗透。

教训五：妥协安全是提高盈利能力的错误手段

Woodside Capital (WCP) 预计公司的一个关键估值指标是其安全状况评估值——“网络等级”。网络等级的衡量标准是技术和培训投资，用于公司自身资产的持续保护政策以及公司客户和合作伙伴面临的风险。该网络等级的一个关键因素还将是公司在面对先前威胁时已经采取的补救措施以及响应所花费的时间（按威胁的严重程度加权）。网络等级越高，该公司的估值就越高。专注于网络安全公司的私募股权（PE）公司应更加关注其投资组合公司的网络等级，而不是在短期内为了盈利而放弃它们。 WCP 对大约 5000 家私营网络安全公司的建议是创建一个网络等级版本，总结他们对网络安全的持续承诺，并在其执行领导团队层面参与以实现这些成果。在缺乏行业标准的情况下，更容易定义一组基准指导方针，供执行领导团队和董事会展示，从而使他们成为一家以安全为先的公司。

第六课：网络保险需要仔细审视董事会层面

大多数网络保险单都承保因数据泄露或未经授权访问或披露个人或受保护信息而导致的财务损失。一些保险公司提供额外的背书或特定的保单条款，并为社会工程（即网络钓鱼造成的破坏）、信用卡损失的特定保险和拒绝服务攻击等各种其他方式造成的损失提供保险，例如勒索软件等等。但是像这样的供应链攻击改变了竞争环境。这不能被视为天灾，因为确实有肇事者在谨慎的人可以使用的可管理工具控制之外对企业造成损害。 CISO 必须让董事会授权新的网络保险政策，包括暴露于恶意国家行为者和供应链攻击。这些政策必须跨越更广泛的时间范围，因为这些威胁造成的后续广泛损害可能会在攻击发生后持续数月甚至数年。

第七课：持续的声誉保护

尽管尽了最大的努力，但违规行为随时可能对公司造成打击，并对业务产生切实的影响。这里显而易见的问题是：

• SolarWinds 在这种情况下会受到打击吗？
• Microsoft 是否因为使用 SolarWinds Orion 软件而暴露其源代码而遭受损失？
• SolarWinds 能否找回失去的声誉？
• 微软会成为安全公司的优秀收购方吗？

答案在于执行领导团队和董事会采取的持续行动，以展示网络安全是他们公司的核心差异化因素——安全第一，网络等级。他们从自己和他人的错误中吸取教训，不断增强公司的威胁态势并减少对自身和客户的攻击面。这包括更好的网络保险覆盖和更好的从公司到客户的补救政策。重要的是要强调该公司继续投资和教育其员工有关网络安全的知识。从本质上讲，如果公司为自己创建了网络保证并将其传递给其客户和合作伙伴，从长远来看，它可以更好地保护其声誉。

WCP 报告继续列出了一些成长阶段的公司，这些公司提供了从风险管理和威胁补救到网络保险的整体网络保障战略的构建模块。该报告可在此处获得。