當前網絡攻擊在數量、強度和復雜性方面持續增長。盡管攻擊者在不斷變化，但幾十年來，企業領導者卻因采用相同的網絡風險管理策略而飽受困擾。組織必須學習如何擺脫臨時解決方案并投資于長期的彈性措施，以在未來的網絡經濟中蓬勃發展。美國約翰斯·霍普金斯大學懷廷工程學院土木與系統工程系和自治保證研究所的助理教授格雷戈里·法爾科（Gregory Falco）與哈佛大學肯尼迪學院貝爾弗科學與國際事務中心主任埃里克·羅森巴赫（Eric Rosenbach）合著了《直面網絡風險》（Confronting Cyber Risk）一書，提出了“嵌入耐力戰略”這一概念，倡導建立根植于組織的網絡安全文化，以持續、系統地應對未來的網絡風險。該書即將在明年2月份由由牛津大學出版社出版。

　　《直面網絡風險：網絡安全的嵌入式耐久性戰略》是一本實用的領導力指南，概述了改善組織網絡安全和減輕網絡風險的新戰略。資深網絡安全專家Falco和 Rosenbach介紹了嵌入式耐久性戰略，作為網絡風險管理的系統級方法，該方法解決了組織風險的相互依賴的組成部分，并使組織為長期不可避免的網絡威脅做好準備。作者使用從SolarWinds到Colonial Pipeline攻擊的真實示例，擴展到硬件和軟件之外，為組織提供了一個經過深思熟慮的十步流程，以解決網絡攻擊中常見的同時發生的運營、聲譽和訴訟風險。作者斷言，未來的“密碼”可助力商業領袖應對下一代網絡風險挑戰。

　　清晰而翔實的《直面網絡風險》為CEO和網絡新手等提供了具體指導，指導他們如何實施尖端戰略，以在不斷變化的網絡風險環境中降低組織對惡意網絡攻擊的系統性風險。

　　網絡安全不單是一個IT問題

　　不要把網絡安全當成一個簡單的IT問題，而是一個高管和領導的問題。網絡安全和網絡保護通常被認為是一種反應性措施，但組織需要開始將網絡保護視為一種規劃方式。與財務規劃類似，網絡安全應納入日常業務。它不是一個附加組件；它應該嵌入到組織中，這就是為什么作者使用“嵌入耐力戰略”這個術語。這個詞表明，把網絡安全視為一種耐力練習。即使在組織中嵌入了措施，網絡安全問題也會在其存在的整個過程中發生。從長期馬拉松耐力的角度考慮策略和風險緩解是很重要的。

　　為什么嵌入式耐力策略很重要？

　　在問題出現時解決問題可能會花費組織更多的錢，因為他們將花錢請顧問來解決問題。使用全面的方法意味著改變看待這個挑戰的方式，將其視為持續的而不是一個單一的實例。當長期預防成為組織文化的一部分時，就需要領導者全面考慮潛在事件的每一個方面。這種預先考慮使他們能夠迅速行動，同時也能在遭遇襲擊時保持組織的完整性。

　　了解攻擊你的人是誰，他們想要什么，將有助于組織制定他們的策略。您的攻擊者想要在系統中制造混亂嗎？他們要現金嗎？他們是想竊取你知識產權的競爭對手嗎？通過回答這些問題和其他問題，公司可以找到在攻擊期間和之后采取行動的方法。

　　作者提出了一個全面的方法來幫助組織思考網絡問題。通過事件和案例研究，幫助領導者考慮組織網絡體驗的事前、事中和事后組成部分。

　　如何建立嵌入式耐久策戰略

　　閱讀新聞，了解其他組織如何處理他們的網絡事件。只要組織的報道透明，即使是非技術性新聞也能提供關于網絡事件中到底發生了什么的洞見。被黑客攻擊仍然是一種恥辱。如果組織選擇在被黑客攻擊時對正在發生的事情和受影響的人保持透明，那么他們可以將自己的事件作為其他領導團隊的案例研究。特別是在受到勒索軟件攻擊的情況下，了解一些細節很有幫助，比如該公司被收取了多少費用，以及他們是否與攻擊者進行了談判。

　　這些都不是新問題。人們對網絡安全的閱讀和了解越多，領導團隊就應該對他們在網絡安全方面的行動有更多的認識。希望通過這本書鼓勵更積極的措施，通過將預防性的想法、行動和過程嵌入到組織運作的各個方面。這允許長期規劃和更有組織地全面的策略來主動應對網絡安全事件。