系统性风险威胁着每个组织

我们相互连接的数字系统日益复杂，造成了一种新型的全球风险，每个组织都必须了解这一点。任何连接点的重大故障都可能产生广泛的连锁反应，影响多个组织。系统性风险——一种源于系统的一个部分并威胁到整体的风险——是首席信息安全官(CISO)和董事会必须认识到的一个新兴问题。

Log4j漏洞是源自供应链的系统性风险的最新示例之一，展示了单个软件如何使全球的关键系统处于危险之中。美国国土安全部网络审查委员会最近的一份报告称该漏洞是“地方性漏洞”，评估认为来自易受攻击的Log4j实例的重大风险将至少再持续十年。虽然还没有网络攻击归因于Log4j，但安全研究人员观察到黑客最近在2022年8月试图利用该漏洞。

什么是系统性风险及其重要性？

相关：IT专业人员的勒索软件安全：2022年报告

以其系统性风险框架而闻名的数字导演网络将系统性风险描述为“复杂系统中的组件故障将级联并危及更大系统的威胁”。卡内基国际和平基金会和阿斯彭研究所的一份报告对系统性网络风险有类似的定义，但更狭隘地侧重于网络：“单一事件或发展可能引发广泛的失败和跨越多个组织、部门的负面影响的可能性，或国家。”此外，该报告指出，“网络空间某处的单一故障可能会引起更大范围的连锁反应，并带来灾难性后果”，这一点日益受到关注。

在2017年NotPetya恶意软件攻击之后，我们看到了这样的灾难性后果，该攻击迅速传播到世界各地的系统，并最终造成估计100亿美元的损失。随着组织继续他们的数字化转型之旅并将大部分基础设施迁移到云端，他们对各种SaaS提供商的依赖呈指数级增长。系统性风险已成为任何现代组织所固有的。

我们信任可以访问我们数据的任何系统，无论是我们自己的内部架构、我们的SaaS供应商的系统，还是我们合作伙伴网络的系统，都会产生固有的系统风险。这种风险可能来自任何单点，因为任何单点都可能失败。

应对系统性风险是比网络风险更大的挑战

许多组织仍在试图弄清楚如何解决他们的网络安全风险，而系统性风险使这一挑战变得更加严峻，尤其是因为它更难以检测。现在数据中心是一个全球网格，分布在不同的SaaS平台上，数据无处不在，我们必须考虑的固有风险是完全不同的——事情不再完全在我们的内部控制之下。

解决系统性风险需要一种不同于许多组织过去使用的以周边为中心的战略的方法。我们必须转变观点，从业务支持的角度思考。这意味着我们不应着眼于周边，而应考虑我们组织的业务价值以及对其执行团队和董事会最重要的事情——暂停并考虑围绕核心业务支持功能的所有技术。

以您的企业架构为例。您需要哪些工具来减轻各种风险？所有这些工具如何相互连接或互连？这种相互关联的潜在风险失败在哪里？这种相互关联性带来的潜在弱点和系统性风险在哪里？这些是您应该从整体上考虑的层次，因为任何一个点的故障都可能导致更大系统的故障。

人是系统性风险的核心组成部分

一个组织内最大的内在风险之一是它的人——这一点怎么强调都不为过。最新的Verizon数据泄露调查报告显示，82%的数据泄露涉及人为因素。从战术上讲，这是您需要开始解决系统性风险的领域。

每个人都是攻击媒介，也是您生态系统中最脆弱的目标之一。威胁行为者不断地利用这个攻击面。您必须磨练并理解五个关键方面：

• 哪些人在您的组织中造成最大风险
• 谁受到攻击，为什么
• 大家是怎么被攻击的
• 不同个人受到损害的可能性有多大
• 这种妥协会对您的整个组织产生什么影响

通过回答这些问题并绘制每个人的系统性风险概况，您可以全面了解以人为本的系统性风险。这使您能够根据那些更有可能导致系统故障的风险来确定风险的优先级并优化您的缓解策略和控制。

我们目前看到的以人为中心的系统性风险的一个例子是随着人们大规模离开组织而全面“大洗牌”。他们带着组织的数据离开，这增加了内部威胁的风险。Proofpoint最近对安全领导者进行的一项调查发现，56%的安全领导者认为人为错误是对其组织的最大威胁，而受感染的内部人员是最有可能的媒介。大辞职的挥之不去的影响只会加剧这种担忧。

许多组织仍在为基础网络安全而苦苦挣扎，将系统性风险添加到安全领导者的议程中似乎是一项艰巨的任务。事实上，你必须先解决许多基本问题，然后才能开始考虑更具战略性和整体性的问题。但解决系统性风险的需求将变得更加紧迫，并且随着组织达到一定的安全成熟度水平，最终这将成为一种期望。安全领导者和董事会不应该等待那一刻，必须现在就开始对话，抓住机会提升有关网络风险的讨论。