当前网络攻击在数量、强度和复杂性方面持续增长。尽管攻击者在不断变化，但几十年来，企业领导者却因采用相同的网络风险管理策略而饱受困扰。组织必须学习如何摆脱临时解决方案并投资于长期的弹性措施，以在未来的网络经济中蓬勃发展。美国约翰斯·霍普金斯大学怀廷工程学院土木与系统工程系和自治保证研究所的助理教授格雷戈里·法尔科（Gregory Falco）与哈佛大学肯尼迪学院贝尔弗科学与国际事务中心主任埃里克·罗森巴赫（Eric Rosenbach）合著了《直面网络风险》（Confronting Cyber Risk）一书，提出了“嵌入耐力战略”这一概念，倡导建立根植于组织的网络安全文化，以持续、系统地应对未来的网络风险。该书即将在明年2月份由由牛津大学出版社出版。

　　《直面网络风险：网络安全的嵌入式耐久性战略》是一本实用的领导力指南，概述了改善组织网络安全和减轻网络风险的新战略。资深网络安全专家Falco和 Rosenbach介绍了嵌入式耐久性战略，作为网络风险管理的系统级方法，该方法解决了组织风险的相互依赖的组成部分，并使组织为长期不可避免的网络威胁做好准备。作者使用从SolarWinds到Colonial Pipeline攻击的真实示例，扩展到硬件和软件之外，为组织提供了一个经过深思熟虑的十步流程，以解决网络攻击中常见的同时发生的运营、声誉和诉讼风险。作者断言，未来的“密码”可助力商业领袖应对下一代网络风险挑战。

　　清晰而翔实的《直面网络风险》为CEO和网络新手等提供了具体指导，指导他们如何实施尖端战略，以在不断变化的网络风险环境中降低组织对恶意网络攻击的系统性风险。

　　网络安全不单是一个IT问题

　　不要把网络安全当成一个简单的IT问题，而是一个高管和领导的问题。网络安全和网络保护通常被认为是一种反应性措施，但组织需要开始将网络保护视为一种规划方式。与财务规划类似，网络安全应纳入日常业务。它不是一个附加组件；它应该嵌入到组织中，这就是为什么作者使用“嵌入耐力战略”这个术语。这个词表明，把网络安全视为一种耐力练习。即使在组织中嵌入了措施，网络安全问题也会在其存在的整个过程中发生。从长期马拉松耐力的角度考虑策略和风险缓解是很重要的。

　　为什么嵌入式耐力策略很重要？

　　在问题出现时解决问题可能会花费组织更多的钱，因为他们将花钱请顾问来解决问题。使用全面的方法意味着改变看待这个挑战的方式，将其视为持续的而不是一个单一的实例。当长期预防成为组织文化的一部分时，就需要领导者全面考虑潜在事件的每一个方面。这种预先考虑使他们能够迅速行动，同时也能在遭遇袭击时保持组织的完整性。

　　了解攻击你的人是谁，他们想要什么，将有助于组织制定他们的策略。您的攻击者想要在系统中制造混乱吗？他们要现金吗？他们是想窃取你知识产权的竞争对手吗？通过回答这些问题和其他问题，公司可以找到在攻击期间和之后采取行动的方法。

　　作者提出了一个全面的方法来帮助组织思考网络问题。通过事件和案例研究，帮助领导者考虑组织网络体验的事前、事中和事后组成部分。

　　如何建立嵌入式耐久策战略

　　阅读新闻，了解其他组织如何处理他们的网络事件。只要组织的报道透明，即使是非技术性新闻也能提供关于网络事件中到底发生了什么的洞见。被黑客攻击仍然是一种耻辱。如果组织选择在被黑客攻击时对正在发生的事情和受影响的人保持透明，那么他们可以将自己的事件作为其他领导团队的案例研究。特别是在受到勒索软件攻击的情况下，了解一些细节很有帮助，比如该公司被收取了多少费用，以及他们是否与攻击者进行了谈判。

　　这些都不是新问题。人们对网络安全的阅读和了解越多，领导团队就应该对他们在网络安全方面的行动有更多的认识。希望通过这本书鼓励更积极的措施，通过将预防性的想法、行动和过程嵌入到组织运作的各个方面。这允许长期规划和更有组织地全面的策略来主动应对网络安全事件。