為何企業需要考慮網絡韌性，而不僅僅是網絡安全——《華爾街日報》

當企業具備網絡韌性思維時，其關注重點往往在於如何在攻擊者成功入侵時將風險或損失降至最低。圖片來源：蓋蒂圖片社帕特·穆伊奧是SineWave Ventures的普通合夥人，負責評估新興技術並做出投資決策。

***

毋庸置疑，企業都希望其網絡和計算機能夠安全穩定運行。但常見誤區是將目標設定為阻止所有攻擊——即通常所説的網絡安全。實際上，更明智的目標應是在遭受攻擊時仍能持續運營。

這就是所謂的網絡韌性。它與網絡安全的區別在於：韌性強調對不利條件、壓力、攻擊或系統破壞的預判、承受、恢復及適應能力，核心是跌倒後能重新站起繼續前行；而安全則側重防禦和保護，如同鎖緊門窗就地避難。

二者固然都至關重要。但問題在於，當前網絡安全市場的主流邏輯是以"完美消除攻擊可能性"作為衡量技術先進性的標準。持此觀念的企業會投資那些專注於外部監測和被動應對攻擊的技術：他們購買威脅情報軟件，即便無法快速部署有效防護；耗費巨資修補已棄用代碼庫中攻擊者根本無法利用的漏洞；擴充安全運營中心處理大量誤報警報。

華爾街日報簡而言之，他們基本上是在玩打地鼠遊戲，拼命追趕攻擊者的步伐。他們放棄了主場優勢，按照攻擊者的規則行事。這往壞了説是必敗的策略，往好了説也是代價過高的策略。

相比之下，網絡韌性理念認為我們永遠無法做到阻止所有攻擊，因此計劃應着眼於在攻擊不可避免成功時將風險或損失降至最低。它考慮如何限制攻擊造成的損害，並在攻擊期間或之後最大限度保持關鍵功能的運行能力，同時思考如何在遭受攻擊後快速恢復儘可能多的任務或業務功能。

當組織具備網絡韌性思維時，他們會將大量精力集中在攻擊發生前如何給攻擊者製造障礙。他們構建冗餘系統，確保即使部分系統受損仍能運轉；劃分網絡段以阻止惡意行為擴散，並制定安全規則限制訪問權限；採用嚴格的訪問控制機制，確保只有具備正當業務需求的合法用户才能接入系統；持續監測系統在正常狀態下的行為模式，以便識別資源受壓情況；定期備份數據確保可恢復，並通過加密技術使被盜數據失去價值。

這些主動防禦方法相互強化，使攻擊者難以得逞。它們讓攻擊者難以獲取訪問權限。即便獲得訪問權限，也難以自由行動。若成功實施行動，其異常行為也難逃監測。即使惡意行為得逞，竊取的數據將毫無價值，服務中斷會被冗餘組件即時接管，勒索軟件也會因異地數據可用性而失效。

韌性防禦體系以系統所有者制定的規則為主場優勢，勝算極高。

致信穆伊奧女士請發送至[email protected]。

刊登於2022年9月9日印刷版，標題為《構建網絡韌性，不止於網絡安全》。