网络安全投入持续攀升,但一个更深层的结构性风险却常常被忽视:系统间的紧密耦合正让连锁故障成为整个数字生态的致命软肋。
在投身网络安全领域之前,我的职业生涯始于软件工程,专注于为工业制造、大型物流网络和自动化仓储系统构建高度集成的解决方案。那段经历留下了一个深刻的烙印:在耦合度极高的系统里,局部故障极易引发全局瘫痪。当一个软件漏洞就能让整个配送中心停摆时,设计“优雅降级”机制——预设组件失效并构建系统级的容错能力——就不再是可选方案,而是生存必需。
这一认知伴随我进入了网络安全世界,并在我此后担任医疗、金融服务及全球制造业首席信息安全官(CISO)的历程中不断得到印证。尽管这些行业面临的监管框架、威胁模型和风险定义千差万别,但它们都共享一个相同的根本缺陷:网络安全风险并未被作为一个统一的学科进行治理。现有的技术系统、产品市场、监管机构、审计方、保险公司乃至董事会,往往各自为政,使用不同的时间线、术语和“安全”定义来构建各自的框架。这不禁让人联想到精算学发展的早期阶段——各个保险分支最初也是孤立地建模风险,直到后来才发现,关联性损失才是真正的威胁所在。
投入与防护的鸿沟持续扩大
在我主导的每一个安全项目中,预算本可以遵循行业惯例逐年膨胀。然而,我始终坚持一条相反的路径:大力削减冗余的工具和重叠的功能,简化安全架构,确保每一笔投入都能对应清晰、可衡量的业务成果。即便如此,技术迭代的速度依然让防护工具和底层假设的过时速度,远远超过了我们的更新能力。行业数据清晰地描绘了这一趋势:Gartner预测,2025年全球安全支出将突破2120亿美元;而另一边,网络犯罪造成的经济损失据估算已超过10万亿美元——这两条曲线,正在令人不安地背离,而非收敛。
在医疗行业担任CISO时,我们能够顺利通过所有HIPAA合规审计。但真正的风险,却潜藏在理赔平台与众多外部供应商网络之间复杂的数据交换环节里——这些受不同标准约束的系统接口,其安全性很少被有效评估。后来转战资产管理领域,金融服务业同样暴露了监管割裂的问题:全球各地的监管机构对“充分安全”的定义各不相同,却没有人能完整描述我们实际需要防御的、高度互联的现实。美联储的研究已经指出,金融体系对关联性网络事件的暴露度,正以传统风险模型无法捕捉的方式快速增长。
更值得警惕的是保险市场的异常信号:尽管漏洞的频率和严重性都在攀升,网络安全保费却持续走低。保险公司仍在为孤立的事件承保,而现实中的风险早已系统化。当一家关键供应商的故障能够同时波及上下家机构时,传统的定价模型已然失效。我们的数字世界,就像一个看似平静的池塘,底下却可能潜伏着巨大的“黑天鹅”。
常规选择暗藏系统性风险
看看2024年一家典型企业的技术栈吧:ERP系统、边界防护、网络与终端安全,很可能分别来自不同的主流供应商。这看起来是分散风险、负责任的标准化选择。但问题在于,在过去12个月内,上述每一个领域都遭遇了从零日漏洞到更新失败导致的重大中断。单独处理任何一个事件或许可行,但当冲击叠加并发时,局面就完全不同了。
作为全球企业的CISO,我的团队曾为顺序发生的危机做过周密预案。然而现实中遭遇的,往往是跨依赖系统的并发中断。当边界设备急需打补丁的同时,另一个核心平台又爆发告警,我们才猛然醒悟:“逐个击破”的假设只是一种美好的幻想。防火墙出现漏洞,绝不仅仅是一个网络问题——当它背后保护的ERP系统处理着所有财务交易时;终端安全袋里故障,也不只是一款工具失效——当它直接导致整个物流操作系统瘫痪时。这些平台本就在协同运作,故障自然会产生连锁反应。
2024年7月的CrowdStrike事件,彻底打破了最后的幻想。一次常规的软件更新(甚至没有攻击者参与),导致了全球数百万Windows系统崩溃,航班停飞、医院分流患者、金融服务中断。防护工具自身成为了故障的载体和放大器。这一事件,理应终结一个长期的争论:网络安全究竟只是组织边界内的技术问题,还是一种跨越边界的系统性风险?答案不言自明。
韧性是设计命题,而非合规课题
在医疗、金融和制造领域,我反复目睹同一种模式:合规机制主要检查控制措施是否“存在”,却很少评估组织(及其所依赖的整个基础设施生态)能否在故障中“存活”下来。医疗机构通过合规审查时,其抵御供应链协同攻击的能力可能仍未经过考验;金融机构通过监管检查时,保险公司却依据与审查方相同的合规信号来定价风险——双方都忽略了平台与交易对手之间的系统性关联;制造业全力保护IT网络时,控制物理流程的OT系统,却因企业推动的数字化转型而日益暴露。我们的软肋,恰恰存在于这些系统的接口处。
一个始终需要追问的核心问题是:如果某个关键平台明天就发生故障(甚至无需遭受攻击),业务还能持续吗?关键服务可否维持?纸上谈兵的流程和理论化的演练,从来无法预测真实的级联影响。
互联网本身提供了一个绝佳的范本——它的设计初衷就是为了承受任何单点故障。我们的组织及其互联的基础设施,同样需要这种架构品质。最终目标不应是阻止每一次入侵(这已被证明是不可能的),而是确保单一故障不会演变为一场席卷多个行业关键服务的系统性危机。这无法通过被动审计来实现,必须通过主动设计来构建。
外部压力正在推动变革:保险公司越来越难以承保巨大的系统性风险,监管机构将责任更直接地推向高管层,董事会开始要求看到生存能力的证明,而不仅仅是成熟度的评分。同时,“网络安全”的保护范围正在急速扩展,从人工智能、企业数据,到运营技术(OT)系统,乃至整个社区所依赖的关键基础设施。
行业已经建立了一套围绕“证明组织安全”的经济体系,不断优化审计、认证和对齐各种框架。然而,这套体系始终未能解决一个更根本的命题:“证明组织及其周边的基础设施能够承受严重中断并持续运行”。这,才是所有环节中最重要的那个“接口”。
数字化转型不仅扩大了个别组织的攻击面,更将这些攻击面编织成了一张跨行业、跨国界的紧密依存网络。对于安全与风险领导者而言,现在最应该自问的,或许不再是控制措施是否足够,而是:我们当前的安全项目,究竟是指向一个可持续的未来,还是仅仅在维系一个日益沉重、脆弱的过去?
(本文为Foundry专家供稿网络发布内容)
