简而言之, 网络弹性 (Cyber Resilience) 是衡量一个组织在遭受数据泄露或网络攻击期间, 保持其业务正常运营能力的一个指标. 安全团队已经制定了检测和阻止攻击的措施, 并且还为不可避免的违规行为制定了灾后恢复计划, 但是他们能否与 IT 人员一起, 在企业遭遇危机期间保持其关键业务 (如订单履行, 客户服务或业务核算等) 正常运行呢?
这样说并非要求每个人都必须成为一名安全专家, 但是那些负责开发工作或担任其他技术角色的人员, 必须要了解安全对于大型企业的重要意义. 如果他们不竭尽本分来维持运营工作, 那么任何一次泄露或攻击行为都可能彻底击垮整个企业的业务运营.
以 NotPetya 勒索软件为例, 其成功关闭了乌克兰全境的超市和自动取款机, 对整个乌克兰造成了难以估量的损失. 再者说 WannaCry, 其加密了多家医疗机构的计算机系统, 致使医院无法获取患者信息, 大量就诊预约被迫取消, 医院一夜回归纸笔办公时代. 正如我们所见, 这些全球最大型的企业都难逃网络攻击的命运, 最终导致业务失败... 甚至破产, 而究其原因就是因为它们缺乏应有的网络弹性.
此外, 缺乏安全防范意识同样会导致企业面临失败的境遇. 只有每个人都能明白安全的重要本质, devops 才能自由地业务搭建缓冲区, 使其保持足够的弹性以生存.
了解业务以便更好地保护它
对于初学者来说, 如果你想保护公司, 前提是你需要先要了解你的公司. 仔细观察公司每项利用科技手段的工作流程, 代码需要经历开发过程, 营销活动也是如此, 也许营销人员正在起草一项重要的提案; 会计正在提交季度税, 并通过电子邮件和 Slack 进行通讯联系.
这要这些行为或信息具备价值, 且正发生在你的系统上, 就必须得到保护. 而想要确定其价值, 需要先了解什么是保持业务发展的主要因素, 以及哪些是影响业务可用性, 机密性和完整性的主要风险.
用商业思维处理你的备份系统
如果恶意软件攻击造成开发人员无法再访问他们的工作系统, 那将意味着什么? 业务还能继续进行吗? 如果有备份系统, 也许业务还能够维持运营吧! 毕竟, 恶意行为者并没有触及备份系统并删除某些影响业务运营的东西. 可以说, 备份是公司应对勒索软件攻击的必要步骤, 灾难恢复和备份计划对于任何企业而言都是非常必要且重要的环节.
一旦发生网络攻击, 我们可以关闭这一受损环境, 并转移到另一个安全的环境中, 这就是所谓的 "温备份"(warm backup). 从灾难恢复的角度来看, 我们能够在相对较短的时间内恢复系统正常运行, 最小限度影响业务开展.
备份的窍门是要通过业务思维方式, 而不仅仅是安全思维来进行处理. 对于决定是恢复还是丢弃感染系统时, 你需要考虑如下问题: 受损的部分包括哪些? 被破坏的程度如何? 以及从受损当时起算, 实际发生的信息成本是多少? 例如, 如果违规事件发生在两个月前, 备份也无法挽回这段时间对您的业务信息和价值带来的损害, 对吗?
关于热备份, 温备份和冷备份
按备份系统的准备程度, 可将其分为冷备份, 温备份和热备份三大类:
1. 冷备份:
备份系统未安装或未配置成与当前使用的系统相同或相似的运行环境, 应用系统数据没有及时装入备份系统. 一旦发生灾难, 需安装配置所需的运行环境, 用数据备份介质 (磁带或光盘) 恢复应用数据, 手工逐笔或自动批量追补孤立数据, 将终端用户通过通讯线路切换到备份系统, 恢复业务运行.
优点: 设备投资较少, 节省通信费用, 通信环境要求不高.
缺点: 恢复时间较长, 一般要数天至 1 周, 数据完整性与一致性较差.
2. 温备份:
将备份系统已安装配置成与当前使用的系统相同或相似的系统和网络运行环境, 安装了应用系统业务定期备份数据. 一旦发生灾难, 直接使用定期备份数据, 手工逐笔或自动批量追补孤立数据或将终端用户通过通讯线路切换到备份系统, 恢复业务运行.
优点: 设备投资较少, 通信环境要求不高.
缺点: 恢复时间长, 一般要十几个小时至数天, 数据完整性与一致性较差.
3. 热备份:
备份处于联机状态, 当前应用系统通过高速通信线路将数据实时传送到备份系统, 保持备份系统与当前应用系统数据的同步; 也可定时在备份系统上恢复应用系统的数据. 一旦发生灾难, 不用追补或只需追补很少的孤立数据, 备份系统可快速接替生产系统运行, 恢复营业.
优点: 恢复时间短, 一般几十分钟到数小时, 数据完整性与一致性最好, 数据丢失可能性最小.
缺点: 设备投资大, 通信费用高, 通信环境要求高, 平时运行管理较复杂.
跳出安全范围构建弹性
一些专家认为, 数据顾问可以帮助完成这项工作, 但是另有一些专家表示不认同. 他们表示, 安全团队雇用外部顾问也解决问题的频率太过频繁, 这些第三方人员只了解单个特定的应用程序, 或针对特定的应用程序进行安全评估. 他们了解的事情都太过片面, 不够完全, 他们未必了解整个企业端对端的业务流程.
但是, 作为内部人员的我们却能够更全面地了解我们的数据, 知道哪些系统是最重要的, 公司能够承受的最长停机时间是多久, 系统上移动的数据是什么, 以及数据存储在哪里等等. 外部雇佣人员不能每天呆在你的公司, 他们想要了解你的优先事项的唯一方法也只有通过你.
这并不意味着你不能跳脱自身, 向别人需求建议. 帮助企业构建网络安全弹性需要每个人的参与. 当然, 也不能小看非安全领域的同事, 他们可能会为你提供意想不到的好思路. 例如, 财务人员非常精通财务把控, 所以他们也能更好地理解安全控制, 并且在事务日志存在异常时能够理解取证过程的重要性. 此外, 负责保护公司最具价值机密的人员可能会想出降低信息泄露风险的好办法等等.
曾经, 我们要在布满设备的机房中开展运营业务, 只有真真切切地控制服务器, 看着小小的指示灯闪烁才能觉得安心; 但是现在, 我们已经以各种不同的方式接受了云, 接受了贸易伙伴, 以及接受了各种能够加速我们创新步伐的技术. 归根结底, 公司采用新技术的初心是因为它们能够帮助实现业务增长. 安全就如同 "氧气", 如果公司想要继续呼吸, 就必须创建一个应急响应计划.
攻击也许不可阻止, 但是通过这个计划, 至少你可以生存下来. 2014 年, 伊朗黑客攻击赌场运营商拉斯维加斯金沙集团, 他们摧毁了金沙集团的整个网络环境, 导致该公司花了好长时间才完成灾后恢复工作, 但是在此期间, 该公司的酒店入住业务丝毫没有耽误, 客人仍然可以照常办理入住业务.
这件事就告诉我们, 无论发生何种状况, 保持关键业务的正常运行都是最为关键的. 确保整个业务正常运营的目标太过宏大, 也太难实现, 但是如果将操作分解成一小块一小块, 就可以更方便地管理和实现了.
来源: http://netsecurity.51cto.com/art/201805/574021.htm