隨著全球數(shù)字化進程的不斷推進,越來越多的企業(yè)所面臨的無非就是兩種選擇,要么主動數(shù)字化,要么被動數(shù)字化,但無論何種方式,數(shù)字化的潮流不可逆,這一結(jié)果也意味著企業(yè)必須要面對隨之而來的數(shù)字安全風險。與此同時,全球企業(yè)在數(shù)字化的過程中也在不斷加深對于安全的認知,尤其是企業(yè)的業(yè)務開始數(shù)字化之后,與之相關的數(shù)據(jù)泄露風險、業(yè)務中斷風險等等都是無法承受之重,無論是歐美的薩班斯法案(SOX)、美國最嚴格隱私法《加州消費者隱私法案》(CCPA)、歐盟《通用數(shù)據(jù)保護條例》以及我國于2021年施行的《數(shù)據(jù)安全法》、《個人信息保護法》等,都對企業(yè)的信息安全提出了嚴格的要求,同時也讓企業(yè)在安全建設上面臨巨大的挑戰(zhàn),一面是要與隱藏于暗處的攻擊者對抗,另一面也要積極應對合規(guī)要求以避免遭受法律風險帶來的嚴重后果。
隨著勒索軟件攻擊的肆虐,企業(yè)所面臨的數(shù)字風險進一步加大,那么在安全建設方面,應該如何應對呢?在此前我們與國內(nèi)專注于數(shù)據(jù)保護、災備領域的企業(yè)——CloudWonder嘉云的創(chuàng)始人兼CEO王志友的溝通中,他所提出的“底線思維”非常值得借鑒,我們也非常認可。安全建設要兼顧到各個方面,但同時要有底線,而這個底線就是在遭遇攻擊后,你是否能夠保護好你的數(shù)據(jù)?能否成功地恢復數(shù)據(jù)?能否快速讓業(yè)務從攻擊事件重新運轉(zhuǎn)起來?最終令自己無論是在自身業(yè)務層面還是在合規(guī)層面都取得盡可能更好的結(jié)果。
金融服務機構在應對勒索攻擊方面仍存不足
由于受到龐大的數(shù)據(jù)量、嚴格的安全要求、復雜的數(shù)據(jù)模型等因素影響,金融行業(yè)的企業(yè)、機構在數(shù)據(jù)保護方面的相關建設是極為復雜的,但它們卻又是勒索軟件攻擊者所最為中意的目標群體。據(jù)Sophos發(fā)布的《2022年金融服務勒索軟件狀況報告》的調(diào)查數(shù)據(jù)顯示,55%的組織在2021年遭受過勒索軟件攻擊,這一數(shù)據(jù)相比2020年的34%有顯著增長。但同時,該報告還揭示金融服務業(yè)的數(shù)據(jù)加密率為54%,明顯整體的平均水平(65%)。
報告調(diào)研結(jié)果還顯示,在受攻擊的金融服務機構中,有52%的受訪者選擇通過支付贖金來恢復數(shù)據(jù),這也明顯高于全球平均水平(46%),而在平均補救成本方面,則是達到了159萬美元,同樣高于全球平均水平的140萬美元。
由此可見,金融行業(yè)在應對勒索軟件攻擊方面顯然仍存有較大不足。前文提到,金融服務數(shù)據(jù)本身具有復雜性的特點,這也意味著恢復這些數(shù)據(jù)所面臨的挑戰(zhàn)會更大。因此,除了要做好包括數(shù)據(jù)加密、數(shù)據(jù)管理、第三方的數(shù)據(jù)風險評估等方面的安全工作之外,還需要在很多方面做得更好。
首先是要有一個清晰的存檔策略,通過一致的規(guī)則來控制那些數(shù)據(jù)留在平臺上,而哪些數(shù)據(jù)應該移除甚至刪除,同時還要確保將來可以在必要的時候能夠檢索歸檔的數(shù)據(jù)。
其次是需要制定備份和恢復關鍵數(shù)據(jù)的策略。從任一時間點恢復數(shù)據(jù)對金融機構而言是必要的,因為不可能指望通過簡單的備份就能夠在所期望的RTO(恢復時間目標)內(nèi)完成恢復工作。
最后是在第三方供應商的選擇和管理方面要更加嚴格,以避免因供應鏈安全問題導致自身遭到意外損失。
在這里,我們有必要強調(diào)良好的災備體系建設對于保障企業(yè)數(shù)字化業(yè)務連續(xù)性的重要性。
我國企業(yè)災備體系建設仍大幅落后于歐美
事實上,我國金融領域在災備建設方面相對其他行業(yè)要更為完善一些,在具體標準方面,也有《銀行業(yè)信息系統(tǒng)災難恢復管理規(guī)范》(2009年7月1日起施行)。但從整體看,我國企業(yè)在災備方面的建設仍有較大不足。
在2022年的全國兩會中,就有關于強化國家數(shù)據(jù)災備體系建設的提案出現(xiàn),在該提案中,重點指出了我國在數(shù)據(jù)災備建設方面存在的“兩低一高”現(xiàn)象,具體內(nèi)容如下:
一是數(shù)據(jù)災備投入偏低。數(shù)據(jù)顯示,2020年我國信息基礎設施投資中災備占比僅為2%,而美國和歐洲分別是6%和5%;
二是災備覆蓋率低。我國大中型企業(yè)綜合災備覆蓋率僅為34%,美國達到87%,是我國的2.6倍,歐洲為83%,是我國的2.4倍;
三是業(yè)務停機損失高于歐美。抽樣調(diào)查表明,2021年我國大中型企業(yè)因為停機造成損失平均達到78萬美元,美國為42萬美元。
提案指出,關鍵信息基礎設施領域的數(shù)據(jù)災備既直接關系信息安全,又間接覆蓋國家安全體系全部16種安全,解決不當就會成為數(shù)字中國建設的短板,甚至成為國家“阿喀琉斯之踵”。
應對勒索攻擊的安全建設需有“底線思維”
首先我們簡單回顧一個發(fā)生在去年年底的一個案例,東亞某知名銀行網(wǎng)上銀行服務就曾連續(xù)兩天大規(guī)模宕機,該銀行被稱為亞洲最安全的銀行,但是因為網(wǎng)上銀行服務中斷,一度導致數(shù)千名客戶投訴。雖然銀行方快速發(fā)聲回應,承諾客戶存款和資金安全,但其仍不免背負不良負面效應。由于該銀行對外公開披露信息極為有限,所以外界很難得知該次宕機的真正原因,但從業(yè)務系統(tǒng)恢復時間以及發(fā)生連續(xù)宕機來看,更像是運維團隊排查問題進行手動恢復而引發(fā)的業(yè)務中斷。
這一案例告訴我們,一旦企業(yè)關鍵業(yè)務系統(tǒng)出現(xiàn)故障,宕機是必然結(jié)果,甚至是要被迫接受長時間宕機。無論是黑客攻擊導致,還是人為問題,又或是硬件級的物理故障,凡是以運維團隊手動恢復或協(xié)調(diào)供應商一方共同參與恢復過程的,都會很難確定恢復時間,這其間最大難點是要在既定時間內(nèi)找到問題發(fā)生的原因,因為存在種種不確定性,預期的恢復時間也就沒有真正的標準可供參照。
雖然該案例并非確定是遭受勒索攻擊所導致,但證明了金融服務機構對于業(yè)務連續(xù)性的要求極高,這也是為什么他們在遭受攻擊后會更多地去考慮通過支付贖金來保證數(shù)據(jù)能夠從不可用的狀態(tài)中恢復,因為對于金融機構而言,無論是業(yè)務系統(tǒng)還是數(shù)據(jù)的價值普遍都會高于贖金,雖然我們都在倡導不向攻擊者支付贖金,那樣只會助長攻擊者的囂張氣焰并“激勵”他們發(fā)動更多攻擊,但企業(yè)基于自身視角對業(yè)務連續(xù)性和監(jiān)管的雙方面考量和權衡,有時做出向攻擊者低頭的選擇似乎也無可指摘。
因此,對于金融服務機構這類對業(yè)務連續(xù)性保障要求極高的行業(yè)領域,制定高效的備份和恢復數(shù)據(jù)的策略就尤為重要,不僅可以保障在業(yè)務系統(tǒng)和數(shù)據(jù)在遭受意外時可以快速地恢復以保證業(yè)務能夠快速恢復正常運轉(zhuǎn),更可以在遭受包括勒索軟件攻擊等網(wǎng)絡風險發(fā)生時有更多的應對選擇而不是去支付贖金。
這其實也印證了前文所提到的“底線思維”,它的意義在于要接受最差情況的出現(xiàn),這樣可以更清晰地了解什么才是最重要的,以底線思維構建防護體系,有利于在風險到來時能更好地應對。當企業(yè)將大量的資金投入到包括邊界防御或其他一些事前防御等安全建設的時候,也應關注一個問題——這些投入即便能阻止大量的攻擊行為,但能否做到百分之百?如果不能做到,那就必須要做好最壞的打算,通過加強事后防御相關安全建設,全面提升應對已發(fā)生的安全事件的響應和恢復能力。
前文所提到的案例,無疑就是缺少底線思維的意識,并最終讓這家聲稱亞洲最安全銀行的自己咽下了苦果。
云災備令傳統(tǒng)災備建設高成本時代成過去式
對于多數(shù)企業(yè)來說,災備建設的高昂成本長期都是一個令人頭疼的問題,雖然企業(yè)管理者具備底線思維,但面對企業(yè)經(jīng)營、發(fā)展過程中的現(xiàn)實情況,往往會做出妥協(xié),要么降低災備建設標準的級別,要么就用其他低成本如簡單的備份等方式來降低支出。
隨著技術的不斷發(fā)展,災備建設高成本的狀況已有較大改觀,比如通過云災備的方式,就可以大幅降低成本,而且性能方面較之傳統(tǒng)災備在基礎設施建設、靈活性、恢復能力以及安全性等多個方面都具有一定的優(yōu)勢,加上購買即可使用,并伴隨企業(yè)發(fā)展不同階段可以按需調(diào)整。
僅就災備建設而言,云災備的出現(xiàn)改變了以往需要企業(yè)自身從頭構建,轉(zhuǎn)而通過以相對較低成本采購方式實現(xiàn)快速部署,且升級性、可遷移性也能滿足企業(yè)未來在需求層面的變化,降低了整體投入。同時,針對企業(yè)業(yè)務系統(tǒng)的復雜性問題,云災備可以在異構兼容性上做得更靈活,無論在線業(yè)務系統(tǒng)是傳統(tǒng)環(huán)境、混合環(huán)境、多云混合環(huán)境均可滿足。
由此可見,當困擾企業(yè)的高成本問題得到緩解之后,對于提升數(shù)字化時代下我國整體災備體系建設有著相當積極的意義,但前提也是需要企業(yè)的管理者在安全建設方面需具備底線思維,未來網(wǎng)絡安全風險總體上仍會呈升級趨勢,建設對應的安全能力對于企業(yè)來說任重道遠,只有構筑整體均衡防護能力,才能讓我們應對安全風險時更有底氣。
更多信息可以來這里獲取==>>電子技術應用-AET<<
