隨著全球數字化進程的不斷推進,越來越多的企業所面臨的無非就是兩種選擇,要么主動數字化,要么被動數字化,但無論何種方式,數字化的潮流不可逆,這一結果也意味著企業必須要面對隨之而來的數字安全風險。與此同時,全球企業在數字化的過程中也在不斷加深對于安全的認知,尤其是企業的業務開始數字化之后,與之相關的數據泄露風險、業務中斷風險等等都是無法承受之重,無論是歐美的薩班斯法案(SOX)、美國最嚴格隱私法《加州消費者隱私法案》(CCPA)、歐盟《通用數據保護條例》以及我國于2021年施行的《數據安全法》、《個人信息保護法》等,都對企業的信息安全提出了嚴格的要求,同時也讓企業在安全建設上面臨巨大的挑戰,一面是要與隱藏于暗處的攻擊者對抗,另一面也要積極應對合規要求以避免遭受法律風險帶來的嚴重后果。
隨著勒索軟件攻擊的肆虐,企業所面臨的數字風險進一步加大,那么在安全建設方面,應該如何應對呢?在此前我們與國內專注于數據保護、災備領域的企業——CloudWonder嘉云的創始人兼CEO王志友的溝通中,他所提出的“底線思維”非常值得借鑒,我們也非常認可。安全建設要兼顧到各個方面,但同時要有底線,而這個底線就是在遭遇攻擊后,你是否能夠保護好你的數據?能否成功地恢復數據?能否快速讓業務從攻擊事件重新運轉起來?最終令自己無論是在自身業務層面還是在合規層面都取得盡可能更好的結果。
金融服務機構在應對勒索攻擊方面仍存不足
由于受到龐大的數據量、嚴格的安全要求、復雜的數據模型等因素影響,金融行業的企業、機構在數據保護方面的相關建設是極為復雜的,但它們卻又是勒索軟件攻擊者所最為中意的目標群體。據Sophos發布的《2022年金融服務勒索軟件狀況報告》的調查數據顯示,55%的組織在2021年遭受過勒索軟件攻擊,這一數據相比2020年的34%有顯著增長。但同時,該報告還揭示金融服務業的數據加密率為54%,明顯整體的平均水平(65%)。
報告調研結果還顯示,在受攻擊的金融服務機構中,有52%的受訪者選擇通過支付贖金來恢復數據,這也明顯高于全球平均水平(46%),而在平均補救成本方面,則是達到了159萬美元,同樣高于全球平均水平的140萬美元。
由此可見,金融行業在應對勒索軟件攻擊方面顯然仍存有較大不足。前文提到,金融服務數據本身具有復雜性的特點,這也意味著恢復這些數據所面臨的挑戰會更大。因此,除了要做好包括數據加密、數據管理、第三方的數據風險評估等方面的安全工作之外,還需要在很多方面做得更好。
首先是要有一個清晰的存檔策略,通過一致的規則來控制那些數據留在平臺上,而哪些數據應該移除甚至刪除,同時還要確保將來可以在必要的時候能夠檢索歸檔的數據。
其次是需要制定備份和恢復關鍵數據的策略。從任一時間點恢復數據對金融機構而言是必要的,因為不可能指望通過簡單的備份就能夠在所期望的RTO(恢復時間目標)內完成恢復工作。
最后是在第三方供應商的選擇和管理方面要更加嚴格,以避免因供應鏈安全問題導致自身遭到意外損失。
在這里,我們有必要強調良好的災備體系建設對于保障企業數字化業務連續性的重要性。
我國企業災備體系建設仍大幅落后于歐美
事實上,我國金融領域在災備建設方面相對其他行業要更為完善一些,在具體標準方面,也有《銀行業信息系統災難恢復管理規范》(2009年7月1日起施行)。但從整體看,我國企業在災備方面的建設仍有較大不足。
在2022年的全國兩會中,就有關于強化國家數據災備體系建設的提案出現,在該提案中,重點指出了我國在數據災備建設方面存在的“兩低一高”現象,具體內容如下:
一是數據災備投入偏低。數據顯示,2020年我國信息基礎設施投資中災備占比僅為2%,而美國和歐洲分別是6%和5%;
二是災備覆蓋率低。我國大中型企業綜合災備覆蓋率僅為34%,美國達到87%,是我國的2.6倍,歐洲為83%,是我國的2.4倍;
三是業務停機損失高于歐美。抽樣調查表明,2021年我國大中型企業因為停機造成損失平均達到78萬美元,美國為42萬美元。
提案指出,關鍵信息基礎設施領域的數據災備既直接關系信息安全,又間接覆蓋國家安全體系全部16種安全,解決不當就會成為數字中國建設的短板,甚至成為國家“阿喀琉斯之踵”。
應對勒索攻擊的安全建設需有“底線思維”
首先我們簡單回顧一個發生在去年年底的一個案例,東亞某知名銀行網上銀行服務就曾連續兩天大規模宕機,該銀行被稱為亞洲最安全的銀行,但是因為網上銀行服務中斷,一度導致數千名客戶投訴。雖然銀行方快速發聲回應,承諾客戶存款和資金安全,但其仍不免背負不良負面效應。由于該銀行對外公開披露信息極為有限,所以外界很難得知該次宕機的真正原因,但從業務系統恢復時間以及發生連續宕機來看,更像是運維團隊排查問題進行手動恢復而引發的業務中斷。
這一案例告訴我們,一旦企業關鍵業務系統出現故障,宕機是必然結果,甚至是要被迫接受長時間宕機。無論是黑客攻擊導致,還是人為問題,又或是硬件級的物理故障,凡是以運維團隊手動恢復或協調供應商一方共同參與恢復過程的,都會很難確定恢復時間,這其間最大難點是要在既定時間內找到問題發生的原因,因為存在種種不確定性,預期的恢復時間也就沒有真正的標準可供參照。
雖然該案例并非確定是遭受勒索攻擊所導致,但證明了金融服務機構對于業務連續性的要求極高,這也是為什么他們在遭受攻擊后會更多地去考慮通過支付贖金來保證數據能夠從不可用的狀態中恢復,因為對于金融機構而言,無論是業務系統還是數據的價值普遍都會高于贖金,雖然我們都在倡導不向攻擊者支付贖金,那樣只會助長攻擊者的囂張氣焰并“激勵”他們發動更多攻擊,但企業基于自身視角對業務連續性和監管的雙方面考量和權衡,有時做出向攻擊者低頭的選擇似乎也無可指摘。
因此,對于金融服務機構這類對業務連續性保障要求極高的行業領域,制定高效的備份和恢復數據的策略就尤為重要,不僅可以保障在業務系統和數據在遭受意外時可以快速地恢復以保證業務能夠快速恢復正常運轉,更可以在遭受包括勒索軟件攻擊等網絡風險發生時有更多的應對選擇而不是去支付贖金。
這其實也印證了前文所提到的“底線思維”,它的意義在于要接受最差情況的出現,這樣可以更清晰地了解什么才是最重要的,以底線思維構建防護體系,有利于在風險到來時能更好地應對。當企業將大量的資金投入到包括邊界防御或其他一些事前防御等安全建設的時候,也應關注一個問題——這些投入即便能阻止大量的攻擊行為,但能否做到百分之百?如果不能做到,那就必須要做好最壞的打算,通過加強事后防御相關安全建設,全面提升應對已發生的安全事件的響應和恢復能力。
前文所提到的案例,無疑就是缺少底線思維的意識,并最終讓這家聲稱亞洲最安全銀行的自己咽下了苦果。
云災備令傳統災備建設高成本時代成過去式
對于多數企業來說,災備建設的高昂成本長期都是一個令人頭疼的問題,雖然企業管理者具備底線思維,但面對企業經營、發展過程中的現實情況,往往會做出妥協,要么降低災備建設標準的級別,要么就用其他低成本如簡單的備份等方式來降低支出。
隨著技術的不斷發展,災備建設高成本的狀況已有較大改觀,比如通過云災備的方式,就可以大幅降低成本,而且性能方面較之傳統災備在基礎設施建設、靈活性、恢復能力以及安全性等多個方面都具有一定的優勢,加上購買即可使用,并伴隨企業發展不同階段可以按需調整。
僅就災備建設而言,云災備的出現改變了以往需要企業自身從頭構建,轉而通過以相對較低成本采購方式實現快速部署,且升級性、可遷移性也能滿足企業未來在需求層面的變化,降低了整體投入。同時,針對企業業務系統的復雜性問題,云災備可以在異構兼容性上做得更靈活,無論在線業務系統是傳統環境、混合環境、多云混合環境均可滿足。
由此可見,當困擾企業的高成本問題得到緩解之后,對于提升數字化時代下我國整體災備體系建設有著相當積極的意義,但前提也是需要企業的管理者在安全建設方面需具備底線思維,未來網絡安全風險總體上仍會呈升級趨勢,建設對應的安全能力對于企業來說任重道遠,只有構筑整體均衡防護能力,才能讓我們應對安全風險時更有底氣。
更多信息可以來這里獲取==>>電子技術應用-AET<<
