CISO聚焦 | 如何构建企业组织的网络安全韧性和数字连续性
目前网络安全态势严峻,各种勒索攻击、数据泄露、网络破坏安全事件层出不穷,作为企业的网络安全管理人员,我们应当如何做好充分的应对准备?
因此,今天想要和大家聊聊“网络安全韧性”(Cybersecurity resiliency)和“数字连续性”(Digital continuity)。先谈谈“网络安全韧性”(Cybersecurity resiliency):
“Resiliency”这个单词翻译为中文时通常翻译为“弹性”,但我更喜欢使用“韧性”,这样更能体会出在不利局面下“坚韧不拔、顽强应对”的精神,这也是我们今天所要关注的“网络安全韧性”的核心体现;
再谈谈“数字连续性”(Digital continuity):
“业务连续性”(Business continuity)大家都听到过无数次了,但是“数字连续性”(Digital continuity)可能大家听到不多。本质上来讲,数字连续性就是数字化时代的业务连续性,强调的是数字化信息/IT应用系统在业务中的可持续性,在很多语境中其实和“业务连续性”基本一致。
网络安全韧性指的是企业组织在面临包括网络安全攻击、服务中断等在内的各种网络安全事件不利影响的局面下,能够继续企业业务运营并保持增长的能力。换句话而言,网络安全韧性是数字连续性在网络安全方面的具体展现,是属于企业整体数字连续性(以及业务连续性)的其中一部分。
在VUCA时代,我们面对的世界和环境有着太多的不确定性。相信大家都知道“墨菲定律”:如果事情会出错,不管这种可能性有多小,它总会发生。网络安全亦是如此,我们目前面对的网络安全威胁攻击强度和频度都在持续进化,即便我们在网络安全方面做出了巨大的投入,但是没有谁可以保证绝对的安全,我们总会面临各种网络安全的潜在风险,无论是APT攻击、勒索病毒、数据泄露、供应链安全,或者相关人员的人为失误等等。
微软基于过去一年的相关客户服务与支持,对缺失网络安全基础控制要求导致严重影响企业网络安全韧性的情况进行统计分析。如下表所示,从中可以看到其中包含了不同类型的很多因素,充分体现出了网络安全韧性的复杂性:
信息技术的发展永远改变了企业组织与客户、合作伙伴、员工和其他利益相关者合作的方式。随着互联网采用率的增长,攻击面也在不断扩大,我们所面临的网络安全威胁的强度和频度都在不断进化,在我们“始终连接”的互联网世界中,防止网络安全威胁变得愈发困难。
而企业组织需要在业务增长、客户和用户体验、以及网络安全之间寻求合理的平衡。通常情况下,企业组织通过实施用于安全防护和安全运营(包含安全响应)的工具、技术和人员来支撑网络安全。虽然这是重要的网络安全必备基础,但实施网络安全工具和技术的根本目的是确保企业组织的数字(业务)连续性。
企业组织还应该在战略层面思考如何加强其关键系统、IT基础设施和数据中心的数字连续性,以便在面对导致不利局面时(无论是业务中断、网络安全威胁攻击、还是人为错误等等)保持韧性,继续企业业务运营并保持增长的能力。这就是数字连续性战略发挥作用的地方,企业组织需要量身定制数字连续性战略,并执行专门针对其业务需求的数字连续性计划,以确保在不利局面下的数字连续性。
随着企业组织越来越依赖于IT技术,请务必将数字连续性(以及业务连续性和灾难恢复(BCDR))视为整个企业组织的重要组成部分,而不仅仅视其为IT团队或者网络安全团队所需要关注的问题。每个企业组织都需要准备好应对由不可预见的事件引起的服务中断或其他不利影响。关键应用系统和服务的停机可能导致企业业务运营和生产力停止、收入和声誉损失,以及降低客户对企业组织的信心,而有效且高效的数字连续性计划可以帮助企业组织的应用系统、IT基础设施和数据中心抵御服务中断事件或其他不利局面的影响。
IT技术的革命与发展,见证和推动了企业组织的数字化转型。作为数字化转型的基础,网络安全是技术成功的关键推动因素,也是企业组织发展所不可缺少的。我们必须考虑业务、IT和网络安全在数字化转型中的关联一致性,只有通过引入合理充分的网络安全措施,使企业组织尽可能地抵御现代化的攻击,才能支撑企业组织实现业务创新、提高生产力并最终实现数字化转型。
随着网络环境中的安全威胁急剧增加,网络安全韧性需要构建到企业组织的核心体系架构中,并与企业财务及业务运营的韧性一样重要。企业的领导者应将网络安全韧性视为数字连续性的一个关键方面,他们应该在数字连续性管理中,像规划自然灾害或其他不可预见的事件一样为网络安全事件做好计划,并将业务运营、基础设施管理、法务、公关等内部干系人紧密的集成联合在一起,制定数字连续性战略和战术。这样做将有助于确保企业组织在不利局面下实现其核心关键业务系统和服务的持续运营,并后续逐步恢复正常的业务运营。
但它并不止于此,针对供应链的攻击行为已经成为了网络安全攻击的重要类别之一。由于许多企业组织依赖第三方供应商和服务提供商,企业领导者应将网络安全韧性规划扩展到其包含供应链生态系统在内的端到端价值链,以进一步确保实现真正有效的数字连续性和网络安全韧性。
当然,网络安全韧性只是企业韧性中的其中一个方面而已。如果一个企业组织真的想要有韧性,他们应该同时考虑除了网络安全之外许多其他方面的风险,在此就不额外展开了。
面对现代化的网络安全威胁攻击,我们也需要通过现代化的网络安全来应对。我们需要构建整体全面的网络安全韧性战略,来抵御持续进化的网络安全威胁,这涉及到企业组织中人员、流程和技术的变革,也涉及到企业领导者、业务、IT、安全以及其他内部、外部干系人之间的密切合作。
这个整体全面的网络安全韧性战略包括以下方面:
管理和权衡企业组织在数字化转型中的风险与回报,实现合理有效的网络安全投入产出。
网络安全基础控制要求。确保企业组织的核心网络安全基础控制满足安全最佳实践的基本核心要求,例如采用多因素身份验证、部署XDR进行威胁防护、及时进行安全更新、做好数据安全防护等等。
大家可能在国外的文献中,经常会看到“Cyber hygiene”或者“Basic security posture”,它们即说明此项,未来再和大家详细进行介绍。
威胁保护:针对已知攻击提供保护、预防新的攻击行为以及自动响应与修复的能力。
被攻击面管理:主动检测安全配置、威胁、漏洞,分析被攻击面并实时响应的能力。
通过故障隔离和微分区减少攻击事件和灾难的影响。
发生业务中断时的高可用性、冗余和自动恢复。
供应链韧性:了解并明确对供应链资源(包含内部、外部资源,例如云计算服务)的共同责任、依赖关系和其韧性。
有效的网络安全韧性计划,始于企业IT资产的基础知识。例如了解可用的服务以及在发生中断时可以调用的相关可用资源。在此基础上,该计划必须能够评估其自身的有效性,衡量关键服务及其依赖项的性能,测试和验证本地、云服务及其他相关依赖服务/供应链的功能和韧性,根据对企业组织构成的总体风险评估,严格确定优先次序,并在企业组织的整个数字生命周期中实现持续评估和改进。
这种整体战略方案,需要在不断变化的威胁形势背景下持续动态优化与调整,目标是推动可衡量的有效性和性能改进,缩短检测、响应、阻止和恢复的时间,并减少发生中断时的影响范围。
同时企业组织的内部、外部干系人之间的联系会日益紧密。例如,安全事件可能会导致具有隐私影响的数据泄露,需要许多内部和外部相关团队共同努力,以快速响应并将影响降至最低。从具体战术层面而言,后续我们应该考虑:
01
参考“假定被攻击”的思想,在构建并管理应用系统和技术产品时,限制威胁攻击对其的影响,以至于甚至在安全事件发生时,这些应用系统和技术产品的核心组件也能够持续安全和有效地运营。在这个方面,我们需要关注保护核心资产、提高敏捷性和采用包含公有云/混合云在内的现代化系统架构、减少被攻击面(例如关闭不必要的Internet入口)等等并持续改进。
02
在规划IT项目时,权衡潜在的威胁和发展机遇,企业组织的相关团队(无论是业务团队、IT团队还是安全团队)应共同承担整个数字技术供应链(包括基于云的安全解决方案)的网络安全韧性责任。
03
在构建系统时,除了通过“Secure by design”原则来确保系统的安全设计、通过“Secure by implementation”原则来确保系统的安全构建之外,还应嵌入安全性和采取相关措施来预测、检测、容忍、适应、响应和阻止未来持续变化的网络安全威胁(“Secure by Operation”)。
04
确保业务、IT与网络安全的关联一致性与紧密结合。企业在开发新的业务时,应充分的咨询IT团队和网络安全团队,评估和明确相关安全风险。同样的,安全团队应该充分考虑并围绕企业业务发展目标,支持业务安全的实现发展目标。
05
针对网络安全事件,制定明确清晰地企业组织的操作实践和相关流程,确保网络安全韧性能够得到充分的展现和执行。
微软在帮助企业组织提高网络安全韧性与数字连续性方面,具有非常丰富的经验。作为全球网络安全业务营收最大的IT企业,微软具有领先、全面且丰富的安全产品和技术覆盖场景/集成安全体系,为客户提供全场景、全平台、全生命周期的端到端安全能力,具有优秀的生态系统与合作伙伴体系,并充分支持与第三方集成。
微软在7个安全产品线上,集成了超过60个不同的安全产品和技术类别,所有微软安全产品系列作为一个跨云和跨平台的智能集成综合安全解决方案协同工作,能够帮助客户实现统一集成的、自动化的安全防护和管理,利用全球领先地安全产品和技术,在避免冗余和重叠的同时,最大限度地发挥其现有产品的价值,同时简化包含部署成本、管理成本在内的总体拥有成本,降低整体复杂性,并帮助企业构建全面的网络安全韧性。
我的安全哲学就是“假定被攻击”(Assume Breach),这是一个逆向的安全思维模式。
孙子兵法有云:“知彼知己,百战不殆”。在了解自身企业组织的相关IT/OT环境和业务系统的运作方式的基础上,我们需要换位从攻击者的角度来进行思考,才能有的放矢,并更有效高效的实现企业网络安全目标。
“假定被攻击”是零信任的关键原则,它可以推动零信任的具体可行落地,帮助企业组织防范攻击行为、限制攻击的影响并从攻击事件中快速恢复。“假定被攻击”不是“遇到困难就放弃吧”的悲观主义,也不是直接一开始就假定企业组织的所有安全控制措施都失效,而是分层次、分阶段假定企业组织的某种、部分甚至全部安全控制措施被破坏或失效,入侵者成功的实施了特定、部分或重大威胁攻击行为并造成了不同程度的影响。
在这种不利局面之下,我们应当如何有效且高效的应对?“假定被攻击”这个安全哲学是针对传统安全思维(将企业资产保护在一个安全的网络边界中)的重大转变,如一开始所提到的“墨菲定律”,以及我们没有谁可以保证“绝对安全”,我们需要通过“假定被攻击”的原则,推动企业组织构建整体全面的网络安全韧性和数字连续性。
作为全球领先的云计算厂商,我们与世界各地的企业组织和政府机构合作的实践经验表明,云计算是数字连续性和网络安全韧性的重要支撑力量。
由于云计算全球区域可用、跨地理位置数据复制、按需使用、快速扩展、持续安全进化和成本有效性,云能够大幅提高企业组织的运营效率和响应威胁的敏捷性。
同样它还实现了全球跨地域的高可用性,提供从企业On-premises到远程数据中心的无缝切换和故障转移的机会,免受局部地域的自然灾害或人为威胁。
如前面所介绍的,企业组织需要构建整体全面的网络安全韧性和数字连续性战略。对于所有企业组织而言,网络安全韧性和数字连续性始于战略决策,这些决策标志着企业组织从IT系统、网络安全态势到数据分级分类等一系列领域的变化。
尽管云只是可以帮助企业组织实现网络安全韧性和数字连续性的技术之一,但它的使用需要一种全面的跨企业组织的体系和方法,以识别关键业务系统及其相关威胁,根据需要将角色和资源分配到特定任务和特定人员,并最终达到企业组织所需的网络安全韧性和数字连续性目标。这绝不仅仅只是涉及到IT部门的人员,而是涉及到企业组织中人员、流程和技术的变革,也涉及到企业领导者、业务、IT、安全以及其他内部、外部干系人之间的密切合作。
微软在通过云计算提高企业组织的网络安全韧性与数字连续性方面,具有非常丰富的经验,五年前即非常前瞻性的发布了一篇白皮书《Advancing Cyber Resilience with Cloud Computing》进行相关介绍,目前来看仍不过时。
在这篇白皮书中,基于微软与世界各地的企业组织和政府机构合作的实践经验,系统性的介绍了网络安全韧性与数字连续性的最佳实践,以及利用云计算来提高网络安全韧性与数字连续性的一系列建议。核心要点如下所述。
构建整体全面的网络安全韧性和数字连续性战略。以识别关键业务系统及其相关威胁,根据需要将角色和资源分配到特定任务和特定人员。
确定哪些数据和服务将迁移到云。在此过程中确保满足数据安全、隐私合规等监管要求,以及数据存储性能、容量等技术要求。
明确云迁移的相关准备事项和优先级。例如网络传输带宽(无论是Internet还是专线),这是成功使用云服务的前提。
试点项目实施。按照既定计划和要求对相关云服务的使用进行试点和测试,确保后续项目的可行性。
优化和调整企业的相关战略和制度。例如IT战略和企业采购规范,通过云计算来实现现代化的网络安全韧性与数字连续性。
构建将数据和服务迁移到云的技术流程。鼓励所有相关干系人之间的合作与透明度,以维持信任并实现目标。
通过已验证的最佳实践来证明现有安全实践的有效性。在此基础上持续参考和利用经过验证的相关国际网络安全标准,并通过云安全的持续进化实现安全防护能力的持续进化。
定期评估现有的政策和流程。确保针对云供应商审计的灵活性,同时根据未来的实际需求考虑并调整相关的安全评估模型。
云是网络安全的未来,也是数字连续性的未来。虽然通过云计算提高网络安全韧性与数字连续性对某些企业组织而言最初可能很困难,这需要改变企业战略、技术能力和策略框架等等,但这是未来的发展趋势,对企业组织也将产生强大的积极成果,并最终赋能企业组织的数字化转型。??