就像電影《土撥鼠之日》中的一樣。每年 3 月 31 日都會播放音樂,在世界備份日,我們會想起承諾:“我鄭重宣誓備份我的重要文件和應用程序”。這是一個每個公司和每個用戶都立即同意的崇高目標。
但是在世界備份日前後的幾週內,我們從媒體上聽到公司遭到黑客攻擊,他們的數據被勒索軟件劫持。從備份中恢復數據並因此抵制任何勒索企圖的重大承諾隨後再次破滅。
數字不言自明,最新的 ENISA 運輸行業行業報告提供了事實.去年,勒索軟件是主要威脅,佔所有記錄攻擊的 38%,數據刪除佔 30%,惡意軟件佔 17%,分別位居第二和第三。報告明確強調,由於俄羅斯/烏克蘭戰爭,國家支持的行為者和黑客分子對歐洲的運輸部門進行了有針對性的攻擊。明確的證據表明動機正在轉向“破壞和破壞行動”。
公司也不應只關注勒索軟件。使備份和相關的災難恢復過程有價值的並不總是敵對行為。 2 月初,當挖掘機在法蘭克福機場的施工過程中切斷重要的光纖時,操作無縫切換到冗餘系統和線路。然而,當試圖恢復正常運行時,主系統搖搖欲墜,不得不關閉數小時。數千個航班被取消,漢莎航空的聲譽受損。
合作是關鍵
為什麼公司在完成這項任務時遇到如此困難的時期?原因之一是他們環境的複雜性以及對軟件和數據的日益依賴,這些軟件和數據變得更加分散。他們試圖控制這種蔓延,最終得到了數十個孤立的備份和災難恢復解決方案。結果:一些應用程序被忽視,從裂縫和安全網中掉下來。在緊急情況下,流程必須由壓力很大的人手動完成。錯誤會發生,這會增加恢復時間。這就是公司應該開始現代化的地方,方法是用中央數據安全和管理平台取代不受控制的增長,並輔之以強大的數字運營彈性計劃。
除了技術答案之外,公司還必須確保他們的安全團隊與最終負責數據恢復的基礎架構團隊更緊密地合作。兩個團隊都必須齊心協力,以遏製成功攻擊的後果,同時維持核心運營。他們必須密切合作,以乾淨利落地恢復系統,以免他們再次受到同樣的攻擊。
兩個團隊應該就以下四件事達成一致:
ITOps 和 SecOps 應共同擁有網絡彈性成果
網絡彈性成果應以客觀和可衡量的方式定義,最好由 CISO/CIO 聯合管理。
這些網絡彈性結果需要包括積極的 RPO 和 RTO,為總體目標定義具體目標:ITOps 和 SecOPs 團隊需要能夠恢復關鍵服務和數據,即使在網絡事件期間,例如勒索軟件攻擊,並交付業務成果。
RPO 和 RTO 還將指導兩個團隊需要哪些控制和 KPI 來交付所需的安全態勢。這些將構成其數字運營彈性計劃的一部分,該計劃超越了當今許多公司採用的 DR/BCP 方法。
2. 聯合 ITOps/SecOps 規劃與安全態勢目標保持一致
一旦 SecOps 和 ITOps 兩個團隊就共同目標達成一致,他們就可以開始基於事實的討論,討論如何平衡投資以保護控制措施,以及將被破壞時的影響降至最低的控制措施。通過採用這種方法,這種聯合預算對話與安全態勢保持一致,並定義了實現數字運營彈性的正確優先級。
3. ITOps/SecOps 團隊之間對攻擊面的全面理解
兩個團隊需要對潛在的攻擊面有相同的理解。
要獲得這些見解,兩個團隊都需要知道組織正在存儲什麼數據,以及一切都位於何處(本地、私有云、公共/多雲)
兩個團隊也應該對數據的級別有相同的理解他們的組織在數據可見性方面的成熟度。這將使他們能夠更好地了解網絡攻擊和數據丟失的潛在風險。
4. ITOps/SecOps 與事件響應之間的協調
最後,ITops 和 SecOps 團隊都需要加強協作,以便在事件響應期間更好地進行交互。為實現這一目標,ITOPs 團隊需要參與事件響應流程。為了評估他們的互動質量並找出潛在問題,兩個團隊都應該進行定期演習和模擬作為桌面練習,包括通過潔淨室進行恢復測試以證明 RTO,這通常不同於他們傳統的 BCP 時間安排。
圖片來源: Wayne Williams
Mark Molyneux 是 Cohesity 的 EMEA 首席技術官。