วันสำรองข้อมูลโลก: ทีมไอทีและความปลอดภัยต้องทำงานร่วมกันให้ดียิ่งขึ้น มิฉะนั้นเราจะล้มเหลว

เหมือนในหนังเรื่อง”Groundhog Day”เพลงจะเล่นทุกวันที่ 31 มีนาคม และในวันสำรองข้อมูลโลก เราจะนึกถึงคำสัญญาที่ว่า”ข้าพเจ้าขอสาบานอย่างจริงจังว่าจะสำรองข้อมูลเอกสารสำคัญและใบสมัคร”เป้าหมายอันสูงส่งที่ทุกบริษัทและผู้ใช้ทุกรายเห็นด้วยในทันที

แต่ในช่วงสัปดาห์ที่มีวันสำรองข้อมูลโลก (World Backup Day) เราได้ยินจากสื่อว่าบริษัทต่างๆ ถูกแฮ็กและข้อมูลของพวกเขาถูกแย่งชิงโดยแรนซัมแวร์ คำมั่นสัญญาที่ยิ่งใหญ่ในการกู้คืนข้อมูลจากการสำรองข้อมูลและทำให้สามารถต้านทานความพยายามในการแบล็กเมล์ได้ก็จะถูกทำลายอีกครั้ง

ตัวเลขดังกล่าวสามารถพิสูจน์ได้ด้วยตัวมันเอง และรายงานอุตสาหกรรม ENISA ล่าสุดเกี่ยวกับภาคการขนส่งให้ข้อเท็จจริง. ปีที่แล้ว แรนซัมแวร์เป็นภัยคุกคามที่โดดเด่น คิดเป็น 38 เปอร์เซ็นต์ของการโจมตีที่บันทึกไว้ทั้งหมด โดยมีการลบข้อมูลที่ 30 เปอร์เซ็นต์ และมัลแวร์ที่ 17 เปอร์เซ็นต์ อยู่ในอันดับที่สองและสามตามลำดับ รายงานเน้นย้ำอย่างชัดเจนว่าเนื่องจากสงครามรัสเซีย/ยูเครน ผู้กระทำการและแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐได้ทำการโจมตีเป้าหมายต่อภาคการขนส่งในยุโรป มีหลักฐานชัดเจนว่าแรงจูงใจมุ่งไปสู่การ”ก่อกวนและทำลายปฏิบัติการ”

บริษัทต่างๆ ไม่ควรมองเพียงแค่แรนซัมแวร์เพียงอย่างเดียวเช่นกัน ไม่จำเป็นต้องเป็นการกระทำที่ไม่เป็นมิตรเสมอไป การสำรองข้อมูลและกระบวนการกู้คืนความเสียหายที่เกี่ยวข้องนั้นคุ้มค่า เมื่อรถขุดตัดเส้นใยแก้วนำแสงที่สำคัญในระหว่างงานก่อสร้างที่สนามบินแฟรงก์เฟิร์ตเมื่อต้นเดือนกุมภาพันธ์ การดำเนินงานก็เปลี่ยนไปเป็นระบบและสายที่ซ้ำซ้อนอย่างราบรื่น อย่างไรก็ตาม เมื่อพยายามเปลี่ยนกลับเป็นการทำงานปกติ ระบบหลักก็สั่นคลอนและต้องปิดตัวลงเป็นเวลาหลายชั่วโมง เที่ยวบินหลายพันเที่ยวถูกยกเลิกและชื่อเสียงของลุฟท์ฮันซ่าเสียหาย

การทำงานร่วมกันคือกุญแจสำคัญ

ทำไมบริษัทต่างๆ จึงมีช่วงเวลาที่ยากลำบากกับภารกิจนี้ เหตุผลประการหนึ่งคือความซับซ้อนของสภาพแวดล้อมและการพึ่งพาซอฟต์แวร์และข้อมูลที่เพิ่มขึ้นซึ่งมีการกระจายมากขึ้น พวกเขาพยายามควบคุมการแพร่กระจายและลงเอยด้วยโซลูชันสำรองข้อมูลและกู้คืนระบบแบบแยกส่วนจำนวนมาก ผลลัพธ์: แอปพลิเคชันบางอย่างถูกมองข้าม ตกหล่นและตาข่ายนิรภัย ในกรณีฉุกเฉิน กระบวนการต้องดำเนินการด้วยตนเองโดยผู้ที่มีความเครียดสูง ข้อผิดพลาดเกิดขึ้นและสิ่งนี้จะเพิ่มเวลาการกู้คืน นี่คือจุดที่บริษัทต่างๆ ควรเริ่มปรับปรุงให้ทันสมัยโดยแทนที่การเติบโตที่ไม่สามารถควบคุมได้ด้วยแพลตฟอร์มการจัดการและรักษาความปลอดภัยข้อมูลส่วนกลาง พร้อมด้วยแผนความยืดหยุ่นในการดำเนินงานด้านดิจิทัลที่แข็งแกร่ง

นอกเหนือจากคำตอบทางเทคนิคแล้ว สิ่งสำคัญสำหรับบริษัทต่างๆ เพื่อให้แน่ใจว่า ทีมรักษาความปลอดภัยทำงานอย่างใกล้ชิดกับทีมโครงสร้างพื้นฐานที่มีหน้าที่รับผิดชอบในการกู้คืนข้อมูลในท้ายที่สุด ทั้งสองทีมต้องร่วมมือกันเพื่อยับยั้งผลที่ตามมาของการโจมตีที่ประสบความสำเร็จ และในขณะเดียวกันก็รักษาการปฏิบัติการหลัก และพวกเขาต้องประสานงานกันอย่างใกล้ชิดเพื่อฟื้นฟูระบบให้สะอาดและแข็งแรง เพื่อไม่ให้ถูกโจมตีซ้ำอีก

ทั้งสองทีมควรตกลงในสี่สิ่งนี้:

ITOps และ SecOps ควรเป็นเจ้าของร่วมกันในผลลัพธ์ของความยืดหยุ่นทางไซเบอร์ 

ผลลัพธ์ของความยืดหยุ่นทางไซเบอร์ควรกำหนดในลักษณะที่เป็นกลางและวัดผลได้ โดยได้รับการจัดการอย่างเหมาะสมโดยบทบาท CISO/CIO ที่รวมกัน

ผลลัพธ์ด้านความยืดหยุ่นทางไซเบอร์เหล่านี้จำเป็นต้องรวม RPO และ RTO เชิงรุกที่กำหนดเป้าหมายเฉพาะสำหรับวัตถุประสงค์โดยรวม: ทีม ITOps และ SecOPs ต้องสามารถกู้คืนบริการและข้อมูลที่สำคัญได้แม้ในระหว่างเหตุการณ์ทางไซเบอร์ เช่น โจมตีแรนซัมแวร์และส่งมอบผลลัพธ์ทางธุรกิจ

RPO และ RTO จะแนะนำทั้งสองทีมด้วยว่าการควบคุมและ KPI ใดที่จำเป็นต่อการส่งมอบมาตรการรักษาความปลอดภัยที่ต้องการ สิ่งเหล่านี้จะเป็นส่วนหนึ่งของแผน Digital Operational Resiliency ซึ่งเป็นขั้นตอนนอกเหนือจากแนวทาง DR/BCP ที่หลายบริษัทใช้ในปัจจุบัน

2. การวางแผน ITOps/SecOps ร่วมกันโดยสอดคล้องกับเป้าหมายมาตรการรักษาความปลอดภัย 

เมื่อทั้งสองทีม ได้แก่ SecOps และ ITOps ตกลงร่วมกันในวัตถุประสงค์ร่วมกันแล้ว พวกเขาสามารถเริ่มการสนทนาตามข้อเท็จจริงเกี่ยวกับวิธีการ สร้างความสมดุลระหว่างการลงทุนในการป้องกันการควบคุม และการควบคุมที่ลดผลกระทบให้เหลือน้อยที่สุดหากมีการฝ่าฝืน เมื่อปฏิบัติตามแนวทางนี้ การสนทนาด้านงบประมาณร่วมกันนี้จะสอดคล้องกับท่าทางการรักษาความปลอดภัยและกำหนดลำดับความสำคัญที่เหมาะสมเพื่อให้บรรลุความยืดหยุ่นในการดำเนินงานแบบดิจิทัล

3. ความเข้าใจที่ครอบคลุมระหว่างทีม ITOps/SecOps ของพื้นผิวการโจมตี

ทั้งสองทีมต้องมีความเข้าใจเดียวกันเกี่ยวกับพื้นผิวการโจมตีที่อาจเกิดขึ้น

เพื่อรับข้อมูลเชิงลึกเหล่านี้ ทั้งสองทีมจำเป็นต้องรู้ว่าองค์กรจัดเก็บข้อมูลใด และทุกอย่างอยู่ที่ใด (ในองค์กร, ไพรเวทคลาวด์, สาธารณะ/มัลติคลาวด์)

ทั้งสองทีมควรมีความเข้าใจตรงกันในระดับของ วุฒิภาวะที่องค์กรของพวกเขามีกับการมองเห็นข้อมูล สิ่งนี้จะช่วยให้พวกเขาเข้าใจความเสี่ยงที่อาจเกิดขึ้นจากการโจมตีทางไซเบอร์และการสูญหายของข้อมูลได้ดีขึ้น

4. การประสานงานระหว่าง ITOps/SecOps กับการตอบสนองต่อเหตุการณ์

ท้ายที่สุด ทั้งทีม ITops และ SecOps จำเป็นต้องเพิ่มการทำงานร่วมกันเพื่อให้โต้ตอบได้ดีขึ้นระหว่างการตอบสนองต่อเหตุการณ์ เพื่อให้บรรลุเป้าหมายนี้ ทีม ITOPs จำเป็นต้องเชื่อมโยงกับกระบวนการตอบสนองต่อเหตุการณ์ เพื่อประเมินคุณภาพของการโต้ตอบและเพื่อระบุปัญหาที่อาจเกิดขึ้น ทั้งสองทีมควรทำการฝึกซ้อมและการจำลองแบบเป็นประจำเป็นแบบฝึกหัดบนโต๊ะ รวมถึงการทดสอบการกู้คืนผ่านห้องปลอดเชื้อเพื่อสาธิต RTO ซึ่งมักจะแตกต่างจากการกำหนดเวลา BCP แบบดั้งเดิม p>

เครดิตรูปภาพ: Wayne Williams

Mark Molyneux เป็น CTO ของ EMEA สำหรับ Cohesity