調查:既然攻擊不可避免 恢復應該與防護平起平坐
責編:gltian |2018-11-27 13:34:02美國證券存托與清算公司(DTCC)最新發布的系統性風險評估調查報告顯示,網絡安全問題雖然不算什么新問題,但已飛速上升至很多人心目中最重要的短期系統性風險的位置。再加上攻擊數量與復雜性不斷上升的現狀,大部分大型企業如今承認,成功的大范圍網絡攻擊不是會不會出現的問題,而是什么時候發生的問題。
因此,公司企業不僅重視攻擊預防工作,也在增強自身彈性與恢復計劃,以便更有效地響應潛在攻擊。
傳統上,預防歷來是公司網絡安全策略的重心所在,也是大部分資源分配的去向。但既然承認了攻擊者終有一天會突破防線,恢復計劃便在近些年里躍升到了日程表前列,恢復與響應開始與攻擊預防平起平坐了。
對恢復計劃的重視日漸增加
這種優先級上的改變不僅僅是因為風險管理實踐的發展,也有部分原因在于近幾年來網絡風險監管等級的上升,尤其是在恢復計劃與目標方面。事實上,某些監管規定如今要求公司企業實現“2小時恢復”窗口,也就是要在網絡攻擊中斷了關鍵系統的頭兩個小時內制定出計劃的核心元素。
另外,鑒于很多公司的恢復計劃更關注自然和非故意的物理威脅,而不是惡意及中斷性的網絡相關風險,該問題也變得越來越重要了。今天的威脅往往在動機上與我們十年前準備應對的那些有著本質不同。因此,越來越多的公司開始審視整個企業,確保可以利用架構和網絡來恰當地響應有意的針對性攻擊,比如出自內部人故意的數據篡改和數據刪除等。
定義方法與響應
然而,因為網絡攻擊的潛在影響和公司企業的規模與復雜度范圍太廣,定義足夠的響應與恢復策略,使之涵蓋從備份被毀到針對企業中多個部門的協同攻擊,是件很困難的事。而且,對想要重新平衡網絡策略重心的公司來說,評估恢復計劃時還要考慮一些核心問題點。
第一步應該是確保通過安全模式或備用過程來恢復關鍵操作。不是所有的操作都需要立即恢復;公司企業應在攻擊發生前就建起自己的優先級列表,這樣才能在攻擊發生時知道該優先關注什么。
一旦列表上最重要的系統恢復運轉,就可以順勢緩解其他受影響區域了。任何全面的恢復計劃都應通過清除網絡攻擊的根源,處理被黑賬戶、計算機和網絡,強化安全與規程,來開啟緩解進程。另外,在正常運營重啟之前,網絡專家必須驗證攻擊者有沒有被完全清除出系統。只有證實了攻擊者已被完全清除,公司企業才可以完成正常運營的恢復動作。
信息共享是關鍵
某公司從攻擊中完全恢復后,可以通過共享該網絡攻擊的相關情報來幫助其他公司,包括攻擊的性質、本公司防御與恢復計劃中有效與無效的元素等。
實際上,信息共享已成為減輕網絡攻擊影響和防止將來再次遭受攻擊的關鍵因素。此類信息共享事關行業安全,因此,信息共享應成為關鍵基礎設施、金融機構、政府實體和網絡威脅調查機構的長期工作。只有投入進來,才能幫助其他人設置恰當的措施以防止類似的攻擊在他們自己的公司里發生。
更重要的是,此類協作對因為某些潛在網絡攻擊的規模而苦于定義足夠的響應與恢復策略的公司而言至關重要。通過信息共享,公司企業可以采納行業最佳實踐,推進發展更有效的響應與恢復方法。
今天的網絡威脅態勢與監管合規責任,要求公司企業繼續評估與發展自身風險管理方法,確保優化防御與彈性。通過行業協作、共享威脅與攻擊信息和實現最佳實踐,公司企業可以享有健壯的措施,既抵御威脅,又增強關鍵操作的彈性。