行业专家指出,网络弹性将信息安全、业务连续性和组织弹性结合在一起。在这篇文章中,他介绍了一个成功的网络弹性战略的要素,并强调了网络弹性框架的组成部分。
简介
网络弹性是一种不断发展的观点,已迅速得到认可。这个概念本质上把信息安全、业务连续性和组织弹性等领域结合在一起。
不良网络事件是指那些对网络IT系统及相关信息和服务的可用性、完整性或机密性产生负面影响的事件。
这些事件可能是故意的(例如,网络攻击)或无意的(例如,软件更新失败),并由人为、自然或两者的组合引起。
网络弹性的目标是保持实体在任何时候持续交付预期结果的能力。这意味着即使常规交付机制失败,例如在危机期间或安全漏洞之后,也要这样做。该概念还包括在此类事件发生后恢复或恢复常规交付机制的能力,以及随着风险和威胁的变化不断更新或修改这些交付机制的能力。备份和灾难恢复操作是恢复交付机制过程的一部分。
本文将介绍成功的网络弹性战略的要素,讨论网络弹性框架的组成部分,并为网络弹性管理提出最佳实践建议。
在一个乌托邦的世界里,一个组织的系统每天24小时,每周7天,一年365天毫无问题地运行。但现实情况是,不利的网络事件(无论是有意还是无意)会对组织每天有效运作的能力产生负面影响。当他们这样做时,组织对网络攻击和数据泄露的响应和恢复情况将取决于其系统的弹性。
成为一个具有网络弹性的组织意味着能够在逆境中战斗并继续运作,即使只是在降级模式下。
通常在术语“网络安全”和“网络弹性”的定义上存在一定的混淆。清楚这些术语是很重要的。
网络安全和网络弹性之间的区别是关键。网络安全的重点是保护组织免受网络攻击。它涉及防火墙、vpn、反恶意软件和卫生(如打补丁软件和固件),以及对员工进行安全行为培训。
另一方面,“网络弹性关注的是当网络安全措施失败时会发生什么,以及当系统因人为错误、停电和天气等因素而中断时会发生什么”。弹性考虑到组织的运营依赖于技术的地方,关键数据存储在哪里,以及这些领域如何受到中断的影响。
然后,它涉及到采取措施将这些中断的影响降至最低。例如,在系统被破坏的情况下要遵循的协议将是弹性计划的一部分。
组织需要了解什么是网络弹性,为什么它很重要,以及如何为有效的部署奠定基础。
组织网络弹性的需要
组织需要关注网络弹性的一个原因是,避免在采用全有或全无的安全方法时发生的灾难性故障。例如,这种方法可能假设所有攻击都可以在组织的外围停止,因此内部控制是不必要的。
同样,因为人们拥有有效的用户名和密码而让他们自由使用内部网络也可能导致灾难性的后果。这就是为什么弹性计划会考虑事件发生之前、期间和之后的行动和结果。
“弹性的主要目标是预测、承受和适应。公司需要预见到他们将会受到攻击。他们需要抵御这种攻击,并继续运营他们的关键业务职能。”(Petrenko,2019)。组织需要适应不断变化的威胁环境。
如果一个组织成为持续威胁行为者的目标,那么该组织的网络很可能会受到威胁。这就是为什么企业必须准备好抵御此类攻击。弹性允许组织这样做,最大限度地减少持续威胁的影响。在组织的信息架构中构建弹性将降低攻击成功的概率,并在攻击成功时将损失降至最低。
弹性对于降低特定组织和整个社会的长期风险状况也很重要。只有考虑到整体网络的弹性,企业不仅可以克服现有的威胁,还可以克服来自人工智能、物联网(IoT)和量子计算等技术的未来威胁。
什么是网络弹性?
网络弹性是指“在不受网络事件影响的情况下,适应和继续业务运营并实现目标的能力”。网络弹性包括为业务连续性做准备,不仅涉及网络攻击或数据泄露,还包括其他不利条件和挑战。例如,如果员工由于2019冠状病毒病(COVID-19)大流行等灾难性情况而远程工作,但仍然能够在网络安全的环境中良好地开展业务运营并取得成果,那么该公司就展示了网络弹性。
网络弹性是指企业如何应对网络威胁的过程。在当今的现代环境中,企业不仅需要防御攻击,还必须计划应对成功的安全漏洞。
网络安全主要关注企业抵御网络攻击的能力。“网络弹性具有更广泛的重点,包括安全,但也包括业务弹性-采用意识文化和从网络攻击中恢复的能力,”(Ching,2022)。
网络弹性的要素
网络弹性可以通过具体步骤来实现,这将为组织带来可持续性和敏捷性。图一展示了网络弹性的四个不可或缺的要素:
以下是对这四个元素的简要描述。
(1)主动风险管理
当网络弹性之旅开始时,需要了解威胁,并确定积极的保护公司的方法。风险是什么,组织如何在受到攻击之前采取预防措施?
该步骤包括分析系统和网络以检测漏洞。网络弹性知识需要从健康和保护良好的基础设施开始。下一步是将安全软件集成到系统和网络中。
(2)高效检测系统
即使有保护措施,公司仍然可能成为网络攻击的受害者。“识别一次数据泄露平均需要287天,”(Ching,2022),在这段时间内,数据安全受到侵犯,系统内的数据对恶意用户开放。因此,快速检测有助于在违规行为变大之前对恶意行为做出反应。
网络弹性取决于能否成功跟踪网络和系统。随着恶意行为变得越来越复杂,组织需要有一个强大的检测系统,以便在发生网络安全事件时立即采取行动。
(3)响应和恢复系统
一旦检测到漏洞或攻击,响应系统必须发挥作用。在这一步中,需要一个事件计划,确定角色和职责。此外,自动化的细粒度备份将能够高效、快速地隔离易受攻击的数据。当团队和技术在攻击后恢复时,操作将能够继续进行
(4)自我评估与提升
网络弹性的最后一个要素是评估过程并不断从经验中学习。黑客战术正在演变,网络弹性战略也应该如此。
当关注持续改进时,公司自然会与不断变化的需求保持一致。
企业需要有一个框架来管理网络弹性的过程。需要在组织中正式确定和使用一套一致和可靠的方法。
网络弹性框架
网络弹性是一个旨在帮助组织抵御攻击的框架。它不是单一的保护层或单一的产品,而是组织构建防御/防御的一种方式,这样就不会有一个事件是灾难性的。网络弹性是一个迭代过程,提供从攻击中恢复的手段。传统防御一旦被绕过就会失效,相比之下,网络弹性可以让整个组织保持警惕。
网络弹性框架帮助团队应对网络安全挑战,提供战略性的、经过深思熟虑的计划来保护数据、基础设施和信息系统。该框架提供了指导,帮助IT安全领导者更智能地管理其组织的网络风险。
“网络弹性框架的关键优势在于它推动了业务发展”。传统上,安全性是作为业务的覆盖层运行的。网络弹性将安全整合到业务本身,允许以下五个组件出现在组织的所有领域。
识别关键资产、系统和数据。企业必须了解在业务上下文中支持所有关键功能的资源。
保护关键基础设施服务。在这一步中,企业安装一线安全系统,以限制或遏制任何潜在威胁的影响。
“在重大损害发生之前检测异常事件和可疑的数据泄露或数据泄漏。这一步需要持续的安全监控。
响应检测到的安全漏洞或故障。该功能包括一个端到端事件响应计划,以确保在面对网络攻击时业务正常运行。
恢复—恢复在网络安全事件中受到损害的任何受影响的基础设施、功能或服务。这一步的重点是及时恢复正常活动。
重要的是要意识到,一个成功的网络弹性框架取决于警惕和可见性。使用自顶向下的方法,公司可以开发企业范围的事件响应策略,使他们能够快速处理威胁,同时还保持其业务模型的完整性和效率。
完善网络弹性框架
网络弹性框架为管理人员提供了一种可靠、标准化、系统的方式来减轻网络风险,而不管环境的复杂性如何。
任何框架都需要随着时间的推移而改进,下面的图2描述了组织应该考虑帮助改进网络弹性框架的五项基本活动。
最高管理协调员的身份
通过指定一名高级经理负责网络弹性,企业将有人在高管层支持网络弹性。负责网络弹性的高级经理将帮助教育董事会成员,并获得他们对事件响应自动化工具的投资和开发更全面的网络弹性框架的支持。
培育网络弹性文化
许多公司都犯了一个错误,把网络弹性完全交给了安全团队。如果只有一两个人了解这些系统以及如何保护它们,那么随着公司规模的扩大,安全态势只会变得越来越弱。
企业必须教育第一道防线,鼓励全体员工采取网络弹性的心态。所有员工都应该知道如何识别和检测恶意软件和网络钓鱼威胁,他们应该了解数据泄露的结果。
当涉及到安全问题时,领导者必须促进团队合作、开放沟通和跨团队共享。通过同行学习和持续教育,企业可以逐步灌输以安全为重点的文化,为网络弹性框架奠定坚实的基础。
制定正式的网络安全政策
强有力的风险管理政策是网络弹性框架的一个组成部分。当组织将经过验证的安全过程记录为其官方指导方针的一部分时,员工就有了一组可靠的协议来指导他们的工作。
在董事会会议上优先考虑网络弹性
请注意,事件响应策略和总体网络弹性框架是活跃的、不断发展的资产。它们不是可以束之高阁的一次性任务。审查策略和安全实践并保持更新是至关重要的。
如果所有安全问题都被孤立在一个部门中,那么强大的安全态势是不可能的。企业领导人必须至少每月一次与主要利益相关者就安全策略进行检查。通过这样做,企业可以保持高水平的网络弹性,因此组织准备应对和管理任何威胁。
为安全专业人员提供职业发展路径
最优秀的安全专业人员希望有持续学习和职业发展的机会。如果他们在目前的工作中看不到晋升的可行途径,他们就会跳槽。
通过持续的培训来培养公司内部的人才,让员工保持敬业。作为回报,该组织提供了一个促进个人和专业成长的平台,培养了一支由高技能安全专业人员组成的忠诚员工队伍。
网络弹性最佳实践
为了实现网络弹性,重要的是在人、流程和技术之间取得正确的平衡。企业常犯的一个错误是过度依赖工具和技术,而忽视了信息灵通、技术熟练的人员和精心设计的流程对网络弹性的重要性。组织应该努力将网络弹性的所有三个组成部分以互补和精简的方式结合在一起:
- 人们被认为是网络安全链中最薄弱的一环,通常是不良分子的攻击目标。毋庸置疑,确保网络弹性是每个人的责任,每个员工都意识到自己的角色、责任和责任是很重要的。
- 为了让员工具有网络弹性,组织可以采取以下一些关键措施:
- 根据员工的角色,为其提供相关的网络安全培训。
确保网络恢复力计划得到最高管理层和领导层的支持,他们定期审查网络恢复力计划,并监测应对网络安全攻击或数据泄露的准备情况。
- 教育董事会成员,使他们了解与其业务和行业网络安全趋势相关的基本网络安全术语。
在组织内部建立专家职能小组,实时监控和应对风险。
流程
正确的治理和强有力的流程对于实现网络弹性至关重要。就治理而言,一些最佳实践包括:
维护法规遵从性。
- 验证是否有适当的控制措施,并对数据进行有效操作。
- 对政策、流程和技术进行反应灵敏、灵活的调整。
“利用基于场景的预测、战争游戏和主动报告等策略,监测应对网络入侵的准备工作。
制定有效的沟通计划,记录何时以及如何通知关键利益相关者。
- 确保与组织的整体治理框架保持一致。
在流程方面,组织可以实施一些关键的网络弹性措施,包括:
创建一个全面的文档流程,用于组织内部以及外部与第三方组织的协作和信息共享。
- 为内部和外部的软件、硬件和数据实施集中式资产管理系统,以全面了解关键资产和安全控制。
- 使用持续监控系统,如安全信息和事件管理(SIEM),以及数据分析来识别和检测安全事件。
部署各种控制以防止网络安全事件,如应用程序控制、补丁应用程序、多因素身份验证和限制管理权限。
技术
技术是打击网络犯罪的最大推动力,也是实现网络弹性最值得信任和最重要的支柱。各组织在这方面的重点领域包括:
- 实现平衡的技术组合,即在工具和技术方面的投资,更多的投资应用于响应和恢复能力。
- 随着旧系统和技术变得越来越脆弱,确保所使用的技术根据行业标准安全更新。
采用更成熟和先进的方法来保护资产——使用自动化和编排技术作为响应和恢复能力的一部分。
- 创建关键资产的气隙副本,通过使用一次写、多次读/不可变存储技术,确保对数据损坏或删除的强大保护。
- 利用时间点技术来识别潜在的漏洞或感染,并制定纠正措施,并使用先进的技术,如欺骗,来欺骗攻击者
结论
- 网络弹性是指当今的组织如何拒绝被网络攻击击倒。它是衡量一个组织在任何情况下快速恢复和运行的能力的标准。
- 作为一个具有网络弹性的组织,意味着能够在逆境中战斗并继续运作,即使只是在降级模式下。
- 建立网络弹性的关键是少关注技术,多关注人。毕竟,只有在有一个熟练的团队来监督安全操作的情况下,公司才能利用数据的力量和最新的技术。
- 网络弹性不应该只留给安全团队。相反,高管们必须努力建立一种强大的文化,促进同行学习、公开讨论和持续培训。
- 网络弹性是一个迭代的过程,提供了从攻击中恢复的手段。为了实现网络弹性,重要的是在人、流程和技术之间取得正确的平衡。
- 任何框架都需要随着时间的推移而改进。公司需要计划和实施一些支持活动。
- 传统防御一旦被绕过就会变得无用,相比之下,网络弹性可以让整个组织保持持续的警惕。
