随着全球数字化进程的不断推进,越来越多的企业所面临的无非就是两种选择,要么主动数字化,要么被动数字化,但无论何种方式,数字化的潮流不可逆,这一结果也意味着企业必须要面对随之而来的数字安全风险。与此同时,全球企业在数字化的过程中也在不断加深对于安全的认知,尤其是企业的业务开始数字化之后,与之相关的数据泄露风险、业务中断风险等等都是无法承受之重,无论是欧美的萨班斯法案(SOX)、美国最严格隐私法《加州消费者隐私法案》(CCPA)、欧盟《通用数据保护条例》以及我国于2021年施行的《数据安全法》、《个人信息保护法》等,都对企业的信息安全提出了严格的要求,同时也让企业在安全建设上面临大的挑战,一面是要与隐藏于暗处的攻击者对抗,另一面也要积极应对合规要求以避免遭受法律风险带来的严重后果。
随着勒索软件攻击的肆虐,企业所面临的数字风险进一步加大,那么在安全建设方面,应该如何应对呢?防勒索厂商业内所提出的“底线思维”非常值得借鉴,我们也非常认可。安全建设要兼顾到各个方面,但同时要有底线,而这个底线就是在遭遇攻击后,你是否能够保护好你的数据?能否成功地恢复数据?能否快速让业务从攻击事件重新运转起来?最终令自己无论是在自身业务层面还是在合规层面都取得尽可能更好的结果。
金融服务机构在应对勒索攻击方面仍存不足
由于受到庞大的数据量、严格的安全要求、复杂的数据模型等因素影响,金融行业的企业、机构在数据保护方面的相关建设是极为复杂的,但它们却又是勒索软件攻击者所最为中意的目标群体。据Sophos发布的《2022年金融服务勒索软件状况报告》的调查数据显示,55%的组织在2021年遭受过勒索软件攻击,这一数据相比2020年的34%有显著增长。但同时,该报告还揭示金融服务业的数据加密率为54%,明显整体的平均水平(65%)。
报告调研结果还显示,在受攻击的金融服务机构中,有52%的受访者选择通过支付赎金来恢复数据,这也明显高于全球平均水平(46%),而在平均补救成本方面,则是达到了159万美元,同样高于全球平均水平的140万美元。
由此可见,金融行业在应对勒索软件攻击方面显然仍存有较大不足。前文提到,金融服务数据本身具有复杂性的特点,这也意味着恢复这些数据所面临的挑战会更大。因此,除了要做好包括数据加密、数据管理、第三方的数据风险评估等方面的安全工作之外,还需要在很多方面做得更好。
首先是要有一个清晰的存档策略,通过一致的规则来控制那些数据留在平台上,而哪些数据应该移除甚至删除,同时还要确保将来可以在必要的时候能够检索归档的数据。
其次是需要制定备份和恢复关键数据的策略。从任一时间点恢复数据对金融机构而言是必要的,因为不可能指望通过简单的备份就能够在所期望的RTO(恢复时间目标)内完成恢复工作。
最后是在第三方供应商的选择和管理方面要更加严格,以避免因供应链安全问题导致自身遭到意外损失。
在这里,我们有必要强调良好的灾备体系建设对于保障企业数字化业务连续性的重要性。
我国企业灾备体系建设仍大幅落后于欧美
事实上,我国金融领域在灾备建设方面相对其他行业要更为完善一些,在具体标准方面,也有《银行业信息系统灾难恢复管理规范》(2009年7月1日起施行)。但从整体看,我国企业在灾备方面的建设仍有较大不足。
在2022年的全国两会中,就有关于强化国家数据灾备体系建设的提案出现,在该提案中,重点指出了我国在数据灾备建设方面存在的“两低一高”现象,具体内容如下:
一是数据灾备投入偏低。数据显示,2020年我国信息基础设施投资中灾备占比仅为2%,而美国和欧洲分别是6%和5%;
二是灾备覆盖率低。我国大中型企业综合灾备覆盖率仅为34%,美国达到87%,是我国的2.6倍,欧洲为83%,是我国的2.4倍;
三是业务停机损失高于欧美。抽样调查表明,2021年我国大中型企业因为停机造成损失平均达到78万美元,美国为42万美元。
提案指出,关键信息基础设施领域的数据灾备既直接关系信息安全,又间接覆盖国家安全体系全部16种安全,解决不当就会成为数字中国建设的短板,甚至成为国家“阿喀琉斯之踵”。
应对勒索攻击的安全建设需有“底线思维”
首先我们简单回顾一个发生在去年年底的一个案例,东亚某知名银行网上银行服务就曾连续两天大规模宕机,该银行被称为亚洲最安全的银行,但是因为网上银行服务中断,一度导致数千名客户投诉。虽然银行方快速发声回应,承诺客户存款和资金安全,但其仍不免背负不良负面效应。由于该银行对外公开披露信息极为有限,所以外界很难得知该次宕机的真正原因,但从业务系统恢复时间以及发生连续宕机来看,更像是运维团队排查问题进行手动恢复而引发的业务中断。
这一案例告诉我们,一旦企业关键业务系统出现故障,宕机是必然结果,甚至是要被迫接受长时间宕机。无论是黑客攻击导致,还是人为问题,又或是硬件级的物理故障,凡是以运维团队手动恢复或协调供应商一方共同参与恢复过程的,都会很难确定恢复时间,这其间最大难点是要在既定时间内找到问题发生的原因,因为存在种种不确定性,预期的恢复时间也就没有真正的标准可供参照。
虽然该案例并非确定是遭受勒索攻击所导致,但证明了金融服务机构对于业务连续性的要求极高,这也是为什么他们在遭受攻击后会更多地去考虑通过支付赎金来保证数据能够从不可用的状态中恢复,因为对于金融机构而言,无论是业务系统还是数据的价值普遍都会高于赎金,虽然我们都在倡导不向攻击者支付赎金,那样只会助长攻击者的嚣张气焰并“激励”他们发动更多攻击,但企业基于自身视角对业务连续性和监管的双方面考量和权衡,有时做出向攻击者低头的选择似乎也无可指摘。
因此,对于金融服务机构这类对业务连续性保障要求极高的行业领域,制定高效的备份和恢复数据的策略就尤为重要,不仅可以保障在业务系统和数据在遭受意外时可以快速地恢复以保证业务能够快速恢复正常运转,更可以在遭受包括勒索软件攻击等网络风险发生时有更多的应对选择而不是去支付赎金。
这其实也印证了前文所提到的“底线思维”,它的意义在于要接受最差情况的出现,这样可以更清晰地了解什么才是最重要的,以底线思维构建防护体系,有利于在风险到来时能更好地应对。当企业将大量的资金投入到包括边界防御或其他一些事前防御等安全建设的时候,也应关注一个问题——这些投入即便能阻止大量的攻击行为,但能否做到百分之百?如果不能做到,那就必须要做好最坏的打算,通过加强事后防御相关安全建设,全面提升应对已发生的安全事件的响应和恢复能力。
前文所提到的案例,无疑就是缺少底线思维的意识,并最终让这家声称亚洲最安全银行的自己咽下了苦果。
云灾备令传统灾备建设高成本时代成过去式
对于多数企业来说,灾备建设的高昂成本长期都是一个令人头疼的问题,虽然企业管理者具备底线思维,但面对企业经营、发展过程中的现实情况,往往会做出妥协,要么降低灾备建设标准的级别,要么就用其他低成本如简单的备份等方式来降低支出。
随着技术的不断发展,灾备建设高成本的状况已有较大改观,比如通过云灾备的方式,就可以大幅降低成本,而且性能方面较之传统灾备在基础设施建设、灵活性、恢复能力以及安全性等多个方面都具有一定的优势,加上购买即可使用,并伴随企业发展不同阶段可以按需调整。
仅就灾备建设而言,云灾备的出现改变了以往需要企业自身从头构建,转而通过以相对较低成本采购方式实现快速部署,且升级性、可迁移性也能满足企业未来在需求层面的变化,降低了整体投入。同时,针对企业业务系统的复杂性问题,云灾备可以在异构兼容性上做得更灵活,无论在线业务系统是传统环境、混合环境、多云混合环境均可满足。
由此可见,当困扰企业的高成本问题得到缓解之后,对于提升数字化时代下我国整体灾备体系建设有着相当积极的意义,但前提也是需要企业的管理者在安全建设方面需具备底线思维,未来网络安全风险总体上仍会呈升级趋势,建设对应的安全能力对于企业来说任重道远,只有构筑整体均衡防护能力,才能让我们应对安全风险时更有底气。