隨著全球數(shù)字化進(jìn)程的不斷推進(jìn)，越來(lái)越多的企業(yè)所面臨的無(wú)非就是兩種選擇，要么主動(dòng)數(shù)字化，要么被動(dòng)數(shù)字化，但無(wú)論何種方式，數(shù)字化的潮流不可逆，這一結(jié)果也意味著企業(yè)必須要面對(duì)隨之而來(lái)的數(shù)字安全風(fēng)險(xiǎn)。與此同時(shí)，全球企業(yè)在數(shù)字化的過(guò)程中也在不斷加深對(duì)于安全的認(rèn)知，尤其是企業(yè)的業(yè)務(wù)開(kāi)始數(shù)字化之后，與之相關(guān)的數(shù)據(jù)泄露風(fēng)險(xiǎn)、業(yè)務(wù)中斷風(fēng)險(xiǎn)等等都是無(wú)法承受之重，無(wú)論是歐美的薩班斯法案（SOX）、美國(guó)最嚴(yán)格隱私法《加州消費(fèi)者隱私法案》（CCPA）、歐盟《通用數(shù)據(jù)保護(hù)條例》以及我國(guó)于2021年施行的《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等，都對(duì)企業(yè)的信息安全提出了嚴(yán)格的要求，同時(shí)也讓企業(yè)在安全建設(shè)上面臨巨大的挑戰(zhàn)，一面是要與隱藏于暗處的攻擊者對(duì)抗，另一面也要積極應(yīng)對(duì)合規(guī)要求以避免遭受法律風(fēng)險(xiǎn)帶來(lái)的嚴(yán)重后果。

　　隨著勒索軟件攻擊的肆虐，企業(yè)所面臨的數(shù)字風(fēng)險(xiǎn)進(jìn)一步加大，那么在安全建設(shè)方面，應(yīng)該如何應(yīng)對(duì)呢？在此前我們與國(guó)內(nèi)專注于數(shù)據(jù)保護(hù)、災(zāi)備領(lǐng)域的企業(yè)——CloudWonder嘉云的創(chuàng)始人兼CEO王志友的溝通中，他所提出的“底線思維”非常值得借鑒，我們也非常認(rèn)可。安全建設(shè)要兼顧到各個(gè)方面，但同時(shí)要有底線，而這個(gè)底線就是在遭遇攻擊后，你是否能夠保護(hù)好你的數(shù)據(jù)？能否成功地恢復(fù)數(shù)據(jù)？能否快速讓業(yè)務(wù)從攻擊事件重新運(yùn)轉(zhuǎn)起來(lái)？最終令自己無(wú)論是在自身業(yè)務(wù)層面還是在合規(guī)層面都取得盡可能更好的結(jié)果。

　　金融服務(wù)機(jī)構(gòu)在應(yīng)對(duì)勒索攻擊方面仍存不足

　　由于受到龐大的數(shù)據(jù)量、嚴(yán)格的安全要求、復(fù)雜的數(shù)據(jù)模型等因素影響，金融行業(yè)的企業(yè)、機(jī)構(gòu)在數(shù)據(jù)保護(hù)方面的相關(guān)建設(shè)是極為復(fù)雜的，但它們卻又是勒索軟件攻擊者所最為中意的目標(biāo)群體。據(jù)Sophos發(fā)布的《2022年金融服務(wù)勒索軟件狀況報(bào)告》的調(diào)查數(shù)據(jù)顯示，55%的組織在2021年遭受過(guò)勒索軟件攻擊，這一數(shù)據(jù)相比2020年的34%有顯著增長(zhǎng)。但同時(shí)，該報(bào)告還揭示金融服務(wù)業(yè)的數(shù)據(jù)加密率為54%，明顯整體的平均水平（65%）。

　　報(bào)告調(diào)研結(jié)果還顯示，在受攻擊的金融服務(wù)機(jī)構(gòu)中，有52%的受訪者選擇通過(guò)支付贖金來(lái)恢復(fù)數(shù)據(jù)，這也明顯高于全球平均水平（46%），而在平均補(bǔ)救成本方面，則是達(dá)到了159萬(wàn)美元，同樣高于全球平均水平的140萬(wàn)美元。

　　由此可見(jiàn)，金融行業(yè)在應(yīng)對(duì)勒索軟件攻擊方面顯然仍存有較大不足。前文提到，金融服務(wù)數(shù)據(jù)本身具有復(fù)雜性的特點(diǎn)，這也意味著恢復(fù)這些數(shù)據(jù)所面臨的挑戰(zhàn)會(huì)更大。因此，除了要做好包括數(shù)據(jù)加密、數(shù)據(jù)管理、第三方的數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估等方面的安全工作之外，還需要在很多方面做得更好。

　　首先是要有一個(gè)清晰的存檔策略，通過(guò)一致的規(guī)則來(lái)控制那些數(shù)據(jù)留在平臺(tái)上，而哪些數(shù)據(jù)應(yīng)該移除甚至刪除，同時(shí)還要確保將來(lái)可以在必要的時(shí)候能夠檢索歸檔的數(shù)據(jù)。

　　其次是需要制定備份和恢復(fù)關(guān)鍵數(shù)據(jù)的策略。從任一時(shí)間點(diǎn)恢復(fù)數(shù)據(jù)對(duì)金融機(jī)構(gòu)而言是必要的，因?yàn)椴豢赡苤竿ㄟ^(guò)簡(jiǎn)單的備份就能夠在所期望的RTO（恢復(fù)時(shí)間目標(biāo)）內(nèi)完成恢復(fù)工作。

　　最后是在第三方供應(yīng)商的選擇和管理方面要更加嚴(yán)格，以避免因供應(yīng)鏈安全問(wèn)題導(dǎo)致自身遭到意外損失。

　　在這里，我們有必要強(qiáng)調(diào)良好的災(zāi)備體系建設(shè)對(duì)于保障企業(yè)數(shù)字化業(yè)務(wù)連續(xù)性的重要性。

　　我國(guó)企業(yè)災(zāi)備體系建設(shè)仍大幅落后于歐美

　　事實(shí)上，我國(guó)金融領(lǐng)域在災(zāi)備建設(shè)方面相對(duì)其他行業(yè)要更為完善一些，在具體標(biāo)準(zhǔn)方面，也有《銀行業(yè)信息系統(tǒng)災(zāi)難恢復(fù)管理規(guī)范》（2009年7月1日起施行）。但從整體看，我國(guó)企業(yè)在災(zāi)備方面的建設(shè)仍有較大不足。

　　在2022年的全國(guó)兩會(huì)中，就有關(guān)于強(qiáng)化國(guó)家數(shù)據(jù)災(zāi)備體系建設(shè)的提案出現(xiàn)，在該提案中，重點(diǎn)指出了我國(guó)在數(shù)據(jù)災(zāi)備建設(shè)方面存在的“兩低一高”現(xiàn)象，具體內(nèi)容如下：

　　一是數(shù)據(jù)災(zāi)備投入偏低。數(shù)據(jù)顯示，2020年我國(guó)信息基礎(chǔ)設(shè)施投資中災(zāi)備占比僅為2%，而美國(guó)和歐洲分別是6%和5%；

　　二是災(zāi)備覆蓋率低。我國(guó)大中型企業(yè)綜合災(zāi)備覆蓋率僅為34%，美國(guó)達(dá)到87%，是我國(guó)的2.6倍，歐洲為83%，是我國(guó)的2.4倍；

　　三是業(yè)務(wù)停機(jī)損失高于歐美。抽樣調(diào)查表明，2021年我國(guó)大中型企業(yè)因?yàn)橥C(jī)造成損失平均達(dá)到78萬(wàn)美元，美國(guó)為42萬(wàn)美元。

　　提案指出，關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的數(shù)據(jù)災(zāi)備既直接關(guān)系信息安全，又間接覆蓋國(guó)家安全體系全部16種安全，解決不當(dāng)就會(huì)成為數(shù)字中國(guó)建設(shè)的短板，甚至成為國(guó)家“阿喀琉斯之踵”。

　　應(yīng)對(duì)勒索攻擊的安全建設(shè)需有“底線思維”

　　首先我們簡(jiǎn)單回顧一個(gè)發(fā)生在去年年底的一個(gè)案例，東亞某知名銀行網(wǎng)上銀行服務(wù)就曾連續(xù)兩天大規(guī)模宕機(jī)，該銀行被稱為亞洲最安全的銀行，但是因?yàn)榫W(wǎng)上銀行服務(wù)中斷，一度導(dǎo)致數(shù)千名客戶投訴。雖然銀行方快速發(fā)聲回應(yīng)，承諾客戶存款和資金安全，但其仍不免背負(fù)不良負(fù)面效應(yīng)。由于該銀行對(duì)外公開(kāi)披露信息極為有限，所以外界很難得知該次宕機(jī)的真正原因，但從業(yè)務(wù)系統(tǒng)恢復(fù)時(shí)間以及發(fā)生連續(xù)宕機(jī)來(lái)看，更像是運(yùn)維團(tuán)隊(duì)排查問(wèn)題進(jìn)行手動(dòng)恢復(fù)而引發(fā)的業(yè)務(wù)中斷。

　　這一案例告訴我們，一旦企業(yè)關(guān)鍵業(yè)務(wù)系統(tǒng)出現(xiàn)故障，宕機(jī)是必然結(jié)果，甚至是要被迫接受長(zhǎng)時(shí)間宕機(jī)。無(wú)論是黑客攻擊導(dǎo)致，還是人為問(wèn)題，又或是硬件級(jí)的物理故障，凡是以運(yùn)維團(tuán)隊(duì)手動(dòng)恢復(fù)或協(xié)調(diào)供應(yīng)商一方共同參與恢復(fù)過(guò)程的，都會(huì)很難確定恢復(fù)時(shí)間，這其間最大難點(diǎn)是要在既定時(shí)間內(nèi)找到問(wèn)題發(fā)生的原因，因?yàn)榇嬖诜N種不確定性，預(yù)期的恢復(fù)時(shí)間也就沒(méi)有真正的標(biāo)準(zhǔn)可供參照。

　　雖然該案例并非確定是遭受勒索攻擊所導(dǎo)致，但證明了金融服務(wù)機(jī)構(gòu)對(duì)于業(yè)務(wù)連續(xù)性的要求極高，這也是為什么他們?cè)谠馐芄艉髸?huì)更多地去考慮通過(guò)支付贖金來(lái)保證數(shù)據(jù)能夠從不可用的狀態(tài)中恢復(fù)，因?yàn)閷?duì)于金融機(jī)構(gòu)而言，無(wú)論是業(yè)務(wù)系統(tǒng)還是數(shù)據(jù)的價(jià)值普遍都會(huì)高于贖金，雖然我們都在倡導(dǎo)不向攻擊者支付贖金，那樣只會(huì)助長(zhǎng)攻擊者的囂張氣焰并“激勵(lì)”他們發(fā)動(dòng)更多攻擊，但企業(yè)基于自身視角對(duì)業(yè)務(wù)連續(xù)性和監(jiān)管的雙方面考量和權(quán)衡，有時(shí)做出向攻擊者低頭的選擇似乎也無(wú)可指摘。

　　因此，對(duì)于金融服務(wù)機(jī)構(gòu)這類對(duì)業(yè)務(wù)連續(xù)性保障要求極高的行業(yè)領(lǐng)域，制定高效的備份和恢復(fù)數(shù)據(jù)的策略就尤為重要，不僅可以保障在業(yè)務(wù)系統(tǒng)和數(shù)據(jù)在遭受意外時(shí)可以快速地恢復(fù)以保證業(yè)務(wù)能夠快速恢復(fù)正常運(yùn)轉(zhuǎn)，更可以在遭受包括勒索軟件攻擊等網(wǎng)絡(luò)風(fēng)險(xiǎn)發(fā)生時(shí)有更多的應(yīng)對(duì)選擇而不是去支付贖金。

　　這其實(shí)也印證了前文所提到的“底線思維”，它的意義在于要接受最差情況的出現(xiàn)，這樣可以更清晰地了解什么才是最重要的，以底線思維構(gòu)建防護(hù)體系，有利于在風(fēng)險(xiǎn)到來(lái)時(shí)能更好地應(yīng)對(duì)。當(dāng)企業(yè)將大量的資金投入到包括邊界防御或其他一些事前防御等安全建設(shè)的時(shí)候，也應(yīng)關(guān)注一個(gè)問(wèn)題——這些投入即便能阻止大量的攻擊行為，但能否做到百分之百？如果不能做到，那就必須要做好最壞的打算，通過(guò)加強(qiáng)事后防御相關(guān)安全建設(shè)，全面提升應(yīng)對(duì)已發(fā)生的安全事件的響應(yīng)和恢復(fù)能力。

　　前文所提到的案例，無(wú)疑就是缺少底線思維的意識(shí)，并最終讓這家聲稱亞洲最安全銀行的自己咽下了苦果。

　　云災(zāi)備令傳統(tǒng)災(zāi)備建設(shè)高成本時(shí)代成過(guò)去式

　　對(duì)于多數(shù)企業(yè)來(lái)說(shuō)，災(zāi)備建設(shè)的高昂成本長(zhǎng)期都是一個(gè)令人頭疼的問(wèn)題，雖然企業(yè)管理者具備底線思維，但面對(duì)企業(yè)經(jīng)營(yíng)、發(fā)展過(guò)程中的現(xiàn)實(shí)情況，往往會(huì)做出妥協(xié)，要么降低災(zāi)備建設(shè)標(biāo)準(zhǔn)的級(jí)別，要么就用其他低成本如簡(jiǎn)單的備份等方式來(lái)降低支出。

　　隨著技術(shù)的不斷發(fā)展，災(zāi)備建設(shè)高成本的狀況已有較大改觀，比如通過(guò)云災(zāi)備的方式，就可以大幅降低成本，而且性能方面較之傳統(tǒng)災(zāi)備在基礎(chǔ)設(shè)施建設(shè)、靈活性、恢復(fù)能力以及安全性等多個(gè)方面都具有一定的優(yōu)勢(shì)，加上購(gòu)買即可使用，并伴隨企業(yè)發(fā)展不同階段可以按需調(diào)整。

　　僅就災(zāi)備建設(shè)而言，云災(zāi)備的出現(xiàn)改變了以往需要企業(yè)自身從頭構(gòu)建，轉(zhuǎn)而通過(guò)以相對(duì)較低成本采購(gòu)方式實(shí)現(xiàn)快速部署，且升級(jí)性、可遷移性也能滿足企業(yè)未來(lái)在需求層面的變化，降低了整體投入。同時(shí)，針對(duì)企業(yè)業(yè)務(wù)系統(tǒng)的復(fù)雜性問(wèn)題，云災(zāi)備可以在異構(gòu)兼容性上做得更靈活，無(wú)論在線業(yè)務(wù)系統(tǒng)是傳統(tǒng)環(huán)境、混合環(huán)境、多云混合環(huán)境均可滿足。

　　由此可見(jiàn)，當(dāng)困擾企業(yè)的高成本問(wèn)題得到緩解之后，對(duì)于提升數(shù)字化時(shí)代下我國(guó)整體災(zāi)備體系建設(shè)有著相當(dāng)積極的意義，但前提也是需要企業(yè)的管理者在安全建設(shè)方面需具備底線思維，未來(lái)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)總體上仍會(huì)呈升級(jí)趨勢(shì)，建設(shè)對(duì)應(yīng)的安全能力對(duì)于企業(yè)來(lái)說(shuō)任重道遠(yuǎn)，只有構(gòu)筑整體均衡防護(hù)能力，才能讓我們應(yīng)對(duì)安全風(fēng)險(xiǎn)時(shí)更有底氣。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<