协调更强的安全态势
传统的数据备份和恢复方法是为攻击频率较低且破坏性较小的时代设计的,这些方法优先考虑成本效益,使用较低级别的存储。
此外,计算密集型的基于文件的安全扫描会减慢恢复速度,然而,这些方法依然普遍,因为企业认为它们易于实施并且足以满足基本的网络安全合规要求。
不幸的是,攻击者的能力显著增长,超越了许多企业调整防御的能力。当快速恢复比简单地满足合规标准更为重要时,这尤其如此。在这种情况下,建立强大、主动的内部安全态势的重要性显著增加。在(可能)发生灾难的情况下,你不希望发现自己后悔没有采取必要的步骤。
虽然外部合作伙伴可以在这方面提供宝贵的专业知识,但不能忽视强大的内部安全态势。要通过安全的视角重新规划你的组织,你需要加强内部团队。理想情况下,这些团队由一名专职的内部项目经理协调,他们负责高层次的规划和执行。他们的首要目标应该是评估:准确了解数据的位置及其访问者,识别系统中的潜在脆弱点,并定义现有的威胁暴露程度。
理论上,这很简单,任何尝试过这种评估的人都知道,实践中可能会变得混乱。首先,项目经理负责整理和分析的数据可能是孤立的。仅仅搞清楚哪个团队拥有哪些数据就可能是一项巨大的挑战,特别是考虑到在一个组织中使用的各种有时互相冲突的工具。此外,还有大量数据可能会重复、不正确格式化或与不兼容的分析工具相关联,导致潜在的数据完整性问题。
专注于恢复速度
协调这些工作的人将面临两个任务:修复过去的错误,同时实施防止未来错误的协议。例如,在数据完整性方面,一旦现有数据得到验证,就需要跨团队获得对未来数据实践的认可,这些实践必须遵守特定规则,这种标准化要求公司文化发生转变。即使是最先进的自动化工具也无法弥补内部数据基础设施的分裂。“此或彼”的第三方解决方案可以提供帮助,但只有高质量的领导才能显著降低攻击风险。
当然,即使是最优秀的领导团队也无法完全消除这种风险。在当今的威胁环境中,攻击只是生活的一个事实。预防措施非常重要,但当防御最终被突破时,你需要一个应急计划。
Sophos 的研究表明,平均组织需要一个月的时间才能从中断中恢复。较长的备份窗口、过时的备份副本和长时间的停机都会导致缓慢的恢复时间目标(RTO)。根据行业的不同,停机可能会产生重大后果,包括业务和收入损失、运营放缓以及客户不满。
要实现有效策略,还需要考虑其他几个解决方案。例如,内部气隙数据金库可以充当隔离的存储库,这将数据从潜在的网络入侵中物理分离出来,并在创建后生成数据的不可变副本。配合持续数据保护(CDP)——可以近乎瞬时地将数据传输到金库——它可以帮助将数据丢失降到最低,并在几分钟或几小时内而不是几天或几周内将关键系统重新上线。
人工智能(AI)和机器学习(ML)在网络保护领域也显示出显著的前景。在环境中实施ML算法进行异常检测可以帮助减少受损数据进入金库的风险,这可以通过减少扫描和筛选不同时间戳以识别干净的数据和系统副本的需求来缩短恢复时间。
为了找到最适合组织特定需求的解决方案,对齐内部团队(即基础设施、运营和安全)至关重要。业务方的领导应指导服务水平协议(SLA)的制定,以反映公司的目标。评估组织的最佳能力并战略性地投资时间和资源是关键,这可能意味着考虑托管服务提供商(MSP)来处理公司非主要关注的任务,如网络安全。此外,将灾难恢复和网络安全策略整合到整体弹性计划中是实现全面风险管理方法的关键。
