大小企業都可能是下一宗網絡入侵事件的受害者,有業內專家指出,及時應變,是減低網絡入侵破壞力的其中一個關鍵因素。
然而,許多企業被入侵時往往措手不及,造成這種情況的根本原因,在於認知與現實之間的落差。偵測、阻隔、預防以及從過往攻擊汲取教訓加固防線,通常都會受到企業的廣泛重視;但被入侵後怎樣復原,相關討論卻往往點到即止。
事實上,許多駭客都隸屬於有組織性的犯罪集團,他們採用的迴避偵測、誤導防禦機制、入侵等技巧越見厲害,一旦得手就可以攫取個人資料並且破壞備份,令企業難以「快速復原」。另一方面,市場趨勢顯示企業和外間機構的協作越趨緊密,物聯網、實時數據、雲端服務等新科技也快速普及,令來自其他機構的間接風險大幅增加。監管機構亦制訂保障客戶私隱的安全港條款、進行更頻密的災難復原測試、對違規實施高昂罰款等,亦增加企業的顧慮和營運負擔。
其實,入侵時間越長,對業務衝擊越大,企業有必要盡快把業務復原。而那些未有就網絡入侵準備好快速復原措施的企業,就像是用其商譽和業務前景作賭注。很明顯,這種情況必須改變。
當發生網絡被入侵的時候,一般而言,企業資訊保安總監會根據既定步驟,和其他部門及團隊合作,盡快控制風險。當中步驟包括通知規管機構、採取防範措施、劃出受影響範圍以及分析入侵模式等。與此同時,資訊科技和災難復原團隊會把營運系統切換到災難復原系統,又或者取出備份數據進行復原 (Recovery) 工作。但實際情況可能複雜得多。
然而,道高一尺,設計精密的惡意程式可能會留有後著,好像破壞備份檔案。所以當企業嘗試進行災難復原時,可能不自覺地造成更大破壞。所以,在這種分秒必爭的時刻,企業必須明確掌握備份檔案的可靠性。
另外,有些惡意程式還會快速在網絡中擴散,廣泛感染所接觸的各種裝置和設備。由於現時的基礎設施高度整合,網絡入侵可能對企業客戶和夥伴的系統造成更大威脅。因此,制止網絡攻擊固然重要,但盡快令系統復原正常狀況以避免客戶和夥伴系統停機,同樣是不可輕視的任務。
在這種情況下,只有備份系統並不能解決所有問題。企業必須重新全面審視處理網絡入侵的措施,以杜絕相關威脅,也就是進入網絡安全永續(Cyber Resilience)形態。
▲ 全球數據外洩所涉及的平均損失數字(資料來源:Ponemon 研究所)
研究機構 Ponemon Institute 撰寫的《2019 數據洩漏損失報告》指,由惡意網絡入侵造成的數據洩漏不只是最常見,也是造成企業最大損失的元凶。報告中還載有其他令人汗顏的數據,包括企業平均要用超過兩個月(84 天)才能有效控制住一宗網絡入侵的破壞勢頭;而駭客成功入侵企業網絡後,可平均在長達 230 天內不被發現!1
網絡安全永續 (Cyber Resilience) 這個理念的出現,就是為了全面解決上述問題。在這個理念當中,「復原」是其中重要的一環。筆者認為,「復原」的最佳守則需具備以下條件:
- 在不影響營運環境下簡化了測試工作;
- 減少了偵測數據受損和作出應對的所需時間;
- 採用高效的時間點復原機制,確保達到最佳的復原點目標(RPO);
- 可在頃刻之間完成大規模、數據中心級別的偵測和復原;
- 改善透明度和報告機制,即使法規改變,也能符合要求。
企業若要達到最佳守則,除了在上述的「軟」配套下功夫外,在實際軟硬件層面上也要作出配合。其中,企業需配備一套現代化的網絡安全永續架構。它包含了基於單寫多讀(Write-once-read-many,簡稱 WORM)、具備不可修改功能的儲存系統、隔絕備份與生產環境的保護措施、配置數據驗證、並且把數據、應用程式和所有基建組成部件的復原流程自動化。業務永續自動化與編排還運用了一個內含超過 600 項預設模式的龐大資料庫,以供建立起適用於多種應用程式以及實體和虛擬化環境的智能化復原流程,進一步加速方案的部署。
理想的「網絡安全永續」方案,也具備儀表板和報告功能,令管理層和工作團隊能對實時的災難復原架構和措施瞭如指掌。這些功能因此還令企業能夠達到 RPO 和 RTO(服務水平協議)的要求以及持續營運的目標。
此外,在企業文化的層面上,有一點也相當重要,就是 CIO 與 CISO 的充份協作。CISO 的傳統職責是集中改善網絡保安以及減少網絡風險;而 CIO 則是負責管理整體 IT 架構、減少災難復原的風險以及確保 IT 能妥善支援企業達到業務目標。
誠然,網絡入侵是企業揮之不去的威脅。但只要有了及時應變的機制,即使真的受到攻擊,它們就能用最短時間恢復營運。這才是最重要及寶貴。
撰文:IBM 全球科技服務部業務永續指揮歐洲、亞太、大中華區領導方案主管 Anurag Kuthiala
