美国最大的成品油管道运营商科洛尼尔公司,在当地时间5月7日,因勒索软件攻击导致关停输油管道。经过近一周的应急处理,于当地时间5月12日恢复运营。事件导致美国东海岸成品油价格上涨。受影响区域,等待加油汽车排成长龙,美国航空也因缺少燃油停飞航班。
近年来,网络安全事件导致业务停顿的案例比较普遍。2018年8月,台湾积体电路制造股份有限公司也曾遭遇过勒索软件事件,导致数个晶元厂停产。2016年底,数十万摄像头组成的僵尸网络Mirai以当时最大的DDoS流量(620G),攻击了美国域名服务商Dyn,导致多家知名网站无法访问。世界经济论坛《2020年全球风险报告》从发生的可能性和造成灾难性破坏的能力角度出发,将网络攻击列为当今十大商业风险之一。
面对网络攻击,如何有效防御?在攻击事件发生后,如何快速恢复业务,减少损失?这是2021年RSA大会所选定的主题词“Resilience(弹性)”的意义所在,也是大会要重点探讨的内容。RSA大会是网络安全行业的盛会,受疫情影响,将在美国时间5月17日至20日线上举行。
RSA大会所指的“弹性”,特指网络安全弹性或者网络空间弹性(Cyber Resilience)。其内涵是将网络安全、业务持续性和企业弹性相结合,应用灵活的安全战略,快速应对威胁,在网络攻击发生时最大程度减少损失,并能保持业务正常运转。
网络安全弹性也有正面的案例。最为杰出的代表莫过于奈飞(Netflix)公司成功应对亚马逊AWS(Amazon Web Service)云上的一次严重的系统中断事件。奈飞的流媒体业务,部署在AWS云服务上,虽然亚马逊AWS的服务水平协议SLA(Service Level Agreement)水平高达99.95%,但不是100%。2015年9月20日,亚马逊美国东部区域(US-EAST-1 Region)的DynamoDB 服务出现故障,引发连锁反应,致使与其关联的20多个服务失效。运行在这一区域的众多知名互联网企业,如Airbnb、Nest、IMDb的网站不能访问。得益于事前的故障模拟和应急演练,奈飞公司成功避开故障区域,将访问流量迁移到AWS其他区域,没有收到任何影响。
如何评价企业网络安全弹性优劣?显然,业务恢复运营的时间是一个关键考量指标。因为勒索软件的加密,导致工业企业停工停产,需要重装受感染的主机的操作系统,才能彻底清除病毒,然后再连接到网络中,恢复业务系统。这个过程一般会经历几天时间。其次,业务恢复的比例,也是一个评价因素。总体而言,业务恢复时间越短,恢复的比例越大,网络安全弹性则越大,反之亦然。
提高网络安全弹性,可以从“多、准、快、稳”四个角度切入,这是体系化建设与实战化运营所追求的安全实效目标。
1) 防护威胁多
内外兼修的安全体系建设,对内是从防守者角度,梳理资产,定期开展风险评估,减少攻击面。对外则构建纵深防御架构。
2) 攻击画像准
常态化威胁监控。结合威胁情报和大数据智能分析等手段,能够在海量告警中准确的发现威胁,对攻击团伙,攻击手段精准画像。
3) 应急响应 快
实战化安全运营。出现安全事件后,能够快速应急响应。攻防演练是检验业务系统安全性的最佳实践。
4) 业务运行 稳
安全建设和运营的终极目标,就是保障业务持续稳定运行。
关注本届RSA大会,同时更应该关注您的企业的网络安全和弹性。您对业务停摆的最长容忍时间是多长?想要提高网络安全弹性,先从网络安全应急响应预案和演习开始吧。
根据多年攻防经验,绿盟科技应急响应服务结合绿盟科技专业应急响应团队数十年的技术积累,整合公司的研究、产品、服务等能力,针对突发性威胁快速研究分析漏洞细节,提取攻击特征,输出到威胁情报和产品规则,形成防护能力,提供可落地的安全防护方案,依托覆盖全国的安全服务体系,帮助企业尽快对有重大危害的信息系统和网络安全事件作出响应。在安全事件管理的全生命周期中,通过有效的制度流程、组织管理及技术手段,为企业提供多阶段、多层级、多形式服务,有效降低安全事件造成的影响和损失,提升企业应对威胁的能力。
参考资料
1.《 2020年全球风险报告》
https://www.weforum.org/reports/the-global-risks-report-2020