网络弹性组织 ： 防弹恢复的最大准备

白皮书，Commvault赞助|2023年9月 网络安全组织： 防弹恢复的最大准备 菲尔·古德温 IDC基础设施系统、平台和技术集团研究副总裁 目录单击任何标题直接导航到该页。 IDC意见3 Methodology4 Findings4 发现：数据和工作负载保持不变风险5 发现：“防弹”恢复是至高无上7 发现：测试和验证是必要的8 发现：网络攻击的准备和响应需要协调一致的努力 ITOps和SecOps10 发现：网络弹性始于C-Suite13 发现：快速检测可减少冲击和速度回收15 发现：全面的网络准备会影响网络保险 政策和保费17 发现：事件响应技能是最缺乏18 未来Outlook19 挑战/机遇20 Conclusion21 关于IDCAnalyst22 白皮书，赞助Commvault2 2023年9月|IDC#US51259023 IDC意见 网络攻击可能是当今世界IT组织面临的最大生存威胁。网络威胁发展迅速，明天的威胁格局可能与我们今天的想象完全不同。在检测、预防和恢复技术快速发展的同时，网络攻击者使用的方法也变得越来越复杂。人工智能（AI）可以提高我们的检测和响应能力，但它也可以帮助网络犯罪分子进行攻击。由于网络攻击的高风险和风险，组织必须专注于提高网络弹性。这意味着不仅要计划恢复或建立防御边界，还要建立一种完全集成的姿态，即主动准备 和强大的“防弹”恢复能力。 不幸的是，许多组织遭受网络攻击的重大损失和业务后果。我们认为，这些问题的一些原因包括： 网络复原涉及两项关键工作：入侵防御和入侵恢复。 �数据蔓延，数据分散在本地、云和边缘存储库中，导致更高的入侵风险和更大的应用难度网络防御 �各种存储库缺乏标准化的网络恢复工具和流程，使响应复杂化 �组织采取战术方法进行入侵检测和恢复，而不是将其视为长期战略计划 𝖺ITOps和SecOps团队之间缺乏协调，导致准备工作孤立，通常是不同领导结构的结果 网络复原涉及两项关键工作：入侵防御和入侵恢复。没有任何预防措施可以保证不会发生入侵。组织每天经常报告数百甚至数千次攻击尝试，特别是在金融服务等某些领域。攻击者的可能性很简单：他们可以在99％的时间内失败并仍然成功，而对于防御者来说，任何低于100％的成功都可能是灾难性的。 由于入侵始终是一种可能性，因此组织需要100％的“防弹”恢复能力来快速恢复，避免数据丢失并消除支付赎金的需要。 Methodology Commvault试图了解组织如何应对网络弹性，网络响应中常见的差距以及高级IT专业人员学习和描述的最佳实践。为了促进这项研究，Commvault委托IDC进行独立的努力，以找到这些重要问题的答案。 IDC使用的研究方法是最全面的方法，涉及所有三种主要研究方法：由美国主要公司（几家跨国公司）的八名IT领导者组成的焦点小组，拥有CIO，CTO和CISO头衔；对其他CIO的个人深入访谈；以及对高级IT和安全专业人员的全球调查，n=513。 Findings 调查提供了大量受众的有统计意义的数据。在这种情况下，我们的500多名受访者代表了来自北美、欧洲、非洲、南亚和澳大利亚/新西兰的全球受众。受访者都来自拥有2500名或更多员工的中型到大型组织，分布在23个行业。 焦点小组作为研究工具的优势在于能够深入研究主题并产生广泛的评论。此外，与会者可能有不同的观点，可以对这个问题进行更广泛的讨论。在这种情况下，所有焦点小组受访者都是C级高管，直接参与组织的网络弹性战略和实施。这些联合研究工作的关键发现如下所述。 发现：数据和工作负载仍处于恒定风险中 IT和业务领导者都了解网络攻击的持续风险，大多数人都了解网络攻击的风险和后果。在我们的调查中，61%的受访者认为，由于日益复杂的访问，未来12个月内的数据丢失“很可能”到“很可能”(第3-5行图1)；只有39%的人发现这种情况“不太可能”或“根本不可能”(第1-2行图1). 图1 由于越来越复杂的网络攻击，未来12个月数据丢失的可能性 （受访者百分比） 11% 1=根本不可能. 28% 2.............................. 26% 3.............................. 21% 4.............................. 14% 5=很可能. n=513，基本=所有受访者；来源：由Commvault赞助的IDC自定义调查，规模：1=完全不可能，5 =非常可能 2023年8月 组织领导者认识到这种风险的事实并不像他们认为风险最高的领域那么令人惊讶。鉴于历史上对云工作负载安全性的担忧，我们惊讶地发现，内部部署和 物理工作负载被视为最脆弱的。图2（下一页）显示了这些结果。（注意：等级为1=根本不 脆弱，5=非常脆弱）。 图2 工作负载漏洞 (平均值) 2.80 本地数据存储库. 2.77 物理工作负载. 2.71 容器化工作负载. 2.67 云数据存储库. 2.65 虚拟工作负载. 2.56 边缘存储库. n=513，基数=所有受访者；来源：由Commvault赞助的IDC定制调查，2023年8月规模：1=完全不脆弱，5=非常脆弱 我们认为这一发现是因为大多数网络恢复和准备解决方案都针对虚拟基础架构；相对较少的是针对物理本地工作负载。这些类型的工作负载 通常托管在具有Unix或其他操作系统的关键任务系统上。因此，对于那些混合了虚拟，物理和传统工作负载的组织，重要的是要考虑能够满足所有组织网络要求的解决方案。 发现：“防弹”恢复至关重要 不管我在检测和预防上花费了多少精力， 我仍然需要知道我可以恢复，我需要能够告诉我的高管和董事会，是的，我们有这种能力，并且已经过测试。 这里需要防弹，因为你在探测和保护时永远不会防弹。“ -房地产信息技术/CIO/CISO高级副总裁 网络复原能力活动可以粗略地分为两个领域:预防和缓解。我们的焦点小组成员一致认为，没有一个组织可以100%肯定地防止攻击。因此，恢复的能力不能受到损害。其中一位小组成员总结道: IDC认为这种可恢复性水平是网络弹性的基础，使备份和恢复成为任何网络弹性战略的核心。然而，仅靠备份产品是不够的。为了有效地实现网络弹性，数据安全产品必须与 网络恢复生态系统,包括检测/转移能力(例如,恶意软件检测、蜜罐)、报告能力(即,安全信息和事件管理[SIEM]以及安全编排、自动化和响应[SOAR]工具)、审计工具等。 发现：测试和验证至关重要 灾难恢复测试和网络恢复测试经常被组织忽视和处理不足，主要是因为它们对组织来说是如此耗时和侵扰。由于网络攻击是“何时”而不是“如果”，验证恢复系统再重要不过了。根据一个 当涉及到备份以及离线备份和在线备份时，我会说我们做得不好的是测试备份的完整性。 -CTO，建筑 我们的小组成员： 同样，恢复验证是关键。组织需要高度自信地知道他们的恢复策略将是成功的。有不同的测试方法，其中这三种是最常见的： 𝖺“飞行前”检查：预检检查是一种机制，可以检查源和目标恢复环境的一致性，适当的配置，它还检查最新的软件和驱动程序以及可能导致故障转移失败的其他问题。 �模拟试验:模拟软件执行故障转移测试计划，而无需物理移动任何数据或工作负载。模拟测试通常是 对组织无中断，因为生产系统无中断地运行。模拟可以找到在预检检查中没有看到的故障点 。 �物理测试:物理测试涉及数据工作负载从生产基础架构到恢复基础架构的实际故障转移。 组织，因为在故障转移期间系统可能暂时不可用。 由于物理测试对IT来说是耗时的，并且对业务具有破坏性，因此大多数组织很少或根本不这样做 。但是，测试对于为组织提供恢复成功的最佳机会至关重要。那些努力最成熟的人将频繁的飞行前检查与至少每季度的模拟测试和至少每年一次的全面物理测试相结合。正如我们的一位小组成员所说： 更多的注意力集中在保护和检测数据泄露上。感觉更活跃。感觉更像是日常类型的事情。另一个[恢复数据]也应该引起日常关注，但你有点假设它正在发生。是的，你做测试，希望当那 时刻到了，你所有的测试都证明了，是的，它是可以恢复的，而且没有受到损害。“ -CIO，医疗保健 为了说明测试和验证的重要性，我们的调查发现，59%的受访者预计网络恢复工作需要几天或几周才能完成。只有41%的人认为他们可以在不到24小时内恢复。正确的测试和验证可以帮助避免长时间恢复的后果，如收入损失、客户流失、停机成本等。 发现：网络攻击的准备和响应需要 ITOps和SecOps之间的协调努力 SecOps团队主要负责入侵检测和防御，但对恢复需求和系统的可见性却很少。相反，ITOps团队负责在发生入侵时恢复数据、系统和应用程序 成功的网络攻击。不幸的是,我们的调查发现这些团体过于脱节。只有30%的SecOps团队完全理解ITOps角色和责任,只有29%的ITOps团队完全理解SecOps角色和责任。 安全似乎更多是在战略方面——我们必须做什么，编写政策——而IT方面对我们来说是实施者。他们把[解决方案]放在适当的位置。他们把架构放在适当的位置。 Ihavethemsittingrightnextdoor.Theirocesarerightnexttoeachother.It’saconceptincommunication.” -CIO/CISO，房地产 OurfocusgrouppanelemistsrangizedthisdivisionasSecOpsbeingresponsibleforthestrategyandITOpsresponsibleforthetactics.Accordingtoonepanelist: 当被要求将职责分配给各自的团队时，我们的小组得出了图3（下一页）。 图3 ITOps和SecOps职责 负责… ITOps 安全操作 •作业调度 •Monitoring •机器部署 •培训 •求助台电话 •工人补偿 •备份 •销售点系统 •应用程序支持 •修补程序管理 •软件部署 •监控安全事件 •监测工具 •合规性和法规治理 •漏洞扫描 •身份和访问管理 •技术政策变更 •配置网络 •检测和响应取证 •端点的验证和控制 来源：IDC2023 我们从我们的焦点小组了解到，关于SecOps和ITOps团队的实际组织几乎没有行业一致性。有些人将SecOps报告给CISO，将ITOps报告给CIO，有些则将CTO与其中一个或两个团队联系在一起，有些则只有一个领导者，通常是CIO。较小的组织更有可能为两个团队提供一个领导者，而较大的组织。 aremorelikelytohavethemsplit.withoutoforganizationalstructure,havingwell-coordinatedteamswhereeachunderstandstheother'sroleimprovesnetwork-restances.Accordingtooneofourpanelist: “我们必须不断地进行讨论。我们每天都会就备份及其相关事宜召开会议。我们还不断地讨论环境的运行情况以及我们如何改善该环境。我们直接开展工作-如果需要从法律角度恢复任何数据或恢复该数据，双方都直接与业务合作。” -安全，金融服务CISO/VP 然而，为了有效地利用这种通信，组织需要跨两个团队的集成工具集。例如，拥有备份系统检测和监控软件，将数据和警报馈送到SEIM工具中，可以确保任何异常行为立即被报告并采取行动。 任何有助于快速检测攻击的方法都可以最大程度地减少影响并缩短恢复时间，根据我们的小组成员的说法，自动化可以在更好的协作中发挥关键作用： 我能想到的唯一可以[改善]协作的是任何类型的自动化。……那你真的把人为因素排除了。我试着去想任何有业务职责的事情。如果我把这个过程发展得足够好 ，并且我可以把人为因素排除在外，那么[也许]我不需要一个人。如果