Cyber Security Resilience 网络安全弹性
2020年9月
在2018年的一场市场活动中,一位朋友问道,如何看待安全永续这个话题。当时在会场,我边听演讲边思考起来。其实,安全永续这个话题超级大。我先拆开分层思考一下,业务永续,其实就比较好理解,就是考量业务系统的灾备能力,如果从英文Resilience来看,就是业务的弹性,在业务连续性方面,持续性和弹性都是需要重点考量的设计。
那我不由想起2008年的时候,在某银行项目中的一些感触。当时是在运动会的分会场城市,因为一起网络故障,导致银行ATM设备暂停工作一段时间。当时我们团队是负责维护银行的网络负载均衡设备,在故障发生几分钟后,我们通过观察负载均衡设备的会话表,发现确实没有新进入的new session,没有新建立会话,而且会话保持信息表中的老化时间一直在倒计时中。显然,由于一些特殊原因,导致新的访问请求无法到达。我们特意去检查在负载均衡设备的配置,服务器健康检查策略和执行结果,并同服务器运维团队共同排查,确认服务都是可用状态。这时,所有后台运维工程师都自我分析结束,大家得到一致结论,是更前端的部分出现问题,导致业务连续性中断。
其实,我回想起这个案例,在项目执行前期都已经做好,各种演练和设计,包括动态负载均衡调整,动态启用新的资源在后台弹性部署,大家各种应急预案也都已经彩排过很多次。但是,在故障发生的那半小时,所有业务流程参与部门都手里捏了一把汗。在网络故障解除,业务恢复的阶段,所有团队都在观察后台服务运行状态,不断有部们打来电话询问,负载均衡的分配情况,包括刚恢复业务的时候,流量高峰对系统的性能压力和后端资源的使用情况。最终,平稳完成此次应急响应事件。
企业需要业务连续性,需要一定的灾备和弹性能力,来实现安全永续。在安全永续这么大的话题下,如果单独思考网络安全和业务弹性,看起来都不是很适合。安全运营和业务运维本身都是紧密不可分的综合构成,确实不应该在安全永续这个话题下,只讨论灾备,而只讨论弹性,或者只讨论网络安全。
保护组织业务连续性,组织可以通过增强自身能力建设,比如,高可靠性,高可用性,弹性计算,动态扩容,备份,快速增加资源。目前,组织已经拥有灾难恢复(Disaster recovery)是业务连续性的一个主要组成部分,其重点工作是在灾难对组织产生影响后,修复,重建,恢复和更换系统,人员和其他资产。因此,在组织中BCP(Business Continuity Plan),和DRP(Disaster Recovery Plan),都会影响和直接关系到业务的连续性和弹性。虽然是两个概念,而且是很容易混淆的概念,但是在很多组织中,二者都是以信息技术为中心,区别在于一个是恢复到业务能够提供服务,偏重于灾难之后的执行能力,另一个是业务恢复到之前的业务水平,偏重于策划,执行与管控。
当前已经有很多组织制定和完善应急预案,Business Continuity and Disaster Recovery (BCDR),但是这些预案大部分没有定期审查,以及定期演练,存在很多执行困难。同时,这些方案和预案也未能出现在组织高层管理的定期审查环节中。
在2020年疫情期间,我所服务的组织在第一时间启动BCP(Business Continuity Plan),高层紧急召开EMT(Emergency Management Team)级别会议,在ERT(Emergency Response Team)应急响应小组指导下。本人所在IT Services部门也迅速集结(在线会议)。关于所做事情,其实在2020年大家都做的内容都差不多。这里不啰嗦,得益于组织在日常运营中已经制定的各种计划和应急预案。
回到安全领域考虑的基于网络安全弹性这个话题,我们需要缩小场景,单一从网络安全角度去思考和设计。其实组织中大量服务和业务都依赖于网络系统(网络资源),特别是网络安全风险对业务连续性造成的影响,通常更难以预测,尤其是在网络安全事件发生后的处理与应急响应能力及恢复能力。
组织中网络安全专业人士正面临着强大的对手,通过了解黑客的想法可以在很大程度上减轻他们构成的威胁,威胁情报的使用可以增强组织网络安全弹性。
组织通常会有成熟的网络安全思维和网络安全战略规划,根据组织定位,以适应组织新的业务场景,并适应时建立更强的网络弹性。
首先,组织应当制定网络安全永续计划,准确评估网络安全准备状态、流程和形势,指挥安排和自动执行恢复工作流程。通过制定灾难恢复和业务连续性策略,有效降低风险。
尽管目前许多企业已经制定业务连续性和灾难恢复计划,但其中大多数策略似乎并没有跟上快速发展的网络安全威胁。因为很少有组织能做到定期测试其恢复(灾备)系统,更不用说为团队留出专门时间,来演练如何应对协同攻击。而网络安全攻击很可能会同时攻陷企业网站、电子邮件、认证服务、语音通信和终端安全管理。
最终,遭受网络攻击的组织可能需要付出数百万美元的恢复成本,此外还需要承受与停机时间、失去的业务以及受损的声誉等相关的损失。
因此,组织需要制定出一份经过充分准备,且具备良好恢复能力的可行性计划,并经过团队共同演练,并执行各种响应策略,测试组织的恢复策略,同时借助于自动化编排调度整个流程,从而有效抵御网络攻击,保障组织业务连续性。
组织还需要建设一套可自适应安全防护体系,其中包括恢复和业务连续性策略,涵盖防御、恢复和快速响应等工作,从而能够很大程度地降低风险。
组织需要关注影子系统(Shadow IT)及那些未被有效管理的业务系统,以及组织在业务系统中的供应链安全,包括一些第三方组织提供的IT资源。2020年疫情期间,许多组织面临由于第三方供应链问题导致业务连续性受到影响,有的是由于停产停工导致,也有一些是因为人力资源导致。据一个PM朋友透露,他们在疫情期间的人员调度受到很大影响,一个工作角色需要安排8人去做全备份。从A角色,一直安排到G角色和 H角色。因为交通和一些不得不考虑的场景,需要更多的相同角色员工去完成已经约定好的工作。
这里也引用一些国外专家观点,网络安全弹性的四个要素,People, Process, Technology & Data (PPTD)。同时有咨询公司提出Cyber Resilience Assessment Framework,从组织架构EAM(Enterprise Architecture Management)和ERM(Enterprise Risk Management)角度去考虑网络安全弹性。从组织安全治理(Governance)角度来看也同样需要进行设计,这里我就不再进行过多讨论。
在早期,网络安全事件可能仅仅是DDOS(拒绝服务攻击)导致的业务中断,但是从近几年来看,邮件钓鱼和网络勒索病毒肆虐。层出不穷的现代安全问题,需要更新解决方案,Modern Problems, Modern Solutions。当然,放弃简单密码只是安全专家必须接受心态转变的一个方面,需要转变组织的网络安全思维,保持网络弹性,增强组织网络弹性。在应急响应流程和制度上进行更多讨论和设计。
通常,一个安全事件响应计划 incident response plan (IRP) ,是由CSIRT(computer security incident response team)组织安全事件响应小组执行。
针对这个网络安全事件会产生,Incident Management 事件管理,Crisis Management 危机管理, 一般在重大网络安全事件期间,危机管理和事件管理会并行运行。在网络安全事件发生时,关联或者影响到隐私及合规方面有哪些,是否涉及敏感数据泄露及面临哪些法律风险。 有计划地沟通是事件响应和危机管理计划的重要组成部分。事件响应沟通侧重于协调利益相关者之间的响应工作,并确保他们拥有履行职责所需的信息。危机沟通的重点是品牌声誉管理和与重要利益相关者(stakeholder)的沟通,如公众、股东、商业合作伙伴或监管机构。
关于使用云服务的组织,在2020年疫情期间,很多组织利用云服务在弹性部署方面的天然优势,快速变化和自适应;利用云服务敏捷性,动态保障组织业务的高可用性;充分发挥云原生技术优势,在混合云环境下保持业务连续性。
这里补充一个观察,有媒体文章反馈,有部分组织遇到所在云服务的供应商在容量方面,出现瓶颈和一些扩容问题。其实,在特殊的场景下,确实会遇到大量组织同时增加云上资源。那么在混合云的场景下,组织构建灵活的架构,自适应能力,持续保障组织的业务连续性,当然也需要在安全方面增大投资。想要使得网络弹性有效,进行优化和设计也势在必行。
组织的安全是服务于组织的业务,但安全运营同样也是组织关键业务和核心业务,网络安全弹性也是业务弹性的重要组成部分。那么在全球企业中,不同组织对于网络安全弹性是如何理解和执行的呢?
最近看到一份报告,下面给大家分享一下。
行业报告:
2020年6月份,IBM Security 支持(赞助) Ponemon Institute发布网络弹性组织报告。
Conducted by the Ponemon Institute and sponsored by IBM Security, the 2020 Cyber Resilient Organization Report is the fifth installment covering organizations’ ability to properly prepare for and handle cyberattacks.
The survey features insight from more than 3,400 security and IT professionals from around the world, including the United States, India, Germany, United Kingdom, Brazil, Japan, Australia, France, Canada, ASEAN, and the Middle East.
https://securityintelligence.com/articles/build-roadmap-cyber-resilience/
https://www.ibm.com/account/reg/us-en/signup?formid=urx-45839
不断增长的网络攻击对信息技术(IT)和业务流程造成一定破坏,导致组织对网络弹性的兴趣与日俱增。越来越多的企业也在从单纯的防御性安全手段进行转变。组织开始采用一种整体方法来创建一种具有安全意识的文化。培养一种网络弹性思维,能够预防、检测、遏制数据、应用程序和IT基础设施受到的威胁并从中恢复。
在2020年网络弹性组织报告中,被指定为网络弹性“高表现者”的组织在IT安全的所有领域都表现优于其他组织。在检测和抑制攻击方面,能力强的组织(high performers)与其他组织之间的差距最大。建立网络弹性并非易事。但是,如果您从最适合您公司的正确框架和方法开始,那么这显然是值得的。
下面为我摘抄来自报告中指出的一些关键发现。
The key findings of those surveyed from the fifth annual Cyber Resilient Organization Report include:
从第五次网络弹性组织年度报告中接受调查组织的主要发现包括:
Slowly Improving: More surveyed organizations have adopted formal, enterprise-wide security response plans over the past 5 years of the study; growing from 18% of respondents in 2015, to 26% in this year’s report (a 44% improvement).
缓慢改善:在过去5年的研究中,更多接受调查的组织采用正式企业级别安全响应计划;从2015年的18%受访组织增长到今年报告中的26%(提高44%)。
Playbooks Needed: Even amongst those with a formal security response plan, only one third (representing 17% of total respondents) had also developed specific playbooks for common attack types — and plans for emerging attack methods like ransomware lagged even further behind.
需要的剧本:即使在那些有正式发布(完善)的安全响应计划的组织中,也仅有三分之一(17%)组织为常见攻击类型制定有具体的响应剧本(playbook),而针对新兴的攻击方法(如勒索软件)的响应计划相对落后。
Complexity Hinders Response: The amount of security tools that an organization was using had a negative impact across multiple categories of the threat lifecycle amongst those surveyed. Organizations using 50+ security tools ranked themselves 8% lower in their ability to detect, and 7% lower in their ability to respond to an attack, than those respondents with less tools.
复杂性阻碍响应:在接受调查的组织使用安全工具数量,会针对威胁生命周期的多个类别中产生负面影响。与使用较少工具的受访者相比,使用50种以上安全工具的组织,其检测能力将会降低8%,对攻击的响应能力降低7%。
Better Planning, Less Disruption: Companies with formal security response plans applied across the business were less likely to experience significant disruption as the result of a cyberattack. Over the past two years, only 39% of these companies experienced a disruptive security incident, compared to 62% of those with less formal or consistent plans.
更好的规划,更少的中断:在组织的业务中采用完善安全响应计划的公司,不太可能因网络攻击而经历重大中断。在过去两年中,这些组织里只有39%经历过破坏性的安全事件,相比之下,没有完善响应计划的公司中,这一比例为62%。
“While more organizations are taking incident response planning seriously, preparing for cyberattacks isn’t a one and done activity,” said Wendi Whitmore, Vice President of IBM X-Force Threat Intelligence. “Organizations must also focus on testing, practicing and reassessing their response plans regularly. Leveraging interoperable technologies and automation can also help overcome complexity challenges and speed the time it takes to contain an incident.”
“虽然越来越多的组织,已经在认真制定安全事件响应计划,但为网络攻击所做的准备,并不是一种固定不变的活动。”
组织还必须专注于定期测试、演练和重新评估他们的响应计划。利用可交互操作技术和自动化技术,也可以帮助组织面对复杂性,加快控制安全事件所需的时间。”
这里再整理一些报告中的观点分享给大家:
Cybersecurity incident response plans 网络安全事件应急响应计划,已经在组织中广泛采用,调查显示,CSIRP会减少业务的中断。但是仅有7%的组织会针对此计划进行定期审查。
虽然不可能挫败每一次攻击,但是CSIRP的准备过程,组织用来应对安全事件,极大地减少安全事件造成的损害。研究显示对CSIRP缺乏尽职调查,这可能会限制其在攻击性威胁环境中的有效性。
Cloud services lead to greater cyber resilience.
云服务有效提升网络安全弹性。
Too many tools weaken cyber resilience, but automation, visibility and interoperability improve incident response.
过多的工具会削弱网络安全弹性,但自动化、可见性和互操作性会提高安全事件应急响应能力。
The volume and severity of cyberattacks has increased.
网络攻击的数量和严重程度都有所增加。
While cyber resilience has improved overall, the ability to prevent attacks has increased most during the past five years.
网络安全弹性能力全面提升,过去五年间,防御能力增长最多。
Lack of budget and skills are still obstacles to stronger cyber resilience.
缺少预算和技能仍然是增强网络安全弹性的障碍。不足50%的组织会在高层会议中汇报网络安全弹性建设情况。
Analytics, automation, AI and machine learning enhance security posture.
分析,自动化,人工智能和机器学习增强网络安全态势。
Fostering collaboration is the primary benefit of sharing threat intelligence.
促进协作成为共享威胁情报的主要收益。共享威胁情报会增加组织的网络安全弹性。
DDoS is the most common type of attack-specific response plan.
对抗拒绝服务攻击已经成为最常见的特定应急响应计划。
Privacy is essential to ensuring cyber resilience.
隐私保护本质上是为确保网络弹性,隐私保护的强势推动,对实现网络安全弹性的目标非常重要。
当然,报告中也给出一些良好实践供大家参考。
- 面向高层的可视化,要让组织的管理层充分看到网络安全弹性报告。
- 部署一套企业级别的网络安全应急响应计划。
- 使用针对攻击特点的专用应急响应计划。
- 广泛显著使用自动化。
- 对技术进行投资。
报告中还有一些其它值得关注的细节:
- 员工技能方面,安全意识教育及网络安全人员的技能提升。
- 增强安全事件处理团队和隐私合规团队的协作能力,
- 关注组织所在行业级别的威胁情报,
- 提升互操作性,增强可视化,降低复杂度。
最后是网络弹性的定义:
Cyber resilience
Cyber resilience is defined as the alignment of prevention, detection and response capabilities to manage, mitigate and move on from cyberattacks. This refers to an enterprise’s capacity to maintain its core purpose and integrity in the face of cyberattacks. A cyber resilient enterprise is one that can prevent, detect, contain and recover from a myriad of serious threats against data, applications and IT infrastructure.
网络弹性:
网络弹性被定义为一致性的预防、检测和响应能力,以管理、减轻和从网络攻击中恢复。
这意味着企业在面对网络攻击时能够保持其核心目标和完整性的能力。
一个网络弹性企业将是能够通过防御,检测、抑制和恢复,来面对数据、应用程序和IT基础设施造成严重威胁的网络攻击活动。
至此,报告分析已经解读完毕。其实在未来5G万物互联时代,Internet of Things (IoT) system 物联网系统的网络安全弹性也会陆续进入组织视野。在这里说句套话,组织需要完善安全防护体系,基于云原生的自适应安全架构,帮助组织灵活应对数字经济时代。
写在最后,由于时间和知识结构的原因,涉及资金和保险的两个话题我未能深入考虑,但是在国内大部分项目都没有足够的预留金(contingency),一是未能成为良好习惯,二是很多客观因素,这里我们不再讨论。
由于篇幅问题,这里我们就此结尾,这些内容仅仅是我自己在业余时间的观察和分析。因此,此文将不会是很全面的研究和学习,同时,这里也不代表任何我所服务组织的观点和看法,仅代表我个人的学习和见解,仅仅用于学习和交流之目的。
随着数字化时代广泛利用云服务带来很多变化,平时我也会花很多时间去关注边缘计算,云安全,混合云,以及Collaboration on SaaS。相信在未来的一段时间,网络安全运营和业务可持续性都将会是非常热闹的话题。
最后,祝好! 郑磊 于 2020年9月12日
后记, NIST 在文档NIST Special Publication (SP) 800-160 Volume 2中,有给出Cyber Resilience的定义以及系统弹性与网络弹性的比较和不同,详见SYSTEM RESILIENCE AND CYBER RESILIENCY-COMPARING AND CONTRASTING。
在文章完成的时候,有安全村中朋友推荐大家也去看看Google发布的SRE系列图书,网上有很多读后感和中文内容分享。
SRE Books:
- Site Reliability Engineering
- The Site Reliability Workbook
- Building Secure & Reliable Systems
非常非常巧和的是,某安全圈朋友有关注RSA Conference 2021主题。 Theme: Resilience.
https://www.rsaconference.com/about/rsac-themes
其实这也是我看到RSA Conference 2021主题之后才有写这篇文章的想法。刚好花时间整理一下思路。
祝好!
网络安全弹性评估框架:(资料源于互联网,仅供大家参考,我自己也没花时间去认真研读。)
美国-cyber resilience assessment framework
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-160v2.pdf
NIST announces the release of NIST Special Publication (SP) 800-160 Volume 2, Developing Cyber Resilient Systems: A Systems Engineering Approach, which is the first in a series of specialty publications developed to support NIST SP 800-160 Volume 1, the flagship Systems Security Engineering guideline. Volume 2 addresses cyber resiliency considerations for two important yet distinct communities of interest:
Engineering organizations developing new systems or upgrading legacy systems employing systems life cycle processes and Organizations with existing systems as part of their installed base currently carrying out day-to-day missions and business functions.
欧洲:
NCSC CAF guidance
The Cyber Assessment Framework (CAF) provides guidance for organizations responsible for vitally important services and activities.
https://www.ncsc.gov.uk/collection/caf/cyber-assessment-framework
