復原能力必須能夠以組織營運仍可正常運作的方式來管理變革。此變革可能是正面的改變,例如開發新合作夥伴,也可能是負面的變動,像是成為網路攻擊的目標。
安全性團隊的第一步向來都是進行規劃。使用以風險為基礎的方法來研究風險、漏洞、可能性及影響均為完整風險局勢的一部份。為瞭解風險,可能情況會以下列方式展開:假設威脅存在,然後評估其會造成影響的可能性,最後檢查我們能夠如何封鎖任何漏洞並減少影響。持續性和復原計畫都是按照這些情況而制訂的。
有越來越多的資安長開始思考如何在面對其他非威脅性變革時,維持高度的持續性。在風險與商機、控管能力與調適能力之間取得平衡即是復原能力概況的重要部分,例如管理外部顧問團隊的安全部署,或確保可在不增加暴露風險的情況下,連結新的供應商來維護系統。
獲得整個組織之高階領導團隊的支持。這並非技術或安全性問題,而是業務挑戰。
擬定董事會層級陳述以支持復原能力。
確保具備相關程序且所有利害關係人均予以實踐。
持續發展一般威脅情報和特定產業威脅情報。
導入彈性技術,以提供更清楚的資產能見度,以及可實作新原則及控制項的集中式功能。
復原能力是指針對企業可容忍的情況採用以風險為基礎的因應方式。資安領導者做為主題專家,應與資訊長和/或董事會一起提供明確的指引,並清楚說明風險以及該採取的因應措施,進而讓組織能夠權衡正確的決策。
如果防範成本是數百萬美元,但所有損失金額(若發生)只有數千美元,則這點應該成為決策因素,而且接受風險也不會是錯誤的作法。然而,這不僅僅是關乎財務,也牽涉到商譽以及資料外洩可能造成的長期影響。您必須將所有層面都納入考量,然後嘗試根據您可以容忍的情況(以及不可容忍的情況)做出決策。
此外,請列出一張清單,指出您絕對不可或缺的資產(有時稱為最重要之資產),以及您可以暫時沒有的資產。接著,根據威脅模型來建立以該清單為基礎的分層式安全性。讓每個資產都擁有最高層級的安全性有時未必是合適或可行的作法。
任何資安長都沒有無限的預算或資源。您無法涵蓋所有工作,同時保護所有項目。然而,這不要緊。您的目標是保護對組織而言最重要的項目以及與之相關的所有內容。藉由此方法,您可以建立自己的復原能力並主動持續僅快地提供保護。
復原能力表示能夠管理我們面臨的威脅,且不會在威脅成功造成傷害時立即受到影響。復原能力可透過結合防護機制與事件回應規劃來實現。
獲得復原能力的第一步是意識到我們面臨的威脅。如果不瞭解這些威脅的本質,您就無法執行相關步驟來保護自己。瞭解威脅和自己的弱點才能為復原能力奠定成功的基礎。
具備此知識之後,您就可以實作防護機制以減少威脅產生影響的可能性,並確保能夠在威脅得逞時將影響降至最低。
但是,我們必須認清沒有任何防護機制能夠永遠提供完整的保護範圍,而且我們也無法完全預測威脅可能的變化和演進方式。因此,我們必須做好準備,以便在威脅對我們造成影響時快速又有效地做出回應。
確認我們的系統沒有任何單一失敗點有助於確保營運仍可持續進行,即使其中一項組成要素因威脅而必須停止運作,也不會造成影響。規劃和演練對事件做出的回應可讓我們盡快修復威脅並恢復正常運作。
身為資安顧問,在評估復原能力時,我所考量的一點是組織採用資料分類以及身分識別與存取管理等措施的情況。這些領域的全面性整體設計必須從安全性的層面來加以審視,以瞭解其是否健全可靠。
若要在任何組織中實現復原能力,最有效的方法之一是採取團隊合作方式,即使不是既有的公司分組,而是非正式團隊和協作環境,也依舊可行。
這點相當重要,因為在這項工作中沒有人能夠單槍匹馬獨力完成。
舉例來說,當我與開發人員共事時,他們必須深刻認知到開發應用程式所涵蓋的責任不僅僅只是提供功能,還要納入安全性,即確保客戶可以安全地使用該應用程式與我們進行業務往來。
確保組織追求相同的優良資安要求願景與行動,將有助於推動復原能力,同時也要確保在適當的時機完成滲透測試、代碼掃描及資料分類等所有作業。
我所期待的是看到資安專業人員實際協助執行專案的情形。此層面有別於資安的傳統處理方式。與資安專業人員溝通可協助企業從一開始就在專案設計中納入安全性。此作法消除了稍後再增添安全性的混亂情況,尤其是在發生資安事端之後,並從而建立復原能力。
在必須主動投入時間的各項領域中,其中一項涉及到能夠在適當的情境下,取得可據以採取行動的準確威脅情報。要這樣做並不容易,因為雖然有許多不同的可用廠商和工具都提供極詳細的威脅情報,但這些廠商和工具通常無法呈現資訊的相關性,或是將其帶入廣泛的情境中。例如,當前世界的動亂導致從地緣政治的觀點來預測網路犯罪變得相當重要。
具備說明情境的能力將為企業增添實際的價值。如果您可以根據真實世界的現況,向高階主管展示自己如何應對服務交付、營運及重要功能面臨的威脅,他們就可以看出您所執行之工作的重要性。這可讓領導階層確信您的企業處於具備復原能力的狀態。
復原能力的重要層面包含專注於與企業所執行之業務實際相符的活動。您的確可以嘗試進行演練來測試自己的復原能力,但隨著近年來新工作模式的出現,各種架構所勾勒的這些演練,可能不是目前最值得做的事情。
「您的確可以嘗試進行演練來測試自己 的復原能力,但隨著近年來新工作模式 的出現,各種架構所勾勒的這些演練, 可能不是目前最值得做的事情。」
更好的方法可能是留意近期其他企業淪為受害者的情況,然後嘗試確保您執行的復原能力活動與真實世界中發生的狀況相符,並著重在那些最有可能對您的產業(特別是您的組織)造成影響的事物。此方法可讓您實際測試復原能力。
讓我們進一步探討該想法:現在勒索軟體猖獗,但您如何針對勒索軟體測試復原能力?有效的做法是觀察對大多數組織發動攻擊的勒索軟體類型。這些勒索軟體變體是否鎖定特定產業和特定組織?其是否適用於您的狀況?您要如何利用類似企業遇到的情況來建立復原能力演練的模型,進而回應那些實際案例?
很多時候,業務方面會存在非常明顯的脫節情況。面對勒索軟體,您可能會執行復原能力演練,而部分業務團隊則可能對相關機制、勒索軟體的本質及其對工作流程的影響缺乏技術層面的瞭解。但是,當您指出某個服務可能無法使用,或資料可能遭竊或遭到勒贖時,與這些復原能力活動相關的利害關係人便能獲得準確的觀點,進而瞭解勒索軟體將如何對企業造成重大損害。
或者,他們可能會判斷可以暫時停止某些功能,而不會對企業造成損害。這些類型的復原能力活動能夠在業務與技術之間建立清楚的連結,進而增添許多價值。
復原能力涵蓋的範圍遠大於安全性,但安全性無疑是相當重要的環節。安全性就像是復原能力棋盤上的國王棋子。如果我們的進程遭推翻,且始終無法挽回局面,那麼遊戲就結束了。然而,我們周遭圍繞著其他領域,這些領域有其各自需要採取的行動,以保護整個組織。有許多項目需要受到保護,然而,由於行動次數有限,因此我們必須非常謹慎。這也是我們不斷大步朝向以風險為基礎的安全性邁進的原因。
例如,我可能有一台不含重要資訊的伺服器。但這台伺服器具有需要修補的已知漏洞。它是我們用來執行 DevOps 的後端伺服器。您相同的伺服器,以及該相同的漏洞,但這是台連線至網際網路的伺服器,且當中含有客戶資料。
儘管是相同的漏洞,我們面臨的風險卻有所不同。因此,您更加需要優先採取修補行動。
在自身能力有限的情況下,我們必須著重於真正重要的事情上。先解決重大問題,然後制定計畫以因應您可能接觸到的其他漏洞。為達成此目標,您必須根據組織的獨特性取得準確的預測型威脅情報。此以優先順序為基礎的彈性建構將可解決我們過去曾看到的許多資安營運問題。
「在自身能力有限的情況下...先解決 重大問題,然後制定計畫以因應您 可能接觸到的其他漏洞。」
