美國最大的成品油管道運營商科洛尼爾公司,在當地時間5月7日,因勒索軟體攻擊導致關停輸油管道。經過近一週的應急處理,於當地時間5月12日恢復運營。事件導致美國東海岸成品油價格上漲。受影響區域,等待加油汽車排成長龍,美國航空也因缺少燃油停飛航班。
近年來,網路安全事件導致業務停頓的案例比較普遍。2018年8月,臺灣積體電路製造股份有限公司也曾遭遇過勒索軟體事件,導致數個晶元廠停產。2016年底,數十萬攝像頭組成的殭屍網路Mirai以當時最大的DDoS流量(620G),攻擊了美國域名服務商Dyn,導致多家知名網站無法訪問。世界經濟論壇《2020年全球風險報告》從發生的可能性和造成災難性破壞的能力角度出發,將網路攻擊列為當今十大商業風險之一。
面對網路攻擊,如何有效防禦?在攻擊事件發生後,如何快速恢復業務,減少損失?這是2021年RSA大會所選定的主題詞“Resilience(彈性)”的意義所在,也是大會要重點探討的內容。RSA大會是網路安全行業的盛會,受疫情影響,將在美國時間5月17日至20日線上舉行。
RSA大會所指的“彈性”,特指網路安全彈性或者網路空間彈性(Cyber Resilience)。其內涵是將網路安全、業務持續性和企業彈性相結合,應用靈活的安全戰略,快速應對威脅,在網路攻擊發生時最大程度減少損失,並能保持業務正常運轉。
網路安全彈性也有正面的案例。最為傑出的代表莫過於奈飛(Netflix)公司成功應對亞馬遜AWS(Amazon Web Service)雲上的一次嚴重的系統中斷事件。奈飛的流媒體業務,部署在AWS雲服務上,雖然亞馬遜AWS的服務水平協議SLA(Service Level Agreement)水平高達99.95%,但不是100%。2015年9月20日,亞馬遜美國東部區域(US-EAST-1 Region)的DynamoDB 服務出現故障,引發連鎖反應,致使與其關聯的20多個服務失效。執行在這一區域的眾多知名網際網路企業,如Airbnb、Nest、IMDb的網站不能訪問。得益於事前的故障模擬和應急演練,奈飛公司成功避開故障區域,將訪問流量遷移到AWS其他區域,沒有收到任何影響。
如何評價企業網路安全彈性優劣?顯然,業務恢復運營的時間是一個關鍵考量指標。因為勒索軟體的加密,導致工業企業停工停產,需要重灌受感染的主機的作業系統,才能徹底清除病毒,然後再連線到網路中,恢復業務系統。這個過程一般會經歷幾天時間。其次,業務恢復的比例,也是一個評價因素。總體而言,業務恢復時間越短,恢復的比例越大,網路安全彈性則越大,反之亦然。
提高網路安全彈性,可以從“多、準、快、穩”四個角度切入,這是體系化建設與實戰化運營所追求的安全實效目標。
1)防護威脅多
內外兼修的安全體系建設,對內是從防守者角度,梳理資產,定期開展風險評估,減少攻擊面。對外則構建縱深防禦架構。
2)攻擊畫像準
常態化威脅監控。結合威脅情報和大資料智慧分析等手段,能夠在海量告警中準確的發現威脅,對攻擊團伙,攻擊手段精準畫像。
3)應急響應快
實戰化安全運營。出現安全事件後,能夠快速應急響應。攻防演練是檢驗業務系統安全性的最佳實踐。
4)業務執行穩
安全建設和運營的終極目標,就是保障業務持續穩定執行。
關注本屆RSA大會,同時更應該關注您的企業的網路安全和彈性。您對業務停擺的最長容忍時間是多長?想要提高網路安全彈性,先從網路安全應急響應預案和演習開始吧。
根據多年攻防經驗,綠盟科技應急響應服務結合綠盟科技專業應急響應團隊數十年的技術積累,整合公司的研究、產品、服務等能力,針對突發性威脅快速研究分析漏洞細節,提取攻擊特徵,輸出到威脅情報和產品規則,形成防護能力,提供可落地的安全防護方案,依託覆蓋全國的安全服務體系,幫助企業儘快對有重大危害的資訊系統和網路安全事件作出響應。在安全事件管理的全生命週期中,透過有效的制度流程、組織管理及技術手段,為企業提供多階段、多層級、多形式服務,有效降低安全事件造成的影響和損失,提升企業應對威脅的能力。
參考資料
1.《 2020年全球風險報告》
https://www.weforum.org/reports/the-global-risks-report-2020
2.奈飛公司Blog
https://netflixtechblog.com/chaos-engineering-upgraded-878d341f15fa