网络弹性组织 ： 防弹恢复的最大准备

菲尔·古德温IDC基础设施系统、平台和技术集团研究副总裁 目录 IDC意见..........................................................................................................................................................3Methodology.................................................................................................................................................4Findings ........................................................................................................................................................4发现：数据和工作负载保持不变风险..........................................................................................................................5发现：“防弹”恢复是至高无上....................................................................................................................................7发现：测试和验证是必要的........................................................................................................................................8发现：网络攻击的准备和响应需要协调一致的努力ITOps和SecOps ........................................................................................................................................................10发现：网络弹性始于C - Suite...................................................................................................................................13发现：快速检测可减少冲击和速度回收....................................................................................................................15发现：全面的网络准备会影响网络保险政策和保费.................................................................................................................................................................17发现：事件响应技能是最缺乏..................................................................................................................................18未来Outlook ................................................................................................................................................19挑战/机遇....................................................................................................................................................20Conclusion..................................................................................................................................................21关于IDCAnalyst..........................................................................................................................................22 IDC意见 网络攻击可能是当今世界IT组织面临的最大生存威胁。网络威胁发展迅速，明天的威胁格局可能与我们今天的想象完全不同。在检测、预防和恢复技术快速发展的同时，网络攻击者使用的方法也变得越来越复杂。人工智能（AI）可以提高我们的检测和响应能力，但它也可以帮助网络犯罪分子进行攻击。由于网络攻击的高风险和风险，组织必须专注于提高网络弹性。这意味着不仅要计划恢复或建立防御边界，还要建立一种完全集成的姿态，即主动准备和强大的“防弹”恢复能力。 不幸的是，许多组织遭受网络攻击的重大损失和业务后果。我们认为，这些问题的一些原因包括： ⊲数据蔓延，数据分散在本地、云和边缘存储库中，导致更高的入侵风险和更大的应用难度网络防御⊲各种存储库缺乏标准化的网络恢复工具和流程，使响应复杂化⊲组织采取战术方法进行入侵检测和恢复，而不是将其视为长期战略计划 网络复原涉及两项关键工作：入侵防御和入侵恢复。 ⊲ITOps和SecOps团队之间缺乏协调，导致准备工作孤立，通常是不同领导结构的结果 网络复原涉及两项关键工作：入侵防御和入侵恢复。没有任何预防措施可以保证不会发生入侵。组织每天经常报告数百甚至数千次攻击尝试，特别是在金融服务等某些领域。攻击者的可能性很简单：他们可以在99％的时间内失败并仍然成功，而对于防御者来说，任何低于100％的成功都可能是灾难性的。 由于入侵始终是一种可能性，因此组织需要100％的“防弹”恢复能力来快速恢复，避免数据丢失并消除支付赎金的需要。 Methodology Commvault试图了解组织如何应对网络弹性，网络响应中常见的差距以及高级IT专业人员学习和描述的最佳实践。为了促进这项研究，Commvault委托IDC进行独立的努力，以找到这些重要问题的答案。 IDC使用的研究方法是最全面的方法，涉及所有三种主要研究方法：由美国主要公司（几家跨国公司）的八名IT领导者组成的焦点小组，拥有CIO，CTO和CISO头衔；对其他CIO的个人深入访谈；以及对高级IT和安全专业人员的全球调查，n = 513。 Findings 调查提供了大量受众的有统计意义的数据。在这种情况下，我们的500多名受访者代表了来自北美、欧洲、非洲、南亚和澳大利亚/新西兰的全球受众。受访者都来自拥有2500名或更多员工的中型到大型组织，分布在23个行业。 焦点小组作为研究工具的优势在于能够深入研究主题并产生广泛的评论。此外，与会者可能有不同的观点，可以对这个问题进行更广泛的讨论。在这种情况下，所有焦点小组受访者都是C级高管，直接参与组织的网络弹性战略和实施。这些联合研究工作的关键发现如下所述。 发现：数据和工作负载仍处于恒定风险中 IT和业务领导者都了解网络攻击的持续风险，大多数人都了解网络攻击的风险和后果。在我们的调查中，61%的受访者认为，由于日益复杂的访问，未来12个月内的数据丢失“很可能”到“很可能” (第3 - 5行图1)；只有39%的人发现这种情况“不太可能”或“根本不可能” (第1 - 2行图1). 组织领导者认识到这种风险的事实并不像他们认为风险最高的领域那么令人惊讶。鉴于历史上对云工作负载安全性的担忧，我们惊讶地发现，内部部署和物理工作负载被视为最脆弱的。图2（下一页）显示了这些结果。（注意：等级为1 =根本不脆弱，5 =非常脆弱）。 我们认为这一发现是因为大多数网络恢复和准备解决方案都针对虚拟基础架构；相对较少的是针对物理本地工作负载。这些类型的工作负载通常托管在具有Unix或其他操作系统的关键任务系统上。因此，对于那些混合了虚拟，物理和传统工作负载的组织，重要的是要考虑能够满足所有组织网络要求的解决方案。 发现：“防弹”恢复至关重要 网络复原能力活动可以粗略地分为两个领域:预防和缓解。我们的焦点小组成员一致认为，没有一个组织可以100%肯定地防止攻击。因此，恢复的能力不能受到损害。其中一位小组成员总结道: 不管我在检测和预防上花费了多少精力，我仍然需要知道我可以恢复，我需要能够告诉我的高管和董事会，是的，我们有这种能力，并且已经过测试。这里需要防弹，因为你在探测和保护时永远不会防弹。“ -房地产信息技术/CIO/CISO高级副总裁 IDC认为这种可恢复性水平是网络弹性的基础，使备份和恢复成为任何网络弹性战略的核心。然而，仅靠备份产品是不够的。为了有效地实现网络弹性，数据安全产品必须与网络恢复生态系统,包括检测/转移能力(例如,恶意软件检测、蜜罐)、报告能力(即,安全信息和事件管理[SIEM]以及安全编排、自动化和响应[SOAR]工具)、审计工具等。 发现：测试和验证至关重要 灾难恢复测试和网络恢复测试经常被组织忽视和处理不足，主要是因为它们对组织来说是如此耗时和侵扰。由于网络攻击是“何时”而不是“如果”，验证恢复系统再重要不过了。根据一个我们的小组成员： 当涉及到备份以及离线备份和在线备份时，我会说我们做得不好的是测试备份的完整性。 -CTO，建筑 同样，恢复验证是关键。组织需要高度自信地知道他们的恢复策略将是成功的。有不同的测试方法，其中这三种是最常见的： ⊲“飞行前”检查：预检检查是一种机制，可以检查源和目标恢复环境的一致性，适当的配置，它还检查最新的软件和驱动程序以及可能导致故障转移失败的其他问题。 ⊲模拟试验:模拟软件执行故障转移测试计划，而无需物理移动任何数据或工作负载。模拟测试通常是对组织无中断，因为生产系统无中断地运行。模拟可以找到在预检检查中没有看到的故障点。 ⊲物理测试:物理测试涉及数据工作负载从生产基础架构到恢复基础架构的实际故障转移。组织，因为在故障转移期间系统可能暂时不可用。 由于物理测试对IT来说是耗时的，并且对业务具有破坏性，因此大多数组织很少或根本不这样做。但是，测试对于为组织提供恢复成功的最佳机会至关重要。那些努力最成熟的人将频繁的飞行前检查与至少每季度的模拟测试和至少每年一次的全面物理测试相结合。正如我们的一位小组成员所说： 更多的注意力集中在保护和检测数据泄露上。感觉更活跃。感觉更像是日常类型的事情。另一个[恢复数据]也应该引起日常关注，但你有点假设它正在发生。是的，你做测试，希望当那 时刻到了，你所有的测试都证明了，是的，它是可以恢复的，而且没有受到损害。“