2024年构建强大的网络弹性数据恢复策略报告-Veeam

内容 介绍 在当今的数字优先世界中，网络安全是必不可少的。您今天阅读的所有网络安全博客或白皮书都不可避免地以勒索软件为主要内容，这不足为奇。这听起来很烦人（我们知道！），但勒索软件已经成为各种规模的组织所面临的最大威胁，并且针对的是最关键的基础架构和行业部门。这是一场猫捉老鼠的游戏，随着新威胁的出现，安全团队必须适应才能跟上。企业运营、政府职能和个人活动的无处不在的数字化使在线存储和传输的敏感数据量呈指数级增长。不幸的是，这种转变也扩大了网络犯罪分子的攻击面，因此强有力的网络安全措施至关重要。 网络威胁，从数据泄露和勒索软件攻击到复杂的国家支持的网络间谍活动，对关键基础架构的完整性、个人信息的隐私甚至全球经济的稳定性构成重大风险。因此，由于网络攻击威胁（主要是勒索软件）是迫在眉睫的危机，每个组织都应将数据安全放在首位。遗憾的是，85%的组织在2022年至少遭遇过一次勒索软件攻击1。更令人担忧的是，如今的勒索软件攻击不仅会锁定组织的数据，还会泄露、窃取、出售或存档这些数据，以用于其他勒索计划。 防止恶意访问这些数据应是任何网络安全计划的首要目标。然而，任何组织的防御都不可能坚不可摧。因此，拥有恢复数据的能力同样也很重要。在受勒索软件影响的组织中，生产数据丢失率平均为15%2，这凸显了精心设计可靠数据恢复计划的重要性。 有效的网络安全实践可防止未经授权的数据访问，确保运营的连续性，并维护消费者和服务提供商之间的信任。随着网络威胁的复杂性和规模不断演变，网络安全在保护数字资产、保护个人隐私和维护国家安全方面的重要性怎么强调都不为过。它是我们数字社会架构中的关键支柱，确保我们能够自信地在这个领域导航、创新和交流。 NIST网络安全框架(CSF) 2.03的最近更新标志着网络安全标准方法的关键演变，反映了数字威胁日益复杂和普遍的世界中不断变化的情况。 本文探讨了更新的NIST CSF框架，并讨论了Veeam Software可如何协助实施该框架。 NIST网络安全框架的背景 NIST网络安全框架（CSF）于2014年首次推出，旨在满足日益增长的对统一网络安全风险管理方法的需求。该框架由美国国家标准与技术研究院（NIST）通过与私营和公共部门实体合作制定，旨在为组织提供一套行业标准，以帮助保护其信息系统。CSF的目标是帮助组织了解和改进网络安全风险的管理，这也将提高关键基础设施的安全和弹性。 NIST网络安全框架(CSF) 2.0于2024年2月发布，基于以前的版本，并且有几项重大变化，这些变化反映了网络安全环境的演变以及从社区中收到的反馈。 CSF 2.0的覆盖范围不只限于关键基础架构领域；它已经过修订，可惠及任何规模或类型的所有组织，因此，该指南更加普遍适用。 CSF的核心围绕着六个主要功能进行组织，一起考虑这些功能时，这些功能可根据网络安全风险生命周期给出一项包罗万象的建议。 •识别 ：使组织加深理解以管理系统、人员、资产、数据和功能面临的网络安全风险。这包括识别关键业务流程和关键资产，以及它们的漏洞和威胁。 •保护 ：实施适当的保护措施，以确保关键服务的交付，并限制或遏制潜在网络安全事件的影响。这包括身份管理、访问控制、数据安全和保护技术。•检测 ：采取措施及时识别网络安全事件的发生。持续监控和威胁检测是此功能中的关键功能。•响应 ：在检测到网络安全事件时采取行动。这包括事件响应计划、分析、缓解和沟通。•恢复 ：维护弹性计划并还原因网络安全事件而受损的功能或服务。及时恢复到正常操作是我们的目标。•治理（新）：CSF 2.0中的此新功能侧重于网络安全风险的全面管理和治理。在这里，组织建立他们的网络安全风险管理战略、政策和监督，包括定义角色和责任以及将网络安全整合到企业风险管理中。 新的“治理”职能提升了问责制和透明度的基本目标，并作为一股团结力量，协助各组织确定其他五项职能中概述的目标的优先次序和实现。它还强调，网络安全不是一个独立的问题，而是构成企业风险的一个组成部分。新职能的监督部分特别有助于组织遵守监管框架（如SEC法规），这些框架强调在做出IT安全选择时加强对高级管理层和董事会的问责制。 为了提高清晰度和相关性，保留并更新了五个原始功能（识别、保护、检测、响应和恢复），以反映不断变化的网络安全威胁和实践，从而确保组织能够在动态的数字环境中有效管理和降低其网络安全风险。与治理相关的元素也已转移到新创建的“治理”职能中。此外，现在更清楚地说明了每个职能的主要目标。通过认识到这些任务不是连续的，而是包罗万象的网络安全战略中相互依存的部分，这种重组旨在实现一种更具凝聚力和联系的网络安全方法。 现在，对网络安全供应链风险管理的关注也更加明显，新的控制措施旨在将供应链风险管理整合到整个组织的网络安全计划中。 现在向该框架的用户还提供了针对其特定需求量身定制的实施示例4和快速入门指南5。这包括一个可搜索的参考文献目录6，可通过参考工具访问，使组织能够将指南映射到50多个其他相关的网络安全文档。 主要变化包括 ： 1.CSF 2.0将其适用范围扩展到关键基础架构领域之外。修订后的框架旨在使指南更具普遍适用性，从而使各种规模或行业的所有组织受益。 2.“治理”功能的加入是CSF 2.0的重大增强。该职能提升了问责制和透明度的核心目标，同时作为一股统一的力量，帮助各组织确定优先次序并实现其他五项职能中概述的目标。它强调将网络安全集成到整体企业风险管理中，而不仅仅是将其视为一个独立的问题。“管理”职能的监督部分对于组织遵守诸如SEC法规等监管框架特别有用，这些法规强调董事会和高级管理层在制定与网络安全相关的决策时应承担更大的责任。3.高度关注供应链风险管理。CSF 2.0更加重视管理供应链中的网络安全风险。还引入了新的控制措施，以将供应链风险管理整合到整个组织的网络安全计划中。这充分说明了保护合作伙伴、厂商和服务提供商的整个生态系统的重要性。 NIST CSF 2.0中的这些增强功能为组织提供了一个更全面、适应性更强的框架，帮助他们驾驭复杂的网络安全环境。通过扩大范围、引入“治理”功能、更新核心功能并强调供应链风险管理，CSF 2.0为组织提供了加强网络安全态势和建立抵御不断变化的威胁所需的工具和指导。 现在还为该框架的用户提供了针对其特定需求量身定制的实施示例7和快速入门指南8。这包括可搜索的参考文献目录9，可通过参考工具访问，使组织能够将指南映射到50多个其他相关的网络安全文档。 可靠的数据恢复基础 作为数据可用性策略的一部分，数据恢复通常是网络安全计划的最后一站，因此需要充分考虑和规划。组织不仅要利用3-2-1-1-0数据保护策略等措施，而且还需使用一套可备份整个基础架构的数据并支持在网络事件后将其还原到健康状态的可靠工具，以便在任何情况下都能快速恢复数据。 Veeam客户可通过Veeam Data Platform以安全可靠、精心编排和详细记录的方式实现上述目标。通过使用一整套工具，包括Veeam Backup & Replication、Veeam ONE和Veeam Recovery Orchestrator，客户不仅能够执行数据备份和恢复，而且还可根据NIST网络安全框架的所有阶段要求实现数据安全目标。 本文的其余部分大量引用了上述NIST网络安全框架，旨在为IT组织、安全团队和决策者提供在该框架内有效使用Veeam Data Platform所需的洞察和知识。我们还希望为您提供另一个丰富的信息源和功能，以帮助识别关键数据、检测恶意软件、保护数据、快速响应主动威胁和快速恢复干净数据，同时突出显示可用于实现这些目标的关键功能。 NIST功能“识别”（ID） 网络安全与传统灾难恢复(DR)有一个共同的核心问题 ：你不能保护你不知道的东西。较之主动对抗和应对网络安全威胁，对需要保护的资产进行编录和分类似乎无关紧要，但了解面临风险的内容和相对优先级是应对网络威胁的第一步。Veeam解决方案具有以下可靠功能，可成为识别关键数据的多层策略的重要组成部分。 期望的网络安全成效 ： 了解组织当前的网络安全风险。 对关键系统和数据进行编录 为了制定可靠恢复计划，IT和安全需要与业务部门密切合作，以识别整个组织中存在的所有工作负载和数据，并对其进行编录和优先级排序。建议先从Veeam ONE中提供的报告和Veeam Backup &Replication备份的系统目录开始。所有关键数据均应进行备份，Veeam解决方案可明确指出是否存在未受保护的虚拟机器（VM）或数据。 同样，安全团队使用的网络和安全工具可以在您的环境中创建系统列表。比较这些不同的系统通常可发现每个工具的数据保护缺口，从而尽量完善保护和恢复计划。 通过标记和分类来识别数据并对其进行优先级排序 通过利用Veeam Backup & Replication中的标记和数据分类功能，客户可以从现有的工作负载目录（其备份）开始，然后应用标签来识别系统元数据，如位置、所有者和恢复优先级。这种做法有时会突出显示缺失的数据，指出您的数据保护差距，并识别正确制定数据恢复计划所需的关键元数据。 应用元数据后，客户便可使用Veeam Recovery Orchestrator中的向导驱动型恢复计划功能来创建恢复计划，从而缩短制定计划所需的时间。然后，客户可与业务团队一同单独审查该计划，以根据业务需求确保其准确性和完整性。 通过自动恢复测试凸显不足和变更 确定备份或计划是否可随时使用的最佳方法是对其进行测试。Veeam Recovery Orchestrator的自动化测试功能有助于确保部分或全部基础架构的全面可恢复性，从而带来巨大优势。除了在测试执行过程中减少劳动力的明显好处外，自动执行测试恢复过程还意味着更频繁的测试，从而可以更快地突出显示缺陷。 系统未备份或未列入计划是频繁测试可以发现的问题之一。定期查看相关测试结果并修复任何缺陷有助于组织进一步明确需要保护的对象。 NIST功能“保护”（PR） 备份基础架构对任何IT环境都有着特殊的意义。它不仅为数据安全构成了最后安全屏障，而且还包含所有数据的多个副本（越重要，副本越多），包括生产环境中可能已被删除的数据。因此，它成为了犯罪分子突破安全屏障、窃取数据和提高其赎金勒索计划成功率的理想目标。因此，保护备份基础架构本身至关重要。 期望的网络安全成效 ： 实施保障措施以确保您的资产安全。 零信任的备份基础架构 保护备份的第一步是防止对备份管理系统本身的未经授权的访问。应实施零信任原则—明确验证、假设违规和使用最小权限访问，以尽可能加大横向移动到备份基础架构的难度。 使用多重身份验证（MFA）并部署单独的专用数据保护身份和访问管理（IAM）系统，可确保您的用户及其凭据得到适当验证并加大破坏难度。实施最小权限访问（例如拥有单独的管理员和操作帐户）还可以防止意外错误并最大程度地减少权限升级。最后，在配置所有内容时，都应假定基础架构的其余部分已遭到破坏。这意味着将备份组件隔离到隔离的网络上，并限制通过虚拟专用网络或远程连接访问Veeam备份和复制控制台本身。 备份基础架构的每个级别均应采用上述方法，但每个级别看起来可能略有不同。这意味着操作系统、文件共享、带外管理以及用于管理它们的任何应用程序都应遵循类似的原则。 分析备份基础架构合规性 为了帮助客户正确实施零信任原则，Veeam Backup & Replication控制台采用了名为“安全与合规分析器”（原“最佳实践分析器”）的内置实用程序，用于分析Veeam基础架构并报告尚未根据我们的建议实施的配置项目。该分析应定期运行，并应更正或暂停每个不合规项目。然后，暂停的项目将注明用户以及暂停日期/时间。修复完成后，应再次运行分析，并记录结果。 确保在需要时备份始终可用 现在，删除备份以使数据无法恢复已成为一种常见勒索软件功能。因此，确保您的备份无法被篡改或删除至关重要。 不可变性是计算机科学领域中很