什么是网络弹性?
网络弹性是指计算系统识别、响应安全事件并从中快速恢复的能力。其目标是使组织即使在遭受网络攻击、自然灾害或人为错误导致的安全事件后,也能继续运营。网络弹性能力对IT系统、关键基础设施、业务流程、组织、社会和国家都至关重要。优秀的网络弹性策略能帮助组织在网络安全事件后维持关键业务功能或迅速恢复。
网络弹性需要持续努力,涉及信息安全的多个方面,如灾难恢复(DR)、业务连续性和计算机取证。它是组织长期积累的成果,包括应对威胁和漏洞的准备工作、已开发的防御措施以及事后缓解安全故障的资源。
尽管网络安全和网络弹性计划是独立的概念,但它们共同作用,为组织构建更强的安全态势。
为什么组织需要网络弹性计划?
组织应制定网络弹性计划,因为网络威胁不可避免,缺乏应对计划可能导致严重后果,包括 prolonged downtime 和财务损失。无论组织的网络安全实践多么强大,人为错误或零日漏洞仍可能打开漏洞。
网络弹性计划通过关注组织响应和从网络威胁或事件中快速恢复的能力,增强其安全态势。理想的计划有助于减轻潜在财务损失、增加最终用户信任和声誉、减少潜在停机时间,同时降低组织基础设施和数据面临的风险。
网络弹性的关键支柱
网络弹性的具体组成部分因公司而异,但一般包括以下内容:
- 网络安全:作为网络弹性策略的一部分,网络安全团队使用不同工具和政策保护组织的IT系统,包括硬件和软件。网络安全软件可以监控、检测和响应网络攻击。组织可以遵循国家标准与技术研究院(NIST)等团体提供的网络安全框架,实施标准化网络安全实践。
- 业务连续性:业务连续性是组织在灾难期间和之后维持关键业务功能的能力。业务连续性规划创建风险管理流程,帮助定义计划以尽快、平稳地重新建立组织完整功能,并防止任务关键服务中断。
- 风险管理:风险管理是识别、评估和控制组织资本和运营威胁的过程。这些风险可能源于各种来源,包括恶意行为者、战略管理错误、事故和自然灾害。成功的风险管理程序与网络弹性计划一起,帮助组织考虑其面临的全部风险。
- 灾难恢复:灾难恢复是组织为响应和恢复对业务运营产生负面影响的网络威胁而制定的一套程序、政策和工具。拥有灾难恢复流程的目标是帮助组织在灾难后尽快重新使用关键系统和IT基础设施。
- 事件响应:事件响应是检测和管理网络攻击的有组织和战略性方法。它关注事件期间和之后发生的情况,并定义检测、分析和从网络安全事件中恢复的具体流程。
- 加密:加密在保护传输中和静态数据方面发挥重要作用。作为网络弹性策略的一部分,加密确保数据仅对预期读取的实体可读。即使数据被威胁行为者访问或拦截,对他们来说仍然不可读。
网络弹性与网络安全的比较
网络安全是保护互联网连接系统(如硬件、软件和数据)免受网络威胁的实践。个人和企业使用它来防止未经授权访问用户数据或系统。
尽管听起来相似,但网络弹性和网络安全是两个独立的概念。网络安全侧重于预防、检测和响应威胁的主动实践,而网络弹性侧重于组织识别、响应和从这些威胁中恢复的能力。
然而,这两个概念并不相互排斥。为了加强对网络攻击的保护,组织应同时实施网络安全和网络弹性计划。
如何创建网络弹性计划
最终的网络弹性计划因组织而异。希望创建网络弹性计划的组织应根据其业务策略和风险承受能力概述其整体网络弹性策略。
为了帮助指导网络弹性策略的设计和实施,组织可以采用网络弹性框架——或紧密遵循网络弹性的框架。这些可能包括NIST网络安全框架、ISO 27001或MITRE的网络弹性工程框架等框架。这些框架由结构化指南和实践组成,旨在提高组织抵御或从网络威胁中恢复的能力。
网络弹性的另一个关键方面是深入了解风险——这意味着超越IT规划,使限制风险暴露成为策略的组成部分。组织应将其资源集中在可能产生最大影响的网络风险上,并专注于提供洞察以帮助预测这些风险的指标。
网络弹性框架应建立在围绕以下步骤的策略上,如NIST所定义:
- 识别:组织应主动寻找潜在的安全暴露迹象。这包括监控潜在的软件漏洞和配置错误的设备。
- 保护:组织应构建其基础设施以应对潜在的网络威胁,并使用网络安全工具帮助防止对关键基础设施和数据的潜在危害。
- 检测:安全工具和流程应针对事件检测进行微调,并识别潜在风险和不规则性。使用的工具和流程应能够监控关键系统,以应对内部、外部、恶意或自然威胁。
- 响应:应收集和分析任何安全事件的数据,以帮助组织做出更明智的决策。
- 恢复:为避免业务中断,组织应拥有快速恢复数据和恢复任务关键系统的系统。例如,这可能包括在云中保留客户数据备份,托管在与组织不同的地理位置。
网络威胁形势不断变化,组织应能够适应任何给定情况。例如,一旦组织从事件中恢复,应修改其安全程序并设计安全策略以防御相同问题。组织还应主动并持续审查其安全态势。
网络弹性是保护组织免受恶意或自然威胁的重要方面。了解如何在企业中构建网络弹性文化。