ISACA Journal | 信息安全很重要:它与(宕机)时间有关
本专栏的热心读者知道我经常引用两项关于数据泄露的年度国际调查的结果:IBM Security Cost of a Data Breach Report和 Verizon的Data Breach Investigations Report。请注意,尽管没有明确说明,但它们都指的是对以电子形式存储以供计算机系统使用的数据的破坏。
通过深入调查,我确定了“违规”一词的含义。(呃……我在字典里查过。)违规是指违背或违反法律、义务、关系或标准。它们是缺口;破损、破裂或撕裂的状态或区域。在这种情况下,违规意味着安全失败,使得应该保密的信息能够被泄露。换句话说,它们涉及数据的获取。“违规”一词没有解决的是由于数据不可用而无法运营业务的成本。
宕机成本
我不知道有任何关于宕机成本的研究可以与我所参考的这两项研究相媲美。那些报告主要研究网络攻击者和其他不法分子的故意行为。尽管也跟踪错误和事故,但主要是恶意行为。值得注意的是,IBM安全研究表明,勒索病毒事件的平均成本为462万美元,包括升级、通知、业务损失和响应成本,但不包括赎金成本。我相信(尽管没有证据)对于私营部门组织而言,无法开展业务运营的成本是损失的绝大部分,而这对于政府机构来说是无法计算的。而且我认为这个数字也被低估了。
在恶意宕机成本缺乏可验证财务信息的情况下,我来分享我对一个事件的成本估算。美国公司Colonial Pipeline遭受的勒索病毒攻击已广为人知。该公司的年收入为13.2亿美元。由于天然气是消费者每天都需要的消费品,该公司的日均收入可估算为362万美元。攻击于2021年5月 6日开始,一直持续到2021年5月12日,因此管道已全部或部分关闭至少7天。出于估算目的,让我们假设Colonial Pipeline仍然能够输送 50% 的天然气。这意味着它遭受了超过900万美元的收入损失。这还只是对一家公司的一次攻击,这就是为什么在我看来,强制宕机的经济后果压倒了其他所有类型的网络攻击。
图片来源于公共图片库
数据中心、云、SaaS 和分布式宕机
但勒索软件只是延长宕机时间的来源之一。自人类第一台采用真空电子管的计算机Eniac问世以来,自然和人为的中断一直困扰着信息技术。因此,每位IT主管都制定了全面的、经过充分测试的、最新的IT灾难恢复计划。
嗯,实际上没有。当然,肯定有人会说有。但当代应用程序和基础架构组合是本地、基于云、软件即服务 (SaaS) 和分布式系统的集合体。有哪家组织真的有信心宣称自己可以快速恢复其所有系统吗?
随着企业在内部数据中心运行的应用程序和存储的数据越来越少,支持十年前或更早实施的恢复计划的经济理由越来越站不住脚。当主要数据中心被淘汰时,维护备用数据中心变得毫无意义。对于那些围绕商业恢复服务建立可恢复性的情况来说尤其如此。(正当本文撰写时,其中最大的服务商之一已在加拿大、英国和美国申请破产。在不久的将来,使用商业热点甚至可能不会成为选项之一。)
过去在本地运行的大部分内容现在都在云中运行,或者更具体地说,在由商业云服务提供商 (CSP) 运营的数据中心中运行。如果主数据中心无法使用,云架构可以实现从主数据中心到辅助数据中心的快速故障转移。大多数(如果不是全部)CSP 都建立了高度弹性的站点。因此,使用云作为数据中心的企业必须在地理位置较远的地区规划数据中心,并支付费用,同时还要有足够的带宽和广域路由多样性。并非所有人都这样做。云中的灾难恢复是可以实现的,但不是必然的。
SaaS 供应商意识到其服务的弹性是一项战略必要,但他们也同样无法避免宕机。最近针对SaaS提供商的网络攻击在其客户中产生了广泛的连锁反应。潜在买家应确定他们的服务商是否以及如何确保正常运行时间。如果他们使用的SaaS应用程序出现故障,他们还应当做好自己构建解决方法的准备。
分布式服务器和个人计算机也会受到攻击和失败也就不足为奇了。Shamoon、Shamoon II、Petya、WannaCry 和 NotPetya16等病毒是最好的证据。
图片来源于公共图片库
“那又怎样呢?”
读到这里的人一定会说:“好吧,宕机是一件坏事。但那又怎样?” 我认为宕机问题足以引起我们的重视,原因有三个。首先,我认为重要的是,我们不能仅根据泄露的记录数量来衡量网络攻击的破坏成本,应开始关注系统和数据不可用的时间。我当然不喜欢侵犯隐私和窃取机密。但我看到数小时的生产损失——没有产生利润,没有提供公民服务,更不用说没有保卫海岸——这是衡量网络攻击影响的最重要指标。
其次,我们不能忽视系统宕机的原因和目标是多方面的。大自然母亲将用自己的方式处理信息技术,人类也将如此。后者中的一些人可能出于恶意,但长时间的中断也可能是由懒惰、无能和容易出错的人造成的。有效的监控和质量控制将帮助组织抵御这类人和攻击者。
最后,我相信,最紧迫的是,我们IT人员生活在一个非常危险的世界中。可怕的战争正在上演,网络战已成为战斗中可以预见的一部分。勒索软件造成了很大的破坏并让被勒索者花费了大量的金钱。但至少攻击者提供(如果不总是提供)了使用加密货币支付即可获得的解密密钥。我们可能很快就会遇到那些加密数据并丢弃密钥的攻击者。有效的备份、训练有素的恢复专家和适应网络攻击的业务连续性程序可能成为生存策略的一部分。
ISACA Journal | 信息安全很重要:网络安全事件恢复
编者注:本文出自ISACA Journal 2022年第5期。尾注略。文章内容仅代表作者本人观点。
作者:STEVEN J. ROSS,CISA, CDPSE, AFBCI, MBCP,是 Risk Masters International LLC 的执行负责人。自 1998 年以来,他一直是《华尔街日报》最受欢迎的专栏作家之一。Ross 于 2022 年入选 ISACA名人堂。
翻译:李京(Randy Li),CGEIT,ISACA微信公众号特邀通讯员,关注IT治理、信息安全。
校对:张锋,CISA,CIA、CISP、ISACA微信公众号特邀通讯员。