01 JAN

学习如何有效地管理不可避免的IT中断

过去的几个月中,发生了一些重大的IT故障事件:富国银行的业务停止运营长达一天导致客户无法访问他们的账户;芝加哥铁路公司故障导致60000名乘客滞留;以及由于Gmail和Google Docs发生故障而导致全球各地用户无法访问和使用这些产品。此外,今年2月VFEmail.net遭遇黑客攻击,导致所有客户端数据(包括备份)完全丢失。

长治

制定计划

这些事件和类似的IT问题为人们提供了两个重要的信息:

IT中断可能发生在任何人身上。

下一次IT中断造成的损害程度取决于现在的准备情况。

值得注意的是,超过60%的IT中断或“灾难事件”都是由人为错误引起的。那么,企业如何才能最大限度地减少下一次IT中断对其收入、声誉和客户造成的损害?

首先,确保企业有一个业务连续性计划(BCP),其中包括灾难恢复计划(概述企业将如何处理IT事务)以及保持业务其余部分的计划(例如,如果关键渠道是确保关键人员知道发生了什么、会面地点、定义指挥链等等)。

在这里将概述在IT方面取得成效的四个关键步骤:

1. 定义潜在的灾难情景

对于大多数企业而言,主要有两种IT灾难场景:

系统中断,网络或应用程序的某些关键部分出现故障,企业或其服务在一段时间内处于“脱机”状态。这通常是一个相对简单的恢复点,因为企业重新上线运营,受停机影响的事务最少。

数据丢失,企业丢失信息、内容或数据(企业自己或其客户)。并不总是可以从数据丢失中恢复,例如在VFEmail.net的黑客攻击事件中,删除了其所有备份副本。

确保企业为灾难做好准备的第一步是了解这些常见类型的中断的风险状况:例如,系统中断会影响哪些功能?这些功能对企业的业务有多重要?中断是否会导致数据丢失?还有哪些其他事件会导致数据丢失?等等。

此外还要记住,人为错误将是造成这两种灾难的最常见原因(如在芝加哥铁路公司的停机事件中,一名工人在更新服务器期间摔倒在电路板上)。

2. 评估对企业的业务可能造成的损害

这是IT部门和其他领导共同完成的工作。企业的目标是了解如果单个数据块出现故障或各种类型的数据丢失,其业务将受到的影响。

在这些对话中,目的是了解业务关键型应用程序之间的依赖关系(例如,企业知道需要激活支付处理应用程序,但它是否取决于库存应用程序的功能?)阐明停机对用户的影响,并评估每分钟停机对企业的业务的财务影响。

以下是衡量的标准:

RTO(恢复时间目标),定义企业的业务可以在业务中断之后多长时间而不会造成严重损害。企业的灾难恢复计划应概述通过企业定义的RTO(恢复时间目标)恢复业务运营的策略。

RPO(恢复点目标),定义数据备份之间的时间长度,而不会显著损害企业和业务运营。企业的业务中断分析将定义企业的RPO(恢复点目标)。因此,如果企业的灾难恢复计划要求从上次已知备份中恢复数据,则RPO(恢复点目标)会定义该备份可接受的时间。

如果企业想再采取其他步骤,请确保评估中包含对停机时间可能造成声誉损害的评估。这很难计算,但它可以成为决策过程中的一个有价值的组成部分。

3. 查看当前的灾难恢复计划

一旦企业了解了自己可以合理承担的停机时间,请查看其当前的灾难恢复计划。如果像大多数企业一样拥有一个灾难恢复计划,但是没有努力去更新或者定期测试它,那么现在是时候改变了。

在查看灾难恢复计划时,请考虑以下事项:

它是否反映了企业当前业务的现实情况,包括企业之前的对话中阐述的业务关键型应用的计划?如果没有,就需要更新它。

规模合适吗?IT团队非常擅长提出创造性的灾难恢复方法。这部分是因为这些系统是他们创建的,他们非常适应所有可能出错的方式。但精心设计的灾难恢复通常不仅仅是企业的需求,而且比其能够承受的成本更高。如果企业确定可以承受三天的停机时间,并且当前的灾难恢复计划让其在六小时内重新上线运营,则需要进行一些更改。

企业测试过吗?制定了许多灾难恢复计划来检查选项或满足监管要求。但如果企业没有测试自己的计划,那么在真正的灾难中对企业毫无价值。企业无法知道它是否会实际阻止意外中断和数据丢失可能导致的收入损失和声誉损害。

4. 更新并测试企业灾难恢复计划

大多数企业不会定期更新和测试他们的灾难恢复计划,这是一个很大的问题,因为过时的灾难恢复计划在发生真正灾难时或多或少地变得毫无价值。

在进行更改时,请执行以下步骤:

指派专人负责灾难恢复和测试。这意味着如果出现错误,就会有人负责,这会大大增加测试完成的机会。

确保企业管理层与制定灾难恢复计划和进行定期压力测试的重要性保持一致。这对于获得非IT同事所需的参与至关重要。

包括“灾难”的定义。管理人员知道何时以及如何启动灾难恢复计划,停机一小时后?一天?也可以确定联系人,如果不在,还有哪个人可以处理。

制定防灾规则。之前提到的芝加哥铁路公司灾难发生的部分原因是因为该公司在高峰时段对服务器进行了升级。这是一个令人难以置信的却可以避免的错误:如果那名工人没有在半夜摔倒在电路板上,就不会有那么多客户受到影响。

包括沟通计划。在灾难期间(“发生的事情”)和灾难之后(“发生的事情和正在做的事情以提高未来的绩效”)与利益相关者保持透明,对于减轻灾难可能造成的声誉损害将有很大的帮助。

有效的灾难恢复就是细节

虽然每个企业都应该拥有并测试灾难恢复计划,但企业能够满足他们的需求或应对灾难的方式并不都是相同的。对于任何企业来说,灾难恢复应该基于两个方面:风险状况和从事件中恢复的能力。

为了确保企业的下一次IT中断对其客户、收入、声誉造成尽可能小的损害,需要花费时间了解可能出现问题的具体情况以及这些问题将如何影响其客户,并制定灾难恢复计划以尽量减少这种影响。

几千年来,欺骗一直被用于战争,法律,体育和赌博,以在对手的思想中产生不确定性和混乱,这将延迟和操纵他们的努力,并将影响和误导他们的观念和决策过程。

1. 欺骗一直被用于战争行为:现在如何在网络安全行业中使用欺骗手段?

根据定义,军事欺骗“旨在阻止敌对行动,增加友好防御行动的成功率,或改善任何潜在的友好进攻行动的成功。

长治

”网络欺骗与此定义一致,并基于旨在混淆网络的计划,有意和受控制的行为。反过来,这会影响攻击者犯错误,花更多时间区分真假,并使攻击的经济性不合需要,从而迫使攻击者采取有利于防御者安全态势的行动。

网络欺骗通过创建出现作为生产资产的诱饵来实现,并且旨在吸引对手。这与欺骗诱饵或诱饵配对,显示为诱人的凭据,应用程序或数据,并将导致攻击者参与欺骗环境。欺骗的使用有效地导致攻击者通过网络,揭示动机,技术和意图,可用于收集对手情报,生成可操作的警报以及加速事件响应。

与物理战争一样,通过使用欺骗性技术,网络防御者可以误导和/或混淆攻击者,从而增强他们的防御能力。欺骗,指导和引导对手远离关键资产的能力,使攻击者无法实现其目标并揭示他如何能够通过网络。它还具有增加攻击者成本的好处,因为他们现在必须从虚假中解读真实内容,并且经常不得不重新开始攻击。

2. 欺骗与传统蜜罐有何不同?

蜜罐最初是为研究而设计的,并且在网络外部放置了诱饵以确定谁在攻击该组织。它不是为扩展而设计的,操作效率非常低。

商业欺骗技术专为网内威胁检测而设计,能够检测来自所有矢量和所有攻击面的威胁。

为实现这一目标,欺骗必须通过3个主要障碍。首先,要有吸引力和可信; 第二,扩大覆盖所有攻击面; 第三,易于操作。为了具有吸引力和可信度,欺骗必须与生产环境相同,运行相同的操作系统和服务。

早期的蜜罐技术被模仿,并且攻击者不需要花费很长时间来弄清楚如何识别和避免它们。全面的欺骗技术平台支持几乎无限的可扩展性,涵盖从用户网络到云数据中心到独特的物联网或ICS部署的所有内容。能够在端点上植入诱饵以诱使攻击者并将其重定向到欺骗环境中也很重要。蜜罐缺乏此功能。最后一个重要区别在于欺骗的准备,部署和操作。

机器学习现在可以在一小时内完全自动完成此过程,而蜜罐则需要在攻击后手动设置和重建。欺骗的直观性使得管理变得非常简单,而蜜罐则需要高技能资源。最新的欺骗方法还提供自动攻击分析,事件响应自动化,以及攻击路径,网络设备更改和攻击时间失效重放的可见性工具。这些功能在蜜罐中根本不存在。

3. 欺骗技术如何使组织能够占据网络攻击者的优势?

大多数传统的安全控制和技术旨在创建计算机系统的边界,并专注于试图阻止外围的非法访问尝试。这些“墙”不断受到自动化开发工具的攻击,攻击者将不断在计算机上进行侦察或进行网络钓鱼活动,直到他们发现漏洞无法渗透到未被发现的网络中。

不幸的是,在整个停止攻击的过程中,系统防御者通常会在此过程中对入侵者的目标或动机了解甚少或根本没有学习。遗憾的是,立即转移攻击的愿望也付出了代价。一个可能无意中使得保护计算机系统的任务变得更加困难,但是在每次不成功的攻击之后对手都会变得更强大。

欺骗技术通过准备组织来改变攻击的不对称性,无论网络攻击的类型如何,无论攻击面如何都能提供早期检测,收集有关攻击起源,工具,技术和动机的信息,同时提供攻击分析,从而赋予权力防御者采取果断行动,自动化响应,并建立主动防御。

该组织还将受益于高保真警报,这些警报具有可操作性和自动化功能,可用于了解攻击,信息共享和响应事件。

4. 网络欺骗计划如何为风险管理增加价值?

拥有网络欺骗计划的价值是多方面的,可以增加IT资产风险管理和数字风险管理的价值:

及早准确地检测绕过外围防御的威胁。这包括早期侦察,横向移动以及通常难以检测的凭证盗窃。

洞察防御者的安全状态的可靠性以及攻击者如何能够突破防御。这将更全面地了解您的网络的优势和劣势,并确定攻击者最有可能尝试获取访问权限的区域。

意识到可能受到攻击的风险和业务功能。正确规划,设计和实施欺骗活动可以识别以前未知和潜在易受攻击的资产,以及攻击者可以利用的路径在环境中移动。

欺骗,指导和引导对手远离关键资产的能力,否定犯罪者的目标并揭示他想如何通过网络。然后,可以应用这种在他们不知情的情况下误导和/或混淆攻击者的能力,以加强整体防御能力。

减少与使用物联网或云等新技术相关的增加的安全风险模型,这可能是竞争性业务产品和服务所需要的。

收集对手情报,可以果断地应用以阻止攻击,威胁搜捕和根除威胁。然后,组织可以设置欺骗和陷阱以降低返回风险。

笔测试期间的证据或对内部人员和供应链相关的安全计划弹性或风险的持续漏洞评估。

欺骗还有增加攻击者成本的好处,因为他们现在必须从虚假中解读真实内容,并且经常不得不重新开始攻击或完全放弃攻击。增加攻击的复杂性可能是一种强大的威慑力,并导致成为攻击主要目标的可能性降低。

5. 高级威胁被证明可以绕过外围防御,那么一旦违反组织,欺骗行为如何受益呢?

许多人会争辩说,网络战现在已经在网络中移动,并且没有现实的方法可以让攻击者彻底离开。欺骗技术是为主动防御而构建的,可以及早准确地检测网络内攻击者,并提供了解攻击者所在位置所需的根本原因分析,工具,技术,方法和动机。

好处包括能够改变攻击的不对称性并迫使攻击者在100%的时间内保持正确或显示他们的存在。

它为防御者提供了进攻策略,旨在及早准确地探测威胁,无论攻击媒介或表面如何,以及快速阻止攻击和加强防御所需的对手情报。

欺骗技术的本质为组织提供了许多优势:它们被迫浪费时间和资源,并由防御者指导特定的行为模式。它还使对手揭示了自己的弱点和方法; 这创造了一个活跃的循环,防御者可以通过它来改善自己的防御。

6. 什么欺骗技术可以帮助我们更多地了解网络犯罪分子的活动?

与其他旨在简单阻止攻击的安全控制不同,欺骗技术提供了一种高度的交互欺骗环境,可以针对威胁情报以及有关工具,技术,目标以及威胁如何通过网络的信息来研究攻击者的活动。凭证和应用程序欺骗还将提供有关企图盗窃和重用合法凭据的见解。与命令和控制安全通信的功能还将提供对多态或时间触发活动的宝贵见解,并将提高防御者根除威胁和防止其返回的能力。诱饵文档等高级功能对于了解攻击者的目标和提供地理位置信息也很有用。

7. 您如何看待未来欺骗技术的发展?

鉴于其准确性和有效性,欺骗正成为安全堆栈中事实上的检测控制。许多组织专门为2019年的欺骗项目编制预算,预计这将继续推动采用的快速趋势。此外,根据报告,在未来两年内,欺骗技术市场估计将增长84%。

欺骗技术在过去几年中已经成熟,现在已经在全球范围内广泛应用于各种攻击面的网络,端点,应用和数据欺骗技术,包括数据中心,云,用户网络,远程办公室,物联网,ICS,POS和基础设施。我们的有影攻击诱捕系统是全面的欺骗平台,可有助于收集对手情报,并通过本地集成自动化事件响应。