CISO聚焦 | 如何構(gòu)建企業(yè)組織的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性

目前網(wǎng)絡(luò)安全態(tài)勢嚴峻，各種勒索攻擊、數(shù)據(jù)泄露、網(wǎng)絡(luò)破壞安全事件層出不窮，作為企業(yè)的網(wǎng)絡(luò)安全管理人員，我們應(yīng)當如何做好充分的應(yīng)對準備？

因此，今天想要和大家聊聊“網(wǎng)絡(luò)安全韌性”（Cybersecurity resiliency）和“數(shù)字連續(xù)性”（Digital continuity）。先談?wù)劇熬W(wǎng)絡(luò)安全韌性”（Cybersecurity resiliency）：

“Resiliency”這個單詞翻譯為中文時通常翻譯為“彈性”，但我更喜歡使用“韌性”，這樣更能體會出在不利局面下“堅韌不拔、頑強應(yīng)對”的精神，這也是我們今天所要關(guān)注的“網(wǎng)絡(luò)安全韌性”的核心體現(xiàn)；

再談?wù)劇皵?shù)字連續(xù)性”（Digital continuity）：

“業(yè)務(wù)連續(xù)性”（Business continuity）大家都聽到過無數(shù)次了，但是“數(shù)字連續(xù)性”（Digital continuity）可能大家聽到不多。本質(zhì)上來講，數(shù)字連續(xù)性就是數(shù)字化時代的業(yè)務(wù)連續(xù)性，強調(diào)的是數(shù)字化信息/IT應(yīng)用系統(tǒng)在業(yè)務(wù)中的可持續(xù)性，在很多語境中其實和“業(yè)務(wù)連續(xù)性”基本一致。

網(wǎng)絡(luò)安全韌性指的是企業(yè)組織在面臨包括網(wǎng)絡(luò)安全攻擊、服務(wù)中斷等在內(nèi)的各種網(wǎng)絡(luò)安全事件不利影響的局面下，能夠繼續(xù)企業(yè)業(yè)務(wù)運營并保持增長的能力。換句話而言，網(wǎng)絡(luò)安全韌性是數(shù)字連續(xù)性在網(wǎng)絡(luò)安全方面的具體展現(xiàn)，是屬于企業(yè)整體數(shù)字連續(xù)性（以及業(yè)務(wù)連續(xù)性）的其中一部分。

在VUCA時代，我們面對的世界和環(huán)境有著太多的不確定性。相信大家都知道“墨菲定律”：如果事情會出錯，不管這種可能性有多小，它總會發(fā)生。網(wǎng)絡(luò)安全亦是如此，我們目前面對的網(wǎng)絡(luò)安全威脅攻擊強度和頻度都在持續(xù)進化，即便我們在網(wǎng)絡(luò)安全方面做出了巨大的投入，但是沒有誰可以保證絕對的安全，我們總會面臨各種網(wǎng)絡(luò)安全的潛在風險，無論是APT攻擊、勒索病毒、數(shù)據(jù)泄露、供應(yīng)鏈安全，或者相關(guān)人員的人為失誤等等。

微軟基于過去一年的相關(guān)客戶服務(wù)與支持，對缺失網(wǎng)絡(luò)安全基礎(chǔ)控制要求導致嚴重影響企業(yè)網(wǎng)絡(luò)安全韌性的情況進行統(tǒng)計分析。如下表所示，從中可以看到其中包含了不同類型的很多因素，充分體現(xiàn)出了網(wǎng)絡(luò)安全韌性的復雜性：

信息技術(shù)的發(fā)展永遠改變了企業(yè)組織與客戶、合作伙伴、員工和其他利益相關(guān)者合作的方式。隨著互聯(lián)網(wǎng)采用率的增長，攻擊面也在不斷擴大，我們所面臨的網(wǎng)絡(luò)安全威脅的強度和頻度都在不斷進化，在我們“始終連接”的互聯(lián)網(wǎng)世界中，防止網(wǎng)絡(luò)安全威脅變得愈發(fā)困難。

而企業(yè)組織需要在業(yè)務(wù)增長、客戶和用戶體驗、以及網(wǎng)絡(luò)安全之間尋求合理的平衡。通常情況下，企業(yè)組織通過實施用于安全防護和安全運營（包含安全響應(yīng)）的工具、技術(shù)和人員來支撐網(wǎng)絡(luò)安全。雖然這是重要的網(wǎng)絡(luò)安全必備基礎(chǔ)，但實施網(wǎng)絡(luò)安全工具和技術(shù)的根本目的是確保企業(yè)組織的數(shù)字（業(yè)務(wù)）連續(xù)性。

企業(yè)組織還應(yīng)該在戰(zhàn)略層面思考如何加強其關(guān)鍵系統(tǒng)、IT基礎(chǔ)設(shè)施和數(shù)據(jù)中心的數(shù)字連續(xù)性，以便在面對導致不利局面時（無論是業(yè)務(wù)中斷、網(wǎng)絡(luò)安全威脅攻擊、還是人為錯誤等等）保持韌性，繼續(xù)企業(yè)業(yè)務(wù)運營并保持增長的能力。這就是數(shù)字連續(xù)性戰(zhàn)略發(fā)揮作用的地方，企業(yè)組織需要量身定制數(shù)字連續(xù)性戰(zhàn)略，并執(zhí)行專門針對其業(yè)務(wù)需求的數(shù)字連續(xù)性計劃，以確保在不利局面下的數(shù)字連續(xù)性。

隨著企業(yè)組織越來越依賴于IT技術(shù)，請務(wù)必將數(shù)字連續(xù)性（以及業(yè)務(wù)連續(xù)性和災(zāi)難恢復（BCDR））視為整個企業(yè)組織的重要組成部分，而不僅僅視其為IT團隊或者網(wǎng)絡(luò)安全團隊所需要關(guān)注的問題。每個企業(yè)組織都需要準備好應(yīng)對由不可預(yù)見的事件引起的服務(wù)中斷或其他不利影響。關(guān)鍵應(yīng)用系統(tǒng)和服務(wù)的停機可能導致企業(yè)業(yè)務(wù)運營和生產(chǎn)力停止、收入和聲譽損失，以及降低客戶對企業(yè)組織的信心，而有效且高效的數(shù)字連續(xù)性計劃可以幫助企業(yè)組織的應(yīng)用系統(tǒng)、IT基礎(chǔ)設(shè)施和數(shù)據(jù)中心抵御服務(wù)中斷事件或其他不利局面的影響。

IT技術(shù)的革命與發(fā)展，見證和推動了企業(yè)組織的數(shù)字化轉(zhuǎn)型。作為數(shù)字化轉(zhuǎn)型的基礎(chǔ)，網(wǎng)絡(luò)安全是技術(shù)成功的關(guān)鍵推動因素，也是企業(yè)組織發(fā)展所不可缺少的。我們必須考慮業(yè)務(wù)、IT和網(wǎng)絡(luò)安全在數(shù)字化轉(zhuǎn)型中的關(guān)聯(lián)一致性，只有通過引入合理充分的網(wǎng)絡(luò)安全措施，使企業(yè)組織盡可能地抵御現(xiàn)代化的攻擊，才能支撐企業(yè)組織實現(xiàn)業(yè)務(wù)創(chuàng)新、提高生產(chǎn)力并最終實現(xiàn)數(shù)字化轉(zhuǎn)型。

隨著網(wǎng)絡(luò)環(huán)境中的安全威脅急劇增加，網(wǎng)絡(luò)安全韌性需要構(gòu)建到企業(yè)組織的核心體系架構(gòu)中，并與企業(yè)財務(wù)及業(yè)務(wù)運營的韌性一樣重要。企業(yè)的領(lǐng)導者應(yīng)將網(wǎng)絡(luò)安全韌性視為數(shù)字連續(xù)性的一個關(guān)鍵方面，他們應(yīng)該在數(shù)字連續(xù)性管理中，像規(guī)劃自然災(zāi)害或其他不可預(yù)見的事件一樣為網(wǎng)絡(luò)安全事件做好計劃，并將業(yè)務(wù)運營、基礎(chǔ)設(shè)施管理、法務(wù)、公關(guān)等內(nèi)部干系人緊密的集成聯(lián)合在一起，制定數(shù)字連續(xù)性戰(zhàn)略和戰(zhàn)術(shù)。這樣做將有助于確保企業(yè)組織在不利局面下實現(xiàn)其核心關(guān)鍵業(yè)務(wù)系統(tǒng)和服務(wù)的持續(xù)運營，并后續(xù)逐步恢復正常的業(yè)務(wù)運營。

但它并不止于此，針對供應(yīng)鏈的攻擊行為已經(jīng)成為了網(wǎng)絡(luò)安全攻擊的重要類別之一。由于許多企業(yè)組織依賴第三方供應(yīng)商和服務(wù)提供商，企業(yè)領(lǐng)導者應(yīng)將網(wǎng)絡(luò)安全韌性規(guī)劃擴展到其包含供應(yīng)鏈生態(tài)系統(tǒng)在內(nèi)的端到端價值鏈，以進一步確保實現(xiàn)真正有效的數(shù)字連續(xù)性和網(wǎng)絡(luò)安全韌性。

當然，網(wǎng)絡(luò)安全韌性只是企業(yè)韌性中的其中一個方面而已。如果一個企業(yè)組織真的想要有韌性，他們應(yīng)該同時考慮除了網(wǎng)絡(luò)安全之外許多其他方面的風險，在此就不額外展開了。

面對現(xiàn)代化的網(wǎng)絡(luò)安全威脅攻擊，我們也需要通過現(xiàn)代化的網(wǎng)絡(luò)安全來應(yīng)對。我們需要構(gòu)建整體全面的網(wǎng)絡(luò)安全韌性戰(zhàn)略，來抵御持續(xù)進化的網(wǎng)絡(luò)安全威脅，這涉及到企業(yè)組織中人員、流程和技術(shù)的變革，也涉及到企業(yè)領(lǐng)導者、業(yè)務(wù)、IT、安全以及其他內(nèi)部、外部干系人之間的密切合作。

這個整體全面的網(wǎng)絡(luò)安全韌性戰(zhàn)略包括以下方面：

管理和權(quán)衡企業(yè)組織在數(shù)字化轉(zhuǎn)型中的風險與回報，實現(xiàn)合理有效的網(wǎng)絡(luò)安全投入產(chǎn)出。

網(wǎng)絡(luò)安全基礎(chǔ)控制要求。確保企業(yè)組織的核心網(wǎng)絡(luò)安全基礎(chǔ)控制滿足安全最佳實踐的基本核心要求，例如采用多因素身份驗證、部署XDR進行威脅防護、及時進行安全更新、做好數(shù)據(jù)安全防護等等。

大家可能在國外的文獻中，經(jīng)常會看到“Cyber hygiene”或者“Basic security posture”，它們即說明此項，未來再和大家詳細進行介紹。

威脅保護：針對已知攻擊提供保護、預(yù)防新的攻擊行為以及自動響應(yīng)與修復的能力。

被攻擊面管理：主動檢測安全配置、威脅、漏洞，分析被攻擊面并實時響應(yīng)的能力。

通過故障隔離和微分區(qū)減少攻擊事件和災(zāi)難的影響。

發(fā)生業(yè)務(wù)中斷時的高可用性、冗余和自動恢復。

供應(yīng)鏈韌性：了解并明確對供應(yīng)鏈資源（包含內(nèi)部、外部資源，例如云計算服務(wù)）的共同責任、依賴關(guān)系和其韌性。

有效的網(wǎng)絡(luò)安全韌性計劃，始于企業(yè)IT資產(chǎn)的基礎(chǔ)知識。例如了解可用的服務(wù)以及在發(fā)生中斷時可以調(diào)用的相關(guān)可用資源。在此基礎(chǔ)上，該計劃必須能夠評估其自身的有效性，衡量關(guān)鍵服務(wù)及其依賴項的性能，測試和驗證本地、云服務(wù)及其他相關(guān)依賴服務(wù)/供應(yīng)鏈的功能和韌性，根據(jù)對企業(yè)組織構(gòu)成的總體風險評估，嚴格確定優(yōu)先次序，并在企業(yè)組織的整個數(shù)字生命周期中實現(xiàn)持續(xù)評估和改進。

這種整體戰(zhàn)略方案，需要在不斷變化的威脅形勢背景下持續(xù)動態(tài)優(yōu)化與調(diào)整，目標是推動可衡量的有效性和性能改進，縮短檢測、響應(yīng)、阻止和恢復的時間，并減少發(fā)生中斷時的影響范圍。

同時企業(yè)組織的內(nèi)部、外部干系人之間的聯(lián)系會日益緊密。例如，安全事件可能會導致具有隱私影響的數(shù)據(jù)泄露，需要許多內(nèi)部和外部相關(guān)團隊共同努力，以快速響應(yīng)并將影響降至最低。從具體戰(zhàn)術(shù)層面而言，后續(xù)我們應(yīng)該考慮：

01

參考“假定被攻擊”的思想，在構(gòu)建并管理應(yīng)用系統(tǒng)和技術(shù)產(chǎn)品時，限制威脅攻擊對其的影響，以至于甚至在安全事件發(fā)生時，這些應(yīng)用系統(tǒng)和技術(shù)產(chǎn)品的核心組件也能夠持續(xù)安全和有效地運營。在這個方面，我們需要關(guān)注保護核心資產(chǎn)、提高敏捷性和采用包含公有云/混合云在內(nèi)的現(xiàn)代化系統(tǒng)架構(gòu)、減少被攻擊面（例如關(guān)閉不必要的Internet入口）等等并持續(xù)改進。

02

在規(guī)劃IT項目時，權(quán)衡潛在的威脅和發(fā)展機遇，企業(yè)組織的相關(guān)團隊（無論是業(yè)務(wù)團隊、IT團隊還是安全團隊）應(yīng)共同承擔整個數(shù)字技術(shù)供應(yīng)鏈（包括基于云的安全解決方案）的網(wǎng)絡(luò)安全韌性責任。

03

在構(gòu)建系統(tǒng)時，除了通過“Secure by design”原則來確保系統(tǒng)的安全設(shè)計、通過“Secure by implementation”原則來確保系統(tǒng)的安全構(gòu)建之外，還應(yīng)嵌入安全性和采取相關(guān)措施來預(yù)測、檢測、容忍、適應(yīng)、響應(yīng)和阻止未來持續(xù)變化的網(wǎng)絡(luò)安全威脅（“Secure by Operation”）。

04

確保業(yè)務(wù)、IT與網(wǎng)絡(luò)安全的關(guān)聯(lián)一致性與緊密結(jié)合。企業(yè)在開發(fā)新的業(yè)務(wù)時，應(yīng)充分的咨詢IT團隊和網(wǎng)絡(luò)安全團隊，評估和明確相關(guān)安全風險。同樣的，安全團隊應(yīng)該充分考慮并圍繞企業(yè)業(yè)務(wù)發(fā)展目標，支持業(yè)務(wù)安全的實現(xiàn)發(fā)展目標。

05

針對網(wǎng)絡(luò)安全事件，制定明確清晰地企業(yè)組織的操作實踐和相關(guān)流程，確保網(wǎng)絡(luò)安全韌性能夠得到充分的展現(xiàn)和執(zhí)行。

微軟在幫助企業(yè)組織提高網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性方面，具有非常豐富的經(jīng)驗。作為全球網(wǎng)絡(luò)安全業(yè)務(wù)營收最大的IT企業(yè)，微軟具有領(lǐng)先、全面且豐富的安全產(chǎn)品和技術(shù)覆蓋場景/集成安全體系，為客戶提供全場景、全平臺、全生命周期的端到端安全能力，具有優(yōu)秀的生態(tài)系統(tǒng)與合作伙伴體系，并充分支持與第三方集成。

微軟在7個安全產(chǎn)品線上，集成了超過60個不同的安全產(chǎn)品和技術(shù)類別，所有微軟安全產(chǎn)品系列作為一個跨云和跨平臺的智能集成綜合安全解決方案協(xié)同工作，能夠幫助客戶實現(xiàn)統(tǒng)一集成的、自動化的安全防護和管理，利用全球領(lǐng)先地安全產(chǎn)品和技術(shù)，在避免冗余和重疊的同時，最大限度地發(fā)揮其現(xiàn)有產(chǎn)品的價值，同時簡化包含部署成本、管理成本在內(nèi)的總體擁有成本，降低整體復雜性，并幫助企業(yè)構(gòu)建全面的網(wǎng)絡(luò)安全韌性。

我的安全哲學就是“假定被攻擊”（Assume Breach），這是一個逆向的安全思維模式。

孫子兵法有云：“知彼知己，百戰(zhàn)不殆”。在了解自身企業(yè)組織的相關(guān)IT/OT環(huán)境和業(yè)務(wù)系統(tǒng)的運作方式的基礎(chǔ)上，我們需要換位從攻擊者的角度來進行思考，才能有的放矢，并更有效高效的實現(xiàn)企業(yè)網(wǎng)絡(luò)安全目標。

“假定被攻擊”是零信任的關(guān)鍵原則，它可以推動零信任的具體可行落地，幫助企業(yè)組織防范攻擊行為、限制攻擊的影響并從攻擊事件中快速恢復?！凹俣ū还簟辈皇恰坝龅嚼щy就放棄吧”的悲觀主義，也不是直接一開始就假定企業(yè)組織的所有安全控制措施都失效，而是分層次、分階段假定企業(yè)組織的某種、部分甚至全部安全控制措施被破壞或失效，入侵者成功的實施了特定、部分或重大威脅攻擊行為并造成了不同程度的影響。

在這種不利局面之下，我們應(yīng)當如何有效且高效的應(yīng)對？“假定被攻擊”這個安全哲學是針對傳統(tǒng)安全思維（將企業(yè)資產(chǎn)保護在一個安全的網(wǎng)絡(luò)邊界中）的重大轉(zhuǎn)變，如一開始所提到的“墨菲定律”，以及我們沒有誰可以保證“絕對安全”，我們需要通過“假定被攻擊”的原則，推動企業(yè)組織構(gòu)建整體全面的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性。

作為全球領(lǐng)先的云計算廠商，我們與世界各地的企業(yè)組織和政府機構(gòu)合作的實踐經(jīng)驗表明，云計算是數(shù)字連續(xù)性和網(wǎng)絡(luò)安全韌性的重要支撐力量。

由于云計算全球區(qū)域可用、跨地理位置數(shù)據(jù)復制、按需使用、快速擴展、持續(xù)安全進化和成本有效性，云能夠大幅提高企業(yè)組織的運營效率和響應(yīng)威脅的敏捷性。

同樣它還實現(xiàn)了全球跨地域的高可用性，提供從企業(yè)On-premises到遠程數(shù)據(jù)中心的無縫切換和故障轉(zhuǎn)移的機會，免受局部地域的自然災(zāi)害或人為威脅。

如前面所介紹的，企業(yè)組織需要構(gòu)建整體全面的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性戰(zhàn)略。對于所有企業(yè)組織而言，網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性始于戰(zhàn)略決策，這些決策標志著企業(yè)組織從IT系統(tǒng)、網(wǎng)絡(luò)安全態(tài)勢到數(shù)據(jù)分級分類等一系列領(lǐng)域的變化。

盡管云只是可以幫助企業(yè)組織實現(xiàn)網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性的技術(shù)之一，但它的使用需要一種全面的跨企業(yè)組織的體系和方法，以識別關(guān)鍵業(yè)務(wù)系統(tǒng)及其相關(guān)威脅，根據(jù)需要將角色和資源分配到特定任務(wù)和特定人員，并最終達到企業(yè)組織所需的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性目標。這絕不僅僅只是涉及到IT部門的人員，而是涉及到企業(yè)組織中人員、流程和技術(shù)的變革，也涉及到企業(yè)領(lǐng)導者、業(yè)務(wù)、IT、安全以及其他內(nèi)部、外部干系人之間的密切合作。

微軟在通過云計算提高企業(yè)組織的網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性方面，具有非常豐富的經(jīng)驗，五年前即非常前瞻性的發(fā)布了一篇白皮書《Advancing Cyber Resilience with Cloud Computing》進行相關(guān)介紹，目前來看仍不過時。

在這篇白皮書中，基于微軟與世界各地的企業(yè)組織和政府機構(gòu)合作的實踐經(jīng)驗，系統(tǒng)性的介紹了網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性的最佳實踐，以及利用云計算來提高網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性的一系列建議。核心要點如下所述。

構(gòu)建整體全面的網(wǎng)絡(luò)安全韌性和數(shù)字連續(xù)性戰(zhàn)略。以識別關(guān)鍵業(yè)務(wù)系統(tǒng)及其相關(guān)威脅，根據(jù)需要將角色和資源分配到特定任務(wù)和特定人員。

確定哪些數(shù)據(jù)和服務(wù)將遷移到云。在此過程中確保滿足數(shù)據(jù)安全、隱私合規(guī)等監(jiān)管要求，以及數(shù)據(jù)存儲性能、容量等技術(shù)要求。

明確云遷移的相關(guān)準備事項和優(yōu)先級。例如網(wǎng)絡(luò)傳輸帶寬（無論是Internet還是專線），這是成功使用云服務(wù)的前提。

試點項目實施。按照既定計劃和要求對相關(guān)云服務(wù)的使用進行試點和測試，確保后續(xù)項目的可行性。

優(yōu)化和調(diào)整企業(yè)的相關(guān)戰(zhàn)略和制度。例如IT戰(zhàn)略和企業(yè)采購規(guī)范，通過云計算來實現(xiàn)現(xiàn)代化的網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性。

構(gòu)建將數(shù)據(jù)和服務(wù)遷移到云的技術(shù)流程。鼓勵所有相關(guān)干系人之間的合作與透明度，以維持信任并實現(xiàn)目標。

通過已驗證的最佳實踐來證明現(xiàn)有安全實踐的有效性。在此基礎(chǔ)上持續(xù)參考和利用經(jīng)過驗證的相關(guān)國際網(wǎng)絡(luò)安全標準，并通過云安全的持續(xù)進化實現(xiàn)安全防護能力的持續(xù)進化。

定期評估現(xiàn)有的政策和流程。確保針對云供應(yīng)商審計的靈活性，同時根據(jù)未來的實際需求考慮并調(diào)整相關(guān)的安全評估模型。

云是網(wǎng)絡(luò)安全的未來，也是數(shù)字連續(xù)性的未來。雖然通過云計算提高網(wǎng)絡(luò)安全韌性與數(shù)字連續(xù)性對某些企業(yè)組織而言最初可能很困難，這需要改變企業(yè)戰(zhàn)略、技術(shù)能力和策略框架等等，但這是未來的發(fā)展趨勢，對企業(yè)組織也將產(chǎn)生強大的積極成果，并最終賦能企業(yè)組織的數(shù)字化轉(zhuǎn)型。??