行业资讯>业界资讯

论声誉风险、勒索软件和运营韧性对企业的关键性

作者: Mark Nutt   责任编辑:张金祥 2023-12-19 11:47:15
来源:Veritas关键字:Veritas 声誉风险 勒索软件

文/ Veritas 公司高级副总裁Mark Nutt

微信图片_20231219103429.jpg

2023年,企业与数据相关的业务中断和商誉受损的新闻有增无减。从影响成千上万度假者的英国国家空中交通服务公司交通中断等备受瞩目的事件,到针对各级公共和私营机构日益猖獗的勒索软件攻击,数据管理已成为备受企业和组织关注的主流话题。

如今,数据的安全性、可访问性和管理已成为企业声誉风险中最重要的因素。对于政府机构、医疗服务供应商或任何有责任安全管理个人可识别数据的企业来说,这一点尤为重要。

然而,对声誉风险的考虑只是确保“运营韧性”这一更广泛业务要求中的一部分。

顾名思义,运营韧性是指企业预防关键业务运营中断并从中恢复的能力。拥有强大的运营恢复能力对任何企业的稳定性和可靠性都至关重要,因为它能确保企业即使在面临严重干扰的情况下也能继续为客户提供基本服务。

随着关键业务数据分布在本地部署和混合云的组合环境中越来越普遍,企业运营中断、宕机的风险也随之增加。目前,只有相对较小一部分在公有云中运行关键工作负载是以这种方式设计的。其他的许多应用程序只是被“提升和转移”到云端的传统应用程序,这意味着很少有应用程序对重大中断(如完全可用区的丢失)具备内置的容错能力。

这也是目前我与所有客户交谈时的首要话题。要实现运营韧性,企业必须自问两个问题:首先,如何保护数据?其次,如何更全面地检测可预防的威胁因素,如勒索软件攻击?

诚然,人为失误始终是一个风险因素,但企业也必须面对一个简单的事实:勒索软件攻击一直会发生。随着云技术应用的不断加速,这种风险也随之增加,现代IT企业需要一个弹性、可扩展、多云优化的平台,并以高效、透明的方式自动地管理和保护数据。

对勒索软件的提前检测可以进一步确保企业的安全,但其需要与定期测试、演练和不断向所有利益相关者传达全面应对计划相结合的情况下才能实现。

在计划潜在压力测试方面,有太多的公司将一系列工具、解决方案和计划结合在一起后,却没有进行测试。这样一旦出现漏洞,所有这些计划就会失效。应对这种情况的关键策略是对持续测试计划的能力进行投资。这不是一劳永逸的单次行动,而是一个持续的过程,它需要适应不断并迅速变化的新网络威胁。

为确保企业在面对勒索软件攻击时有足够的能力守护其自身韧性,建议企业从以下方面着手 :

1.实施稳健的风险管理流程,以识别和评估潜在的勒索软件攻击,并制定预防或减轻攻击的策略。

2.制定并定期测试应急计划,确保在发生攻击时企业能够继续提供基本服务。

3.投资冗余和韧性的IT 系统,以降低攻击发生后中断和宕机的可能性,并提高业务恢复能力。

4.定期对员工和所有提供服务的第三方进行培训和再培训,使其充分了解面对攻击时的运营韧性工作流程。在这方面,通常很多企业的关键外包合作伙伴没有接收到关键沟通流程的有关更新同步。

5.通过演练定期排练计划,测试IT运营韧性流程并明确需要改进的领域。这些必须与员工和服务供应商共同完成。确保各方都了解计划及其在攻击发生时的角色和责任是在创建运营韧性过程中最常被忽视的因素。

6.与监管机构和行业组织密切合作,了解最佳实践和新兴威胁的最新情况。

在受到勒索软件攻击影响的企业内部,人们往往急于归咎责任。谁该为此次的漏洞负责?责任往往归咎于首席信息官或首席技术官,甚至可能追究首席执行官的责任。实际上,运营韧性崩溃的根本原因往往是缺乏沟通。可能是业务部门或职能小组之间的内部沟通不足,或者是计划流程未经过充分测试或未与关键 IT 外包商或服务供应商进行更新。

随着关键业务运营对公有云服务的依赖度越来越高,企业高管们还需要了解哪些安全功能是云服务协议内包含的,哪些仍然是企业自身的责任。

实际上,各方对于勒索攻击的防范和应对都有责任。因此,面对恶意或意外的网络漏洞,企业需要团结一致。只有齐心协力,每个人都执行事先演练好的恢复计划,才能真正保持运营韧性,将业务风险降到最低。    

展望 2024 年,新技术将发挥更大作用。比如,人工智能已经可以进行异常检测和恶意软件筛查,还可以承担某些工作,提高自治化,在某些情况下,人工智能还能缓解 IT 部门过于紧张的技能缺口。但人工智能并不是灵丹妙药:随着企业越来越多地使用人工智能,犯罪分子也会越来越多地使用人工智能来降低攻击门槛、提高攻击技术。这是一场永无止境的对弈。

意见反馈:zhanheng@cbigroup.com

稿件投诉:zhanglin@cbigroup.com

内容合作QQ:2291221

商务合作:13391790444 詹老师

京ICP备:2022009079号-3

京公网安备:11010502051900号

ICP证:京B2-20230255

关注我们