组织网络弹性之旅第13部分：在颠覆中生存并变得更强大

对构成组织网络弹性的因素的探索已接近完成。是时候将拼图拼凑起来了。 

首先，快速浏览一下我们迄今为止讨论过的问题。 

• 人为因素

• 业务连续性

• 灾难恢复

• 危机管理

• 治理

• 测试和培训

• 隐私

• 安全设计

• 供应链和第三方

• 数据生命周期

• 内部威胁

• 社会经济趋势和威胁

单独而言，每一项都在网络安全和业务连续性计划中发挥着重要作用。但当它们协调一致时，它们真正的力量就会显现出来。

统一与集中

值得注意的是，“协调”与“集中”不同。人们很容易默认为后者，但这不一定是一件好事。“协调”可能有一个中心点、会议地点或存储库，但实际执行工作被委托给各个业务职能部门，如果中断超出了负责人员的资源范围，则需要制定升级协议。“集权”往往是一种蜂巢心态，由等级制度发号施令。授权减少了，决策者可能会远离破坏，甚至脱节。这意味着盲点、官僚主义的笨手笨脚以及糟糕的决策。 

简而言之：协调是指代表们一起工作，而集中化是指命令和控制。您想要的操作框架是前者，它更加联合，而不是后者。让我们看一下五个必要的步骤，以帮助您采取统一的恢复力方法。

第 1 步：定义重要事项并进行风险评估

之前说过这一点，需要重复一遍：什么对组织重要？不同的利益相关者有不同的利益，但组织本身是由某些指标和使命驱动的。如果信息安全和弹性策略不能协调一致来保护重要的内容，那么整个努力都是浪费。 

因此，在“重要的事情”练习结束时，组织应该能够简洁地回答这两个问题：

• 是什么推动了组织的业务需求？

• 保护这些驱动器需要什么？

如果高级领导层（尤其是风险主管和 CISO）无法在大约 60 秒内回答这些问题，那么他们就没有达到目标。风险评估对于揭示这些问题的答案（包括潜在的细节）至关重要。此外，认为自己需要的东西与实际需要的东西可能有很大不同。 

例如，可能认为最大的风险是失去存放您皇冠上的宝石——数据中心。但实际上，失去世界另一端的一家小制造商造成的损失要大得多。为什么？这是因为，这家看似不起眼的工厂生产高度专业化的组件，这些组件将用于您的最终产品。没有他们，你就完了！

在过去的十年里，商业发展如此之快，你很容易错过自己真正的弱点。 风险评估是定义“弹性”对组织意味着什么的重要组成部分。 

第二步：摆脱未知的事物

清理数据和记录系统以及找出差距并没有什么迷人之处。既无聊又平凡，但也至关重要。如果数据是我们最大的货币，那么记录系统就是我们的银行账户和分类账。 

• 如果去ATM取款，却发现余额不正确，你会怎么做？ 

• 如果去建立互联网连接却发现您将要依赖的基础设施已在六个月前退役怎么办？

• 在这些情况下，如果因为在中断之前从未费心进行通知测试而不知道该与谁交谈，您会怎么做？ 更糟糕的是，如果您想要交谈的人不再是应该交谈的人怎么办？

组织中的利益相关者将准备好乞求新工具、小玩意和所谓的灵丹妙药，但没有办法解决这个问题：需要摆脱“未知数”并停止在纸牌屋上构建。如果建立在脆弱的基础上，再漂亮的工具也没有任何用处。 

网络安全、业务连续性或弹性没有捷径。这是一个艰苦而费力的步骤，但它确实会改善您的网络和组织的健康和卫生，对数据和记录系统进行专门的审计。 

第 3 步：识别、授权和供应资源

如果对第一步和第二步中进行的工作充满信心，那么已经在改善弹性状态方面取得了进展。现在你应该有： 

• 更好地了解风险状况

• 更清楚地了解自己的信息差距、质量和错误的状态。

处理完这些基本步骤后，现在可以更好地计划和执行。你开始从学术（例如你想要达到的“理论”状态）转向实践（例如当前的事态以及可以合理实现的目标）。这是橡胶真正开始接触路面的阶段。基础到位后，现在您可以：

• 为技术分配资源和资金。也许需要升级，例如经过认证的设备、身份和管理流程 或数据丢失防护工具。或者可能认识到当前的托管安排应该改变以最大限度地降低风险，例如将一些资产从公共云中移出并移回完全控制的内部数据中心。

• 剥离和退役旧的或脆弱的技术。 可能会突然发现某种技术的维护成本并不能证明投资回报是合理的。在这种情况下，可以加快将某些内容迁移到另一个资源的计划，例如从本地数据中心迁移到云端。

• 评估您的人员配备要求。可能（毫不奇怪）发现人手完全不足以满足网络安全和弹性要求。这并不新鲜。但至少现在你会发现你的人手到底有多么不足。作为奖励，现在将做好充分准备，向上级提出业务案例，说明从弹性角度投资于员工的重要性。

• 确定框架和义务并计划开发/更新。 在前两个步骤中，可能已经确定了一些值得关注的领域，例如合规性要求或计划差距。现在可以为任务寻找最佳工具。例如，业务需求可能要求关注NIST 隐私框架而不是 NIST 网络安全框架，并且可以优先考虑需要立即关注的内容。 

第四步：整合、实施和认知

现在所有的部分都已确定，最困难的部分是将所有内容组合在一起。我们不要粉饰这一点：由于实际原因和利益冲突，很难做到这一点。 

因此，第一步完成的风险评估至关重要，因为它是记录在案的共同点，使弹性工作更容易推销。 不同的团队和利益相关者可能会优先考虑不同的事情，但每个人至少都同意对整个组织构成危险的威胁。那就是你们会找到共同点的地方。

一旦确定了共同点，组织就可以协调其工作，特别是通过联合模型。联合模型是一种团队游戏，每个功能的努力都相互促进。换句话说，您不是只有一个强大的安全运营中心来保护整个组织，而是拥有一种支持整个组织弹性的组织文化。所有利益相关者都全力以赴。这是一支 网络安全全明星团队，而不仅仅是全明星球员。 

第五步：为损失做好准备

在进行了所有资源规划、风险识别、计划制定、技术升级、测试和培训以及所有其他出色的工作之后，可能面临的最困难的现实是：未来将会发生一个事件，它将压倒组织响应能力。这只是该事件何时发生以及事件是什么的问题。 

这可能很简单，就像恶意行为者的意图从纯粹的财务目的转变为意识形态，从而使勒索软件焕然一新。或者它可能是一些新的复杂脚本，可以在云服务提供商的区域之间跳转。或者地缘政治混乱也可能产生毁灭性影响。还记得我们之前提到的那个小制造商吗？如果那个国家突然受到制裁并且无法再出口您需要的组件怎么办？？？或者，这些因素本身可能会对您的组织不利，一场猛烈的风暴或 太阳耀斑甚至会压倒最好的组织计划和团队。 

无论原因如何，关键是复原力的一个重要部分是了解失败最终会发生。 成功的组织准备在事件发生后进行清理，并在事后变得更加强大。 

不要担心，但要做好准备

韧性不应该是一个厄运和悲观的话题。这应该是一个值得兴奋的问题，因为它可以帮助您的组织发展并更好地提供产品和服务。

但你不能对这个问题掉以轻心。确实需要对自己的能力进行压力测试，甚至考虑到损失整个业务部门等严重情况。即使是几分钟的中断也可能造成高昂的代价。只要看看 2021 年网上每分钟发生的事情就知道了。了解弱点和依赖性可以帮助不良行为者摧毁整个行业。 

这是高可用性、高效率和高度连接的系统带来的意想不到的结果。他们很脆弱。

如果做好了应对损失的准备，并且有能力应对中断，那么最初看起来像大山的问题实际上只是小事一桩。从这个角度来看，可能会开始听到更多所谓的运营弹性，这是一个来自金融部门的概念。

无论你最终如何称呼它，结果都很简单：以最小的影响度过风暴，并因此变得更加强大。当试图生存时，完美是足够好的敌人。如果你能够达到那种成熟的状态和水平，那么奇怪的风暴甚至可能最终对你有好处。通过测试，你可以提高并变得具有反脆弱性。

后记：以上是IBM的专家，根据美国的情况提出的有关组织网络弹性的一个系列性观点，在我们开展网络安全过程中，系统是存在国界的，但是安全的方法论以及安全的理念是相通的。我们需要结合自己的业务，结合自己国家的法律法规以及国家标准，乃至行业标准，或者最佳实践等，来构建自己足够弹性的网络。这一些列文章在编译、整理过程中，一直是抱着一种“它山之石可以攻玉”的态度，为我们开展网络安全工作提供一些思路。思路越开阔，我们的处理问题的方法才能更灵活。