也許你認為這些不過是低概率事件，抑或是對自家企業的網絡安全信心滿滿，那不妨再看看如下這些數據：根據英國《信息自由法》最新披露的數據顯示，截止2023年上半年，英國運營關鍵信息技術基礎設施服務的組織共計上報了13起嚴重影響關鍵技術服務運營的攻擊事件，2021年與2022年則僅有4起。在中國，情況同樣不樂觀，在Veritas近期發布的《數據風險管理：從網絡到合規的市場現狀》研究報告中有一則結果值得關注：79%的中國受訪者表示在過去兩年中，其所在企業至少遭受過一次勒索軟件攻擊，并有87%的人承認事件帶來了聲譽和經濟損失等負面影響。

 

不得不承認，數字化在為企業提質降本增效的同時，也進一步放大了企業面臨的網絡風險，使企業網絡安全面臨“內憂外患”。一方面，大量的互聯網資產與云上業務，使企業對外暴露面成倍增加，傳統的IT資產、數據資產，以及新興的數字資產放大了“內憂”；另一方面，在網絡攻擊和威脅不斷演變下，攻擊者對暴露面的全方位攻擊持續升級，企業如今面對的是更復雜而強大的“外患”。

 

面對危機四伏的網絡世界，探索能夠適應數字化轉型需求的新型網絡安全保障機制，對企業實現可持續發展越發重要。為此，塑造一個既能夠有效抵御風險，又可以實現快速恢復，具有更強韌性的網絡安全架構事關重大。

 

主動“進攻”，防微杜漸

 

如何才能掌握并提升企業自身的網絡韌性?在足球運動中，“最好的防守就是進攻”一直以來被眾多豪門球隊和著名教練奉為真諦。這一點與提升網絡韌性的方法異曲同工，根據Gartner最新發布的2023安全運營技術成熟度曲線，預示著網絡安全建設正從內部視角向外部視角轉變，也就意味著傳統的以被動防御為主的方式，正逐步被主動預防方式取代。

 

對此，Veritas建議企業要從以下方面著手，把掌控安全的主動權握在自己手中：

 

· 主動進行網絡安全風險分析。徹底的網絡安全風險分析包括審查企業的整個 IT 基礎設施，以確定企業的關鍵資產，以及攻擊者可能在哪里和如何訪問這些資產。

 

· 必要時實施額外的保護措施。企業的網絡安全風險分析可以讓企業更了解自己在保護方面的優勢和短板，實施適當的保護措施可以幫助企業彌補網絡韌性盔甲上的漏洞。

 

· 制定事件響應計劃。俗話說，沒有準備就等于準備失敗。即使進行了全面的網絡安全風險分析并制定了適當的保護措施，也無法完全避免遭受網絡攻擊。企業需要將用于隔離威脅和減輕威脅影響的程序和流程記錄在案。其中許多步驟需要根據具體業務需求量身定制，還應包括哪些人需要參與，并為節假日、休假和其他異常情況提供應急措施。企業需要根據計劃定期演練這些程序和流程。

 

· 通過網絡安全培訓讓員工做好準備。許多網絡攻擊都是從網絡釣魚開始的，并試圖讓員工泄露有助于攻擊者入侵企業系統的信息。企業應該培訓員工如何識別網絡釣魚企圖和其他威脅，鼓勵他們使用強密碼。此外，企業還應幫助員工了解自己有哪些看似無害的日常習慣，比如使用未經授權的網絡應用程序(如生成式AI)，這些習慣可能會將公司的敏感信息置于風險之中。

 

· 對云上數據的保護加以特別關注。Veritas提醒企業，企業的數據應該由自己保護。很多云供應商許只能保證服務層的能力，但不負責保護企業的數據。

 

· 建立網絡安全報告流程。前車之鑒，后車之師。通過建立強大的 IT 報告能力，特別是網絡安全報告能力，可以記錄事件和相關響應，并進行分析，從而發現錯誤。此外，如果企業現在就具備這些報告功能，在需要時就能更快速方便地開始正式報告網絡安全事件。

 

“敬畏”現實，提高警惕

 

王陽明曾說，永遠不要低估人性的丑惡。同理，在網絡世界中，永遠不要低估黑客的“惡意”，當然，也最好不要高估自己所謂的“優越”。如今，新型網絡攻擊方式快速迭代，其隱蔽性和多樣性都與日俱增，一旦攻擊成功，對企業造成的危害程度也不可同日而語。此外，根據安全供應商Titaniam的數據顯示，大型企業、金融機構、政府組織占據了網絡攻擊目標行業的前三名，威脅往往更易存在于那些看上去難于攻破的地方。

 

對此，Veritas認為，警醒與警惕缺一不可:

 

· 不要等到事故發生后才將網絡韌性作為優先事項。太多企業低估了自己面臨的網絡風險，直到發生事故后才幡然醒悟。Veritas建議企業盡早采取上述步驟，避免付出慘痛的代價。

 

· 不要假設自身是安全的。網絡犯罪者的“創新能力”令人難以置信，生成式AI等新興技術只會增加其活躍度和膽量。網絡韌性并不會因為單次采取了上述步驟就一勞永逸。企業必須經常重新審視這些步驟，不斷調整并改進網絡韌性態勢。

 

歸根到底，企業需要不斷提高包括數據保護在內的網絡韌性，Veritas建議企業遵循上述實踐，做好應對威脅萬全準備，疏而不漏，最大程度避免出現亡羊補牢的意外情況。

 

關于 Veritas

 

Veritas Technologies是安全多云數據管理領域的領導者。超過八萬家企業級客戶， 包括91%的全球財富100強企業，均依靠Veritas確保其數據的保護、可恢復性和合規性。Veritas在規模化的可靠性方面享有盛譽，可為企業提供抵御勒索軟件等網絡攻擊威脅所需的彈性。Veritas通過統一的平臺，支持超過800種數據源，100多種操作系統以及1400多種存儲設備。在云級技術的支持下，Veritas現正在實踐其數據自治戰略，在降低運營成本的同時，實現更大價值。

 

Veritas中國官方網站 https://www.veritas.com/zh/cn/

 

Veritas官方微信平臺：VERITAS_CHINA(VERITAS中文社區)