浅谈网络弹性：在网络攻击中屹立不倒

Clyde承认，这种设计给企业带来了额外的成本：随着系统的扩展，账单数量也在增加。“但工程师们最终通过实施网络防御措施降低了成本，这些防御措施可以在更早的阶段检测到欺诈性请求并予以拦截，从而减少了进入应用程序本身的数量。”

虽然这种方法可以追溯到15年前，但Clyde表示，赛门铁克在应对网络安全威胁时采取的方式，既保护了系统，又确保了其正常运行，完美展示了网络弹性的概念。

Clyde说：“我们应该构建能够经受住各种变化的系统，恢复力、持续性是其最主要的核心。”

美国标准与技术研究院（NIST）将网络弹性定义为：使用或由网络资源启用的系统，对其处于负面条件时，进行预测、承受、恢复和适应的能力。网络弹性旨在使依赖网络资源的任务或业务目标，能够在被攻击的网络环境中继续运作。

而在2011年开发了网络弹性工程框架的MITRE，其将网络弹性描述为：信息和通信系统，以及依赖它们的人员，需要在面对网络攻击时具备恢复能力。

过去十年，这个概念越来越受欢迎，随着恶意行为者发动攻击的数量、种类和强度逐年攀升，其已成为董事会层面都在关注的一个话题。

2023年5月，《哈佛商业评论》发表了一篇题为《董事会针对网络安全展开谈话》的文章，呼吁董事会应该“专注于网络弹性”。文章中写道：尽管董事会认为网络安全是重中之重，但他们在帮助组织抵御网络攻击方面还有很长的路要走。如果董事会不专注于网络弹性，公司很可能会面临严重的灾难。

网络弹性这一概念，包括一些长期存在的网络安全要素，比如业务连续性和灾难恢复的原则及实践，比如网络检测和响应，等等。然而，根据多位网络安全负责人所说，网络弹性并不是这些要素的同义词，实际上它的概念比这四种实践更具体，也更深刻。

BTE Partners的执行顾问、首席信息官兼首席信息安全官Sue Bergamo表示：“恢复力（弹性）意味着不间断地保持运行。显然抵御攻击是正常的，这是我们每天都要做的事情，但面对能够穿透防御的攻击时，我们必须具备恢复力，我们必须在保持运行的同时解决相关问题。”

换句话说，网络弹性是指“在网络事件发生期间保持正常业务的运行，同时在后台对该事件做出响应”。

一位专家将增强网络弹性的特征与发电机进行类比，他表示，这台发电机就像一个具备网络弹性的环境，当电力供应出现问题时，可保证所有设备都能持续运行。而如果没有这台发电机，工作人员就会乱作一团，四处寻找手电筒。

MITRE的网络安全恢复部门经理Rosalie McQuaid表示，网络弹性意味着组织能够在面对攻击者所采取的任何行动时，始终保持正常的工作运转。“网络弹性并非指在受到攻击后进行停机恢复，这种做法只是被动反应。而真正的网络弹性应该与Timex手表的广告语类似——遭受撞击后的它依然滴答不止。”

Clyde持有同样的看法，他指出，有些组织在遭遇勒索软件攻击后，只能支付赎金才能恢复功能，或是暂时采取非数字化的方式处理业务。因此可以断言，这些组织采取的“短期解决方案”并不具备网络弹性。

2021年5月，科洛尼尔管道公司遭受勒索软件攻击，该公司最终在支付赎金后恢复了业务。印度IT咨询和服务公司Wipro的高级合伙人Sogat Sindu对此事的看法是：为了减少损失而关停主营业务的行为并不能体现网络弹性。“如果具备网络弹性，那么即使某些系统被攻击，企业还会有其他系统可以接管并维持正常的业务流程。”

人们对网络弹性的兴趣日益浓厚。例如在美国，总统科学与技术顾问委员会（PCAST）于2023年3月成立了网络和物理恢复力工作组，他们在一份声明中表示：“系统中，物理和数字组件之间的相互依赖关系，可能会导致‘脆弱性’程度不断增高。也就是说，即使很小的中断也可能导致大规模并不可预测的影响。”

该声明还指出：“我们需要采取一种不同的做法，不仅仅是为了防止网络攻击和故障，而是要预设攻击会经常发生，预设组件故障是不可避免的。我们需要在面对攻击和故障时具备足够的弹性，以便能够承受攻击或快速恢复。这需要基于整体系统思维，需要进行根本性重塑。”

根据埃森哲2023年10月发布的《具有网络弹性的首席执行官》报告，表示企业高管也在考虑网络弹性。埃森哲对1000家大型组织的网络安全实践进行了研究，发现96%的人认为网络安全是“组织稳定发展的关键推动因素”。

然而，研究也发现，74%的人担心“自己的组织没有能力避免或最大限度地减少网络攻击对业务造成的损害”。

该报告的作者得出结论称：“这凸显了大多数CEO对企业的安全态势缺乏信心，认为他们的组织不具备真正的网络弹性，这种表象也反映在了他们对网络安全的投资上。”

此外，埃森哲对衡量网络安全恢复力的25项领先实践进行了基准测试，结果发现只有5%的企业在网络弹性方面处于领先地位。

安全事件一定能检验出这些组织是否真的具备恢复力（弹性），以及剩余95%的组织是否真的比他们认为的要差。然而，安全专家没能指出，还有更好更安全的方法可以衡量企业的网络弹性，这些方法能使CISO评估安全态势，跟踪随着时间推移而产生的改进情况，并使CISO能向他们的执行同事、CEO和董事会本身阐述评估结果。

Sergio Tenreiro de Magalhaes是 Champlain College Online 的首席学习官，也是网络安全和数字取证学系的副教授。他说，这种分析可能看起来像是一项深奥的工作，但实际上只是一个可以采取的具体行动。他认为网络弹性衡量的是“组织在受到攻击时所提供的服务水平能力”。

MITRE的《网络恢复工程框架（CREF）》是最早的相关框架之一。2023年2月，MITRE发布了《网络恢复工程框架（CREF）导航器》，这是一个免费的可视化工具，可帮助组织自定义网络恢复目标、目的和技术。

与此同时，美国标准与技术研究院（NIST）发布了第800-160 v2号出版物《开发网络恢复系统：系统安全工程的做法》。根据研究院的说法，该出版物能帮助组织预测、承受各种攻击，从攻击中恢复，甚至能帮助组织适应各种不利条件和压力。（上述两个报告在核心上保持一致）

当然，还有一些人提到了ISACA的CMMI网络安全平台，ISACA推广该平台可作为帮助组织建立网络弹性的工具。

Info-Tech Research Group的技术顾问Erik Avakian表示，正如使用其他网络安全框架一样，这些框架和评估并不是一刀切的，也不是仅仅为了做表面文章而使用的。相反，这些框架和评估促使CISO们扪心自问，他们的组织是否能够预测攻击，或是否具备正确的控制和能力去经受住攻击。

“从网络安全的角度来看，网络弹性关乎谨慎和勤勉。对此，我们需要建立一个分层防御的体系。其中包括一个由人员、流程、技术驱动的分层计划，需要具备适当的治理、服务和工具，以使组织能够拥有网络弹性的能力，以便在发生事件时能够做到恢复和适应，保证业务持续运行。”

想要做到这一点，CISO及其团队必须把网络安全基础打牢。这些基础包括了解对风险的容忍度、组织的IT环境、安全控制措施、系统漏洞，以及所有可能对组织运营产生影响的要素。

Tenreiro de Magalhaes表示，CISO不仅需要这些框架或专门用于衡量网络弹性的评估工具，还可以进行桌面演习和红队演习，以测试、衡量、报告恢复力情况。重复进行此类演习可以追踪组织的网络安全计划，以及衡量所增加的内容是否有助于提高网络弹性。

Bergamo说：“事实上，即使是传统指标也可以帮助组织了解他们的网络弹性水平。通过观察安全部门的日常状态，可以大概了解一个组织是否具备恢复力（弹性）。如果组织的安全团队在面对安全事件时始终能保持泰然自若，说明组织具备网络弹性；相反，若安全团队总是像惊弓之鸟，经不起任何风浪，那显然就不具备网络弹性。”

对于网络弹性的认知和理解，同时建立在网络弹性的基础上，企业和安全人员该做些什么，国内安全专家如此建议。

知乎相关专家“BACK”表示，网络弹性可能会成为最新的安全标准。网络弹性是指网络在遇到攻击、故障或意外时，能够快速恢复并继续正常工作的能力。随着网络技术的不断发展，网络安全问题越来越突出，网络弹性的重要性也日益凸显。网络弹性能够为用户提供高度可靠、灵活可扩展和强大的网络基础设施，同时保护这个网络生态系统不受威胁。因此，网络弹性对于现代社会和经济的发展具有重要意义，可能会成为新的安全标准。

以网络弹性为基础，“BACK”有以下这些建议给到企业或安全人员：

1、建立完善的网络安全防护体系。企业应该建立完善的网络安全防护体系，包括防火墙、入侵检测系统、安全审计系统等，以确保网络的安全性和稳定性；

2、定期进行安全审计和演练。企业应该定期进行安全审计和演练，以检测网络的安全性和弹性，及时发现和修复潜在的安全漏洞；

3、实施访问控制策略。企业应该实施严格的访问控制策略，包括用户身份认证、访问授权等，以防止未经授权的访问和攻击；

4、建立备份和恢复机制。企业应该建立备份和恢复机制，以防止数据丢失和网络故障，确保网络的可用性和弹性；

5、监控和检测异常行为。企业应该监控和检测网络中的异常行为，及时发现和处理潜在的安全威胁，以保护网络的安全性和弹性；

6、培训和提升员工的安全意识。企业应该培训和提升员工的安全意识，使其了解网络安全的重要性和防护措施，以减少人为的安全风险；

7、合作与信息共享。企业应该与合作伙伴和安全厂商合作，共享安全信息和资源，以获得更好的安全保障和防护能力。

某支付企业安全经理沈勇表示，弹性（RESILIENCE）在网络安全的语境下，通常是指一个系统（包含人员、流程和技术体系）在遭受外部不利干扰，甚至重大破坏的情况下，恢复系统运作的一种特性。整个特性主要受到系统的建设和运行目的影响，比如一个城市天然气或者电力调度系统的弹性要求，通常高于一个家庭影音娱乐系统。

以网络弹性为基础，沈勇建议道：

1、对于企业安全人员来讲，我们自身就是该企业安全系统的一部分，安全人员的命运和所属企业整体的命运息息相关。因此，除了网络安全行业动态、技术威胁情报之外，需密切关注企业的生存状态、竞争状态，还有企业所处的企业的生命周期。

2、为了避免“不识庐山真面目，只缘身在此山中”的视角局限，安全人员可采用一些外部视角和信息来评价公司的环境，状态和展望。

3、建立一个适合的弹性能力：如果能力建设过高，那么资源和精力还可以有更好的去处；如果能力建设过低，意味着对风险准备不足，意味着会存在潜在的隐患，所以需要及时调整。

4、上述#2#3步骤，可不断执行。

某数据安全负责人陈昺闰表示，以其个人理解，网络弹性是在遭受网络攻击或者因其他攻击而导致网络出现故障性问题时，维持关键核心业务功能或者整体服务恢复的一种水平。不单要依赖流量监控、负载均衡、动弹切换、备份恢复等能力，还与安全运营成熟度（预警、应急与响应能力）及沟通联络机制等存在相关性。“而若以网络弹性为基础，建议企业从关键核心业务承受的风险度量上考虑整体投入，抓重点能力建设，以整体运营能力提升为目标，打好基础，包括组织汇报与快速决策机制、成熟应急响应能力、自动化的工具建设。”

某互联网公司安全负责人黄鹏华认为，各种攻击技术的不断发展，比如未知0day攻击的层出不穷，社工手段越来越丰富等，以及企业网络越来越复杂，这都使得企业安全防御体系在面对不可预测和不确定的网络威胁时，不可避免会遭到网络攻击。如何能在网络攻击成功的情况下降低影响、减少损失，并从中恢复，以适应不断变化的威胁，这是一种极限思维方式的体现，也呈现出了企业网络安全的弹性和韧性。

相比传统纵深防御体系的建设方式，网络安全弹性从另外一个角度给防御体系建设提供了新的思路，可理解为这是一种对网络安全建设的兜底。“作为企业的网络安全人员，我们在规划和采取防御措施时，除了从正面考虑措施的有效性外，也可以从反面考虑措施失效的情况来增强弹性。例如措施失效是否有其他措施可以补足，抑或是能否可以快速地恢复，等等。”