为什么增加在恢复方面的投资可以提高投资回报率?

　　所有企业都会认可安全的重要性，但在安全上的投入却经常令人迷惑。

　　一方面，由于安全威胁在不断变化，所以，安全建设维护需要长期持续大量投入。另一方面，长期大量投入后的价值无法直观体现，持续投入的决心不足，经常是被攻击后才有所感知，被攻陷后才悔不该当初投入太少。

　　为了安全，企业IT相关人员需要尽心竭力地做许多工作，为了不漏下明显漏洞，国内外安全人员普遍推崇的有一个NIST安全框架，NIST安全框架分为五个部分，分别为：识别、保护、检测、响应和恢复。

　　在五部分上的投入应该如何分配呢?我们可以看大型企业的做法，大型企业在安全上的投入比较多，所以，通常更有代表性。

　　从一些数据来看，这些大型企业在识别和保护方面的投入占整体安全投入大约10%到20%，检测部分占70%到80%左右，在响应上的投入很少，而在恢复中的投入几乎没有。

　　戴尔认为，如果企业希望用有限的预算获得更大收益，应该通过更可靠的恢复能力来完善NIST框架，增加关于恢复部分的投资，这往往能为成熟的大企业提供最佳的投资回报率。

　　戴尔的这一看法源自实践。过去几年以来，戴尔帮助企业构建网络弹性战略，实施网络恢复解决方案的过程中，发现了企业在安全方面的一些问题，也找到了一些行之有效的解决之道，对提高安全方面的投资回报率非常有帮助。

　　提升网络恢复能力，可提高安全投资回报率

　　多少年来，虽然安全防御手段一直都在不断演进当中，但无数安全实践一再证明，世界上没有绝对的安全。而当企业开始构建恢复能力，便是在新的维度上提升安全水平。

　　就好像考试一样，某一科目已经考了90多分，再想提升到100分很难，如果能填写另一张新的考卷，那么，总分将得到很大提升。幸运的是，安全看的是总分而不是单科成绩。如今，网络恢复能力就像是一张待填写的空白试卷。

　　早期的黑客喜欢炫技，而如今的黑客有很强的目的性，特别是近几年来，勒索软件越来越流行，据说每11秒就有一次勒索攻击，俨然成了黑客一夜暴富的捷径，国内外很多政府机构和商业企业都曾遭受过此类攻击，许多人都闻之色变。

　　其实，网络攻击也是有规律的。黑客通过一个没修补的漏洞、一封钓鱼邮件找到突破点之后开始进入系统，随后，黑客可以畅通无阻地四处游荡，开始在网络、存储、服务器以及整个系统里面横向探测，成为最了解企业IT环境的“外人”。

　　戴尔发现，一次勒索攻击的平均停留时间超200天，从初步渗透到最后发起勒索攻击的时间长达200多天。在这200多天时间里，黑客会想办法找到最关键的核心生产数据，找到备份系统和容灾系统，当一切准备就绪，就会对核心生产数据进行加密。

　　很快，关键业务系统出错，业务开始中断。许多企业用户会先进行断网并马上报警，同时也会等着国家网络安全部门来调查详情。过程本身没什么问题，最大的问题是，整个过程需要历经较长时间，业务系统长时间宕机，客户流失，信誉受损，这种企业不倒闭绝对属于商业传奇。

　　为了尽快让业务恢复运营，有些企业会选择向黑客支付赎金。幸运的话，黑客会让数据进行恢复，并不进行后续勒索。运气不好的话，黑客拿到赎金并没有进行数据恢复，或者今天恢复了数据，过几天黑客缺钱又加密一次。对此，企业也完全无可奈何。

　　如果能将数据安全地做备份，并且在勒索发生时候进行恢复，那么，企业就会掌握巨大的主动权，这就是构建网络弹性战略，部署网络恢复解决方案的价值。

　　如何提升网络恢复能力?

　　为了怕丢失珍贵的照片，人们可以选择在移动硬盘，家用小NAS里，在付费网盘里都分别存一份，个人数据尚且如此，企业关键数据得有更专业的保护手段。

　　戴尔作为老牌企业级存储厂商，知道如何安全地存储数据。

　　在数据保护方面，戴尔推行的是三位一体的解决方案：所有数据都需要备份系统做基础的保护;重要的数据需要在此基础上加入容灾系统，以防站点级别的故障;最核心的数据需要数据避风港Cyber Recovery这种网络恢复解决方案，以应对勒索病毒。

　　如今，许多企业多少都有备份系统，一些比较重视数据安全的企业也会构建两地三中心这种站点级别的容灾解决方案，但只有少部分企业对核心数据加以“严防死守”，很多企业都处于勒索病毒这把达摩克里斯之剑的阴影之下。

　　戴尔数据避风港Cyber Recovery这种网络恢复解决方案采用了堪称“极端”的防护方式：

　　首先，它将数据备份到一个与生产环境隔离开的网络恢复保险库，纵然黑客攻陷了所有系统，也无法触碰到这些被物理隔离的数据。这一操作能保证关键数据不被黑客加密或者获取。

　　同时，为了保证这些数据本身的安全，数据避风港Cyber Recovery不允许数据进行改动，即使是内部的人员也不能对其进行删改。

　　最后，为了确保备份来的数据没被动过手脚，会通过智能分析等手段确保备份的数据是正常可用的。

　　以上三方面的操作缺一不可，以此保证备份来的数据的安全性。

　　一旦当勒索事件发生，数据会从网络恢复保险库里进行恢复，为了提高安全性，网络恢复保险库会短时间里与生产系统建立连接，快速完成恢复后立即断开。

　　数据恢复完成后，业务系统恢复到正常状态，以后再次面对黑客的勒索攻击便多了几分从容，这就是网络恢复解决方案的价值，真正能提高企业的业务弹性。

　　说到底，数据避风港Cyber Recovery这种网络恢复解决方案是各种防御手段被突破后的一种补救性的解决方案，在新的维度上提升业务弹性，这比单纯继续强化防护能力更容易取得立竿见影的效果，也有助于提升企业在安全方面的投资回报率。

　　克服安全复杂性与强化现代安全

　　复杂性是安全的敌人。对于安全而言，越是复杂的系统越是容易出问题。

　　NIST安全框架分了五层，数据避风港Cyber Recovery这种网络恢复解决方案只是第五层，之前四层里有数不清的各种方案，各种方案可能同时涉及多个层次，看起来很复杂，用起来会更复杂。

　　戴尔认为，当企业要管理的端点设备、服务器、网络、存储和云资源越来越多时，管理的效率会降低，成本和风险都会增加。传统的管理方式不再适用，于是，戴尔强调现代安全，而加强现代安全的第三个方面就是：克服安全的复杂性。

　　戴尔认为，加强现代安全要从三方面下手。第一个，用零信任架构、NIST框架做好对数据和系统的全面防护;第二个，加强在恢复方面的投资，用网络恢复方案构建弹性恢复战略，也就是本文的重点;最后一部分是解决安全面临的一个通病，克服复杂性。

　　解决思路上，戴尔建议通过将更多的AI和机器学习能力注入到这些安全工具当中，以更大的自主权来管理威胁，并能提供更好的业务建议。

　　具体实践上，戴尔有一个基于云的主动监控和预测分析软件——CloudIQ，提供面向智能基础架构的AIOps能力，支持包括PowerEdge服务器和PowerMax、PowerStore存储、数据保护、网络系统、超融合、融合基础架构等多种基础架构解决方案，提高运维管理的工作效率。

　　CloudIQ结合了主动监控、自动通知、推荐、机器学习和预测分析，帮助降低戴尔基础架构的风险。这些高级的工具能帮助企业创建一层自动化层，帮助用户加深对于基础架构和安全态势的了解，能更自信地扩展安全态势。

　　除了整合安全工具，戴尔还有实践经验丰富的安全管理团队，通过将技术、人员以及流程相结合，提供了从战略到持续管理端到端的服务，从而更好地保护组织，让企业的业务变得更有弹性，帮助企业降低安全的复杂性。

　　如果想了解加强现代安全的更多内容，可查看此前的文章：

　　现代化安全系列专题文章之一：作为硬件大厂，戴尔为什么要谈零信任?

　　现代化安全系列专题文章之二：与专业安全厂商相比，戴尔做安全的优势是什么?