超越复苏:打破遗留瘫痪
Greg van der Gaast
Independent Security Strategist
2024年10月2日
本系列共5部分,这是第4部分
如今,IT成本、能力下降和敏捷性降低的最大来源之一无疑是“遗留”IT系统。无论是银行、电信或高等教育领域已有30年历史的本地环境,还是已有5年历史的基于云的初创企业,都无所谓。几乎每个组织都有这样的系统,而本质上,这些系统往往是最关键的系统之一。
因此,在这个由五部分组成的系列文章的前三部分中,我们讨论了如何通过解决导致业务(包括IT)给企业带来风险的问题,来逐步改善我们的安全成果。
这种方法意味着,从质量和安全角度来看,所有新事物都将比以前更好。这包括新系统,也包括可以改善现有系统安全性的新流程。例如,改进的修补流程或更好的身份管理。
但是,您现在拥有的那些无法轻易替换的遗留系统该怎么办呢?对于那些由于其自身特殊性,无法从通过改进一般流程而获益的企业又该怎么办?由于方方面面的因素,人们认为修复这些系统的业务风险过大。
摆脱对遗留系统的依赖
为清楚起见,我将“遗留”环境大致定义为:由于缺乏规划或远见,[安全] 功能可能已经不适合业务需求的环境。或者,那些在构建时没有考虑长期支持,但因记录不全且非常复杂,导致对其进行更改风险太大,可能产生意外后果的环境。
由于这些环境通常支持大部分核心业务功能,因此维持这些环境的额外成本被认为是合理的。用更易于维护的解决方案替换它们的成本实在太高,主要是因为需要在过渡过程中进行逆向工程、理解和降低风险。
这些环境的重要性也意味着必须保障它们的安全。但出于同样的原因,它们很难更新、修复和保护。现代解决方案集成性不佳——就像混合油和水一样——而且更改代码或系统以启用安全功能或可见性通常风险太大。
改变遗留环境的努力经常会遭遇强烈抵制。企业不仅担心这种改变的成本,还担心其潜在影响。
摆脱恐惧
正因为这种抵触和不情愿,技术债务滚雪球般越滚越大,并不断加深。一旦发生这种情况,就很难继续推进变革。相反,我们围绕这些遗留系统构建了昂贵且通常需要手动的流程,既是为了保护它们,也是为了添加我们不敢触碰的核心系统可以且应该提供的功能。
但如果我们摆脱恐惧会怎样?
虽然大多数企业使用其解决方案来存储数据和系统副本,以防灾难发生,但事实上他们拥有的是其环境的副本。并且该副本存储在具有令人难以置信的I/O和优化技术的存储系统上;系统能够运行该数据并创建您的环境的数字孪生。
更好的是,优化技术引入了“薄型数字孪生”的可能性,即仅使用一小部分存储空间即可实现系统功能相同的副本。这意味着您实际上只需要很少的容量,即可运行大型孪生环境进行测试和模拟。
我第一次接触薄型数字孪生是在渗透测试的背景下。这样做的好处是,大多数企业不会彻底进行渗透测试,而且很少全面测试他们最敏感的生产系统是否存在中断风险。
但如果您具有一个功能完全相同的整个环境的复制品,可以使用,没有风险,没有影响,那会怎样?它可以进行那些可能会被认为很危险的测试。
您将获得更加全面的结果,而规划开销却少得多,因为中断数字孪生并不重要。您不会改变存储环境。而且几乎没有风险,这比最精心策划(且昂贵)的白手套方法要好得多。
此外,测试或暂存环境通常用于渗透测试,这些环境实际上并不是生产环境的真正功能副本。真正的生产副本总是更准确,并且不太可能导致关键问题被遗漏。
打破瘫痪循环
如果我们运用上述原则来打破既造成又巩固遗留环境的瘫痪循环,情况会怎样呢?
消除对这些环境进行更改的恐惧和风险,可以让我们快速剖析、中断测试和模拟对遗留系统的更改。这使我们能够大幅降低将这些系统从遗留状态中拉出的成本和时间要求。
从成本计算角度来看,它改变了优先事项,因为以前过于昂贵的事情现在可能成为比现状更便宜的选择。这意味着现在有财务动机(和业务支持)来解决我们以前的遗留问题。
通过利用备份或恢复基础设施中的环境副本来模拟流程变化、配置变化甚至整个替换系统,修复或用更好的系统替换所需的时间和精力成本比保持旧系统运行更低廉。
当然,这些原则在遗留系统中最为明显,但也可用于任何其他系统或变更,更不用说积极测试了。这一切都可以帮助您解除阻碍、加速并大幅削减安全转型的成本。
这些好处不仅限于提高安全性。还可以更轻松地添加业务功能,从而进一步造福业务和提高利润。
我们来回顾一下,在本系列的前几期中,我们介绍了这样一个事实:可持续和不断改进的安全性是质量的副产品,需要作为整体和战略方法的一部分来实施。还有,存储和恢复功能如何充当其中的推动者和加速器。
能够快速测试,并制作出适合您环境的数字孪生模型是加速这一进程的另一种方式。而且,这一过程的简易性会对成本产生重大影响,因此也会对活动的财务优先级产生重大影响。
从短期来看,最好的盈利方法更有可能是现在就妥善解决问题。正如我们在上期文章中讨论的那样,这种财务动机肯定会为您的安全转型赢得企业的支持。
有了数字孪生您会做什么?
让我为您留下一些简单的问题:
如果您可以生成任何系统甚至整个环境的数字孪生,并肆意测试或模拟任何情况,您会选择怎样做?
什么能给您带来最大的安全性或成本改善?
您能推动怎样的改变?
这些都是值得深思的议题……
请继续关注本系列的最后一章,我们将深入了解即将出台的超越恢复范围的DORA法案。
阅读本系列的前几篇文章
Greg van der Gaast
Greg van der Gaast started his career as a teenage hacker and undercover FBI and DoD operative but has progressed to be one of the most strategic and business-oriented voices in the industry with thought-provoking ideas often at odds with the status quo.
He is a frequent public speaker on security strategy, the author of Rethinking Security and What We Call Security, a former CISO, and currently Managing Director of Sequoia Consulting which helps organizations fix business problems so that they have fewer security ones.
