超越復原:打破傳統束縛
Greg van der Gaast
Independent Security Strategist
2024 年 10 月 2 日
第 4 部分(系列共 5 部分)
現今 IT 成本高、功能不全、靈活性降低的其中一個原因,無疑是「舊式」IT系統,不論是已有 30 年歷史內部部署環境的銀行、電信或高等教育領域組織,或是 5 年歷史的新創公司。幾乎每個企業都有一些這樣的系統,而問題的關鍵在於,這些系統往往是企業最關鍵的部分。
因此,在本系列的前三個分章中,我們討論如何解決導致企業(包括IT)面臨風險的問題,並著眼於隨時間推移持續改善安全性成果的方法。
從品質與安全性的角度來看,這種方式意味著所有的新事物都會比之前更好。這不僅包括新系統,也包括改善現有系統安全性的新程序。例如,您可以想想改良的修正程序,或更好的辨識管理。
但是,您的舊式系統怎麼辦呢?舊式系統已經根深蒂固,無法輕易更換。一般程序改進因其特殊性或特定需求,可能無法對某些使用者產生重大影響。由於多種因素,修復這些問題的業務風險被認為過於龐大。
打破我們對舊式系統的依賴
我要明確指出,我將廣泛地定義「舊式」環境,因為在這些環境中,[安全性]功能可能因缺乏規劃或遠見而無法滿足企業需求。或者,當元件建立時並未考慮長期支援,或是記錄不詳且複雜,因此變更元件的風險太高,因為可能會產生意想不到的效果。
由於這些環境通常支援大部分的核心業務功能,因此維持這些麻煩環境的額外成本被認為是合理的。更換這些環境以獲得更易於維護的解決方案,成本實在太高,主要是因為在最終的轉換過程中,必須進行逆向工程、了解並降低風險。
它們的重要性也意味著安全性非常重要。然而,基於相同的原因,很難更新、修補和保護。現代的解決方案無法很好地整合,這就像是混合油與水,而且為了啟用安全性功能或可見度而進行程式碼或系統變更,通常風險太高。
改變舊式環境的努力往往會遭到強烈反對。企業不僅擔心這些變更的成本,還擔心其潛在的影響。
把恐懼拋在腦後
正是這種杯葛和不情願,讓技術債務像滾雪球一樣越滾越大。一旦這種情況發生,便很難移動這些環境。相反地,我們建立成本高昂、且經常以手動方式運作的系統與程序,一方面是為了保護系統,另一方面是為了增加功能性,這些功能可以且應該由我們不敢觸及的核心系統提供。
但如果我們能擺脫這些恐懼呢?
雖然大部分的企業都會使用他們的解決方案來儲存資料與系統的副本,以防災難來襲,但事實上,他們只是依賴其環境副本。而副本是存放在具有驚人 I/O 與最佳化技術的儲存系統上,這些系統能夠執行資料,並建立環境的數位分身。
更棒的是,目前採用的最佳化技術,可以讓薄型數位分身成為可能,使用少量的儲存空間,就能在功能上完全與您的系統相同。也就是說,您實際上只需要很少的容量,就能執行非常大型的分身環境,以進行測試與模擬。
我第一次介紹超薄數位分身是在滲透測試的背景下進行的。其優點在於,大多數企業不會進行徹底的滲透測試,而且即使測試過最敏感的生產系統,也很少會完全測試其是否有中斷的風險。
但是,如果您擁有功能完全相同的整個環境復本,並且可以使用,這樣就不會有風險,也不會對系統造成任何影響呢?它可以被徹底測試,而不會被認為是危險的。
因為中斷分身沒有影響,因此您會得到更徹底的結果,而且規劃開銷也少得多。您並未變更預存環境。而且風險幾乎為零,甚至比最精心規劃(且價格昂貴)的白手套方法更為優越。
此外,「測試」或「暫存」環境通常用於滲透測試,而這些環境實際上並非其生產環境的真正功能副本。真正的數位孿生環境能夠精確地複製生產環境,並且更不容易遺漏關鍵問題。
打破束縛的循環
但是,如果我們運用上述原則來打破既造成舊式環境又鞏固舊式環境的束縛循環呢?
排除變更環境的恐懼與風險,可以讓我們快速剖析、進行中斷測試並模擬舊式系統的變更。如此一來,我們便能大幅降低將這些系統從舊式狀態中移除的成本與時間需求。
從成本計算的角度來看,這會改變優先順序,因為以前成本過高的專案,現在可能會變得比維持現狀更便宜。這表示現在有了財務動機(以及業務支援)來解決我們先前所負擔的舊式問題。
藉由利用位於備份/復原基礎設施中的環境副本,我們能夠模擬程序變更、組態變更,甚至整個系統更換。修復或更換系統所需的時間與人力,比維持舊式系統運作更為經濟。
當然,這些原則在舊式系統中最為明顯,但也可以用於任何其他系統或變更,更不用說積極進行測試了。所有這一切都能協助您解除封鎖、加速進程並大幅降低安全性轉換的成本。
這些優點也不僅限於改善安全性。業務功能也能更輕鬆地加入,進一步為業務和盈利帶來裨益。
回顧一下,在本系列的前幾章中,我們提到一個事實,即永續和不斷改善安全性是品質的副產品,需要作為整體和策略性方法的一部分來實施。同時,我們也介紹儲存與復原功能如何發揮啟用和加速的作用。
能夠快速測試並原型化環境的理想數位分身,是進一步加速此進展的另一種方式。此外,這樣的過程容易完成,並對成本產生重大影響,因此對活動的財務優先順序也具有重要影響。
這更可能是,即使是在短期內,最有利的獲利方法,就是現在就妥善解決問題。正如我們在上一章中所討論的,這種財務上的合理性必然會獲得企業對安全性轉換的支援。
您會怎麼使用數位分身?
我將留給您一些簡單的問題:
如果能夠生成任何系統甚至整個環境的數位分身,並且可以無需顧慮後果地進行測試或模擬,那麼這個動作可能會是什麼呢?
什麼能為您帶來最大的安全性或成本改善?
那麼您會想驅動什麼改變呢?
值得深思的好東西…
下次請加入我們進入系列的最後一章,深入了解即將推出的 DORA 法案,該法案也超越復原。
參閱本系列的前幾篇文章
Greg van der Gaast
Greg van der Gaast started his career as a teenage hacker and undercover FBI and DoD operative but has progressed to be one of the most strategic and business-oriented voices in the industry with thought-provoking ideas often at odds with the status quo.
He is a frequent public speaker on security strategy, the author of Rethinking Security and What We Call Security, a former CISO, and currently Managing Director of Sequoia Consulting which helps organizations fix business problems so that they have fewer security ones.
