中国企业面临的数据安全风险话题看似“老生常谈”,但如果真是“拿数据说话”,一直有一些真实现状超出我们的想象。在Veritas近期发布的《数据风险管理:从网络到合规的市场现状》研究报告中,可以看到中国企业呈现出的部分结果超出全球平均水准。例如,在研究调查的13个国家/地区中,风险最大的国家/地区里中国排名第三位。
显然,中国企业面临着风险高于很多其他国家和地区的网络环境——也切实地深受其害。报告显示,79%的中国受访者表示在过去两年中,其所在企业至少遭受过一次成功的勒索软件攻击,黑客成功渗透到其系统中——高于全球平均值65%。而在损失方面,过去一年中,因未能遵守监管要求而造成的泄密事件,使中国受访企业平均损失超过 38.4 万美元(约合281万元人民币)的合规罚款——高于全球合规罚款平均值为33.6万美元。
中国企业网络风险漏洞背后的思考
突出的表现令企业不得不思考背后的原因。事实上,很多中国企业都缺乏对于风险的清晰认知,因而也疏忽了防范。Veritas报告显示,当被问及其企业目前是否面临风险时,40%中国受访者的答案是否定的。但是,在看过风险因素清单后,93%的中国受访者随后指出其企业所面临的风险。这足以说明,很多中国企业的风险意识不足,在风险防范方面也并不完善。46%的中国受访者表示,所在企业没有制定数据恢复计划,或者只有部分计划。此外,2022年微软数字防御报告(Microsoft Digital Defense Report 2022)中也指出,44% 的企业没有为受影响的系统提供防篡改的备份。
报告中还有一点也值得关注——横向对比中国市场中各领域风险排名的结果中,风险排名最高的领域是生物医药行业,受访者认为面临风险比例高达100%。而在生物医药行业中,Veritas积累了深厚的数据管理和合规经验,观察到此领域的企业普遍面临着数据管理挑战。
以CDMO服务领域为例,面临着艰巨的数据保护管理挑战和严苛的合规标准。企业需要确保CDMO生成的数据的完整性——从实验室到车间,质量小组应构建一个例行通用、标准化的数据完整性审计框架。即便在早期开发过程中,也应定义用于捕获GMP数据的相关流程,作为GxP整体IT管理系统的一部分。其次,CDMO为协助药企研发创新提供大量基础性数据,而新产品的上市周期可能长达5-10年,要求所有基础文档、记录都必须齐备,这对数据保管提出了非常大的挑战。而长期数据保管不是简单的数据存放,而是需要定期地对数据进行处置,包括转储、翻录、验证等,实现全生命周期管理。多数据源、多数据格式对数据保护平台提出了全覆盖、高稳定的严格要求。
而在合规方面,由于不少生物制药企业涉及的产业链和业务生态遍布全球,需要构建遵循全球规范的CSV体系,满足全球各个地区的药监合规要求,包括GMP/cGMP数据管理相关要求等。这些都对CDMO领域的数据管理提出了极大挑战。
加码数据保护管理 守好企业数据“最后一道防线”
以小见大,其实不论是哪个行业,都面临着大同小异的数据管理挑战。企业需要做的是“治本”,从根源上做好数据管理和保护,即构建一个完备的数据保护管理策略。增强其中备份系统作为企业核心业务数据与关键应用的“最后一道防线”至关重要,Veritas建议企业可以从以下几点着手,守好最后一道防线,帮助企业增强网络韧性:
1.网络层面,阻止恶意威胁入侵访问系统:备份是抵御勒索威胁的重要防线,但这并不意味着备份系统会对勒索软件具备“天然免疫”。大多数勒索软件会扫描目标网络,删除或加密存储在网络共享上的文件,并传播到其他系统。隔离感染是最重要的第一步,可控制和阻止勒索软件的传播。IT必须尽快将受感染的系统从网络中隔离出来。不同域之间数据和网络隔离,灵活性和安全性俱佳。
2.用户层面,阻止未经授权的登录:基于证书&多因素验证,外部权威证书;特权访问管理。
3.应用层面,应用程序隔离和资源访问控制:平台层与应用程序层分离,一台设备上可以起多个Master、Media、Storage角色。
4.操作系统层面,限制用户和进程权限:采取零信任访问原则。密码只是最基础的,身份和访问管理是必需的。通过基于角色的访问控制(RBAC)和多重身份验证(MFA),为不同角色分配所需的功能,限制不必要的访问。同时,防止用户通过单个凭证接管帐户。
5.存储层面,破坏性访问操作受到严格限制:勒索病毒获得了管理员的权限之后,容器化的WORM存储可以防止恶意授权用户泄露数据。通过使用专有合规时钟,不受操作系统或网络时间协议(NTP)黑客攻击的影响,在满足保留期限之前,数据不会过期,从而在整个端到端、全生命周期的数据旅程中实现无与伦比的不可变性。此外,还可采用多用户权限访问shell和 受限的IPMI操作码以及文件系统隔离保证数据干净和安全。
6.安全标准方面:满足FIPS、STIG等认证标准,并满足全球各地、各行业合规需求。此外,应该具有不可变架构和漏洞管理方案,并与安全信息与事件管理(SIEM)、安全编排、自动化和响应(SOAR)以及扩展检测和响应(XDR)等安全监控/管理平台安全集成。
近期,Veritas推出的数据保护管理领域首个可扩展架构——Veritas 360 Defense,通过与数家业内领先的安全厂商集成,正是为企业提供了一套独特的网络韧性功能。可以说,打造网络韧性不是一招一式就可以出奇制胜的,而是需要以全方位的视角,构建起企业面对威胁的能力“高墙”,才能在充满挑战的网络环境中稳步获取业务成长。
关于 Veritas
Veritas Technologies是安全多云数据管理领域的领导者。超过八万家企业级客户, 包括91%的全球财富100强企业,均依靠Veritas确保其数据的保护、可恢复性和合规性。Veritas在规模化的可靠性方面享有盛誉,可为企业提供抵御勒索软件等网络攻击威胁所需的弹性。Veritas通过统一的平台,支持超过800种数据源,100多种操作系统以及1400多种存储设备。在云级技术的支持下,Veritas现正在实践其数据自治战略,在降低运营成本的同时,实现更大价值。
Veritas中国官方网站 https://www.veritas.com/zh/cn/
Veritas官方微信平台:VERITAS_CHINA(VERITAS中文社区)