真正的网络弹性, 从混乱到秩序的转变-构建新能源汽车行业数据安全架构=Commvault.pdf

1、董剑波 Commvault 中国区技术总监2024年7月真正的网络弹性,从混乱到秩序的转变-构建新能源汽车行业数据安全架构议程网络安全 VS 网络弹性新能源汽车行业数据安全需求挑战最佳实践 Commvault 20243智能网联汽车数据安全合规和数据分类步入混合新时代混合世界勒索软件无处不在，也包含在备份数据中AI带来新机遇，也酝酿着新威胁来源：Flexera,Gartner,Deep Instinct,Sophos 73%的企业拥抱混合云获得IT灵活性的同时，面临数据安全挑战85%的安全专业人员认为过去一年攻击事件上升的原因是黑客使用了GenAI94%遭受勒索软件攻击的组织表示攻击者在攻击同

2、时破坏了备份数据有两种类型的公司：被黑客入侵的公司，以及那些不知道已经被黑客入侵的公司。John T.Chambers,Former CEO at CISCO Commvault 20245当今网络防御的现实备份是数据防勒索的最后一道防线，但是 Source:The state of Ransomware 2024全球企业勒索攻击事件的占比勒索攻击的平均恢复成本2020-2024年全球企业恢复加密数据的方式遭遇攻击后的数据恢复时间5 Hours24+Hours5-14 Days1-3 Months平均21天12 Hours网络攻击发起2-3 Days7+Days潜伏时间识别威胁网络保险重建IT

3、系统重建生产系统响应计划分析、溯源数据恢复Day 0勒索病毒无孔不入，99%的勒索攻击事件在攻击生产系统之前都会先攻击备份数据21 Days网络攻击的时间轴 企业落地数据安全的现状令人堪忧Source:The state of Ransomware 2024新能源汽车行业数据安全现状混合云部署缺少统一管理 数据孤岛和碎片化；多种数据保护工具混合，运维复杂海量数据增长难于治理 车联网 设计图纸 车机核心应用保护能力不足 备份数据缺少验证手段；如何确保备份/容灾数据是干净的？缺少数据安全可视化 统一数据安全视图 安全事件交互和统一安全平台集成新能源车企数据安全管理需求分析应用系统系统特点管理对象数

4、据管理需求数据保护快速恢复长期保存容灾恢复安全加固合规检索单机环境 员工PC和研发桌面 智能工厂的工控机 数据需长期保留PC及工作站操作系统智能制造系统数据库服务器环境 海量数据库 RTO要求较高 数据要长期保留 数据库、报表MES/DMS/TSP/CRM/ERP/OA和邮件系统 含有数据库和文档 RTO要求较高 有些重要文件分散在台式机上邮件系统单机文件/数据库服务器虚拟化云 现有的管理方案不适合云环境 有多云战略 虚拟机、公有云实例、对象存储、云应用 基本要求 推荐实施 最优方案攻击事件！敏感数据扫描风险建议网络欺骗及早警告事件响应规划恢复点验证攻击恢复干净数据恢复和验证敏感数据分类威胁建

5、议恢复点测试大规模恢复法律分析风险评估阶段准备阶段恢复阶段真正的数据安全在攻击之前就开始准备了，而且永远不会结束基于 MITRE CREF 和 NIST 框架合作伙伴生态集成风险修复防勒索保护的“前/中/后”渗漏破坏加密备份前备份中备份后安全生态备份后威胁扫描风险分析数据校验自动恢复安全生态SIEM/SOAR威胁集成分析密钥管理安全智能恢复备份前诱导攻击风险分析蜜罐文件告警文件/VM异常检测备份中File Activity文件类型检测备份文件大小检测去重块数量检测文件元数据和扩展名异常检测Commvault安全体系架构 落地方案备份数据在线文件系统扫描 异常扫描检查，每5分钟一次备份活动扫描监

6、控 通过异常检查探测器进行持续监控安全设定 多因子身份验证 基于角色的访问控制 AI异常检测 数据加密 值得信赖的挂载点物理机管理控制CommServe虚拟机DR数据测试平台容灾管理控制DR CommServe定期挂载验证和扫描4隔离数据每天备份到不可变存储1每天复制到隔离区2每天复制到DR区3限制性端口(443)单向连接Air Gap灾备复制即时同步DR备份生产数据中心Air Gap隔离区DR数据中心CIS加固CIS加固数据验证/恢复演练 DR自动化 Live Sync Live Mount 应用程序验证 数据验证Air Gap 隔离区 单向连接 隔离