如何快速、安全地從網(wǎng)絡(luò)事件中恢復(fù)

攻防

企業(yè)往往在網(wǎng)絡(luò)攻防戰(zhàn)的“前線”投入大量資金，試圖將黑客“拒之門外”，而很少把精力放在如何為黑客真的進入企業(yè)網(wǎng)絡(luò)環(huán)境做好準備。而現(xiàn)實就是，企業(yè)的防線，終歸有一天還是會被黑客突破的。

黑客使用AI的情況越來越普遍，在滲透企業(yè)網(wǎng)絡(luò)方面，黑客變得前所未有的嫻熟。與此同時，漏洞造成的后果也越來越嚴重。Commvault指出，企業(yè)必須轉(zhuǎn)變戰(zhàn)略思維，關(guān)注如何快速、安全地從網(wǎng)絡(luò)事件中恢復(fù)。

幾十年來，維持和運行彈性的IT環(huán)境對于企業(yè)并非難事?？偟膩碚f，企業(yè)只需要封鎖為數(shù)不多的幾個可用接入點，就能避免其寶貴的技術(shù)資產(chǎn)受到黑客攻擊。而且如果企業(yè)建立了恢復(fù)系統(tǒng)，在發(fā)生中斷，比如遇到自然災(zāi)害或者導(dǎo)致服務(wù)掉線的其他事件時，企業(yè)也不難重新恢復(fù)正常運行。

但如今環(huán)境發(fā)生了巨大變化。云的崛起“淘汰”了安全邊界的概念。隨著數(shù)字應(yīng)用程序數(shù)量持續(xù)激增，IT環(huán)境變得前所未有的復(fù)雜，影響也更加廣泛。行業(yè)研究顯示，如今員工在日常工作中使用的軟件工具多達35種，每天切換應(yīng)用程序超過1100次。

此外，相比許多企業(yè)仍不確定應(yīng)該如何使用AI進行防御的情況，AI正為黑客帶來巨大優(yōu)勢。網(wǎng)絡(luò)攻擊快速演變，企業(yè)很難確保百分之百的防護。而數(shù)據(jù)漏洞將造成嚴重后果，其平均成本大約在500萬美元。同時，日漸完善的數(shù)據(jù)相關(guān)法律法規(guī)，也要求企業(yè)提升其數(shù)據(jù)合規(guī)水平。

面對這些挑戰(zhàn)，企業(yè)必須采取彈性更強的IT方法，確保企業(yè)做好應(yīng)對網(wǎng)絡(luò)攻擊的準備。重中之重的是企業(yè)需要建立強大的防御戰(zhàn)略，重點保護備份數(shù)據(jù)。當漏洞不可避免地發(fā)生時，企業(yè)要確保自己能夠快速、完整、干凈地恢復(fù)數(shù)據(jù)。

備份并不等于恢復(fù)

網(wǎng)絡(luò)安全市場預(yù)計將超過2000億美元。但目前該市場中只有一小部分專注于網(wǎng)絡(luò)恢復(fù)。

過去，網(wǎng)絡(luò)中斷或自然災(zāi)害后的數(shù)據(jù)恢復(fù)非常簡單：企業(yè)找到最新的數(shù)據(jù)備份，并以此為起點，重新啟動和運行。但是，當黑客滲透進備份數(shù)據(jù)時會發(fā)生什么？企業(yè)又怎么知道受感染的數(shù)據(jù)是否在備份數(shù)據(jù)中又被復(fù)制？這些因素都增加了網(wǎng)絡(luò)恢復(fù)的難度。

網(wǎng)絡(luò)攻擊看似就發(fā)生在一瞬間，但大多數(shù)都醞釀了數(shù)月之久。根據(jù)IBM的一項研究，目前惡意攻擊者在系統(tǒng)中平均潛伏多達277天才能被發(fā)現(xiàn)。黑客在悄悄潛伏的同時，還在關(guān)鍵環(huán)境（包括恢復(fù)數(shù)據(jù)）中植入勒索軟件或其他惡意軟件。事實上，94%遭受勒索軟件攻擊的企業(yè)表示攻擊者在攻擊期間試圖破壞其備份。

當黑客發(fā)動攻擊時，企業(yè)自然會急于恢復(fù)信息。但這樣做可能會釋放潛伏的勒索軟件，并廣泛感染生產(chǎn)環(huán)境。這就是為什么企業(yè)要采用更好的恢復(fù)工具，并確保備份數(shù)據(jù)的安全。這和“前線”的防御同樣重要。

通力合作，做好網(wǎng)絡(luò)恢復(fù)準備

通常，為了確保在攻擊后自己還能具備一個安全的恢復(fù)地點，企業(yè)會建立自己的隱藏站點。但這種方法非常昂貴。典型的替代方法是將備份數(shù)據(jù)存儲在云端，然后就“交給命運安排”。但是現(xiàn)在，企業(yè)可以使用基礎(chǔ)平臺，以更低的成本，更輕松地構(gòu)建安全備份環(huán)境，并對其進行恢復(fù)測試。這樣在發(fā)生安全事件時，企業(yè)就能快速重新上線。

同時，為了保護備份數(shù)據(jù)，企業(yè)應(yīng)該采用3-2-1策略。根據(jù)該策略，企業(yè)要存儲3份數(shù)據(jù)副本。其中至少2份副本應(yīng)保存在不同的位置。在這2份副本中，應(yīng)該有1份是Air gap的——獨立、安全地保存在云端，位于離線中心，只有少數(shù)經(jīng)過認證的員工才能訪問。

這樣，當首席信息安全官確定正在發(fā)生網(wǎng)絡(luò)事件，并發(fā)出警報時，負責恢復(fù)的團隊就有了一個安全的備份環(huán)境。對于驗證目的來說，這個潔凈的存儲庫也很有價值，尤其是在團隊進行審計（通常是每年兩次對所有IT系統(tǒng)進行審查，排查異常，并確保企業(yè)保持合規(guī)）時。

不過，很多企業(yè)仍然認為安全問題僅僅和安全團隊有關(guān)，而數(shù)據(jù)備份和恢復(fù)才由IT團隊負責。企業(yè)內(nèi)部存在信息壁壘，恢復(fù)團隊可能無法及時收到發(fā)生安全事件的信息，更無法及時做好相應(yīng)準備。

在當今環(huán)境下，安全和恢復(fù)團隊不能各自為政。一方面，企業(yè)可以進行管理上的調(diào)整，確保團隊間的溝通和協(xié)作。另一方面，企業(yè)還可以采用和相關(guān)技術(shù)集成的現(xiàn)代化恢復(fù)工具，這些技術(shù)包括安全信息管理（SIM）和安全編排自動化與響應(yīng)（SOAR）系統(tǒng)等等。這樣，在生產(chǎn)環(huán)境中檢測到可疑活動后，企業(yè)可以第一時間向恢復(fù)團隊發(fā)出警報。

AI正在改變游戲規(guī)則。在企業(yè)研究這項技術(shù)的同時，黑客們也在利用它進一步改進他們的攻擊。威脅形勢已經(jīng)非常嚴峻，企業(yè)不能再采用十年前的數(shù)據(jù)備份策略?；謴?fù)必須成為企業(yè)內(nèi)部與防范和檢測漏洞同樣重要的安全考量。

企業(yè)需要打通恢復(fù)和安全技術(shù)乃至團隊之間的連接，以整體性的企業(yè)IT安全布局，打造真正的彈性，實現(xiàn)網(wǎng)絡(luò)事件后企業(yè)的更快恢復(fù)。