企業(yè)在遭遇網(wǎng)絡(luò)攻擊之后，其恢復(fù)數(shù)據(jù)比典型的災(zāi)難恢復(fù)(DR)過程更為復(fù)雜，而如今，越來越多企業(yè)面臨需要進行災(zāi)難恢復(fù)的情況。

根據(jù)調(diào)研機構(gòu)最近發(fā)布的一份調(diào)查報告，由于讓員工在冠狀病毒爆發(fā)期間在家遠程工作，91%的企業(yè)表示遭受網(wǎng)絡(luò)攻擊的數(shù)量大幅增加。自從發(fā)生疫情以來，勒索軟件攻擊上升了72%，針對移動應(yīng)用程序的漏洞攻擊也上升了50%。

[[350310]]

盡管企業(yè)應(yīng)該采用適當(dāng)?shù)目刂拼胧﹣肀Ｗo關(guān)鍵數(shù)據(jù)免受網(wǎng)絡(luò)攻擊，但如果這些控制措施不完善，還需要為恢復(fù)數(shù)據(jù)做好準備。企業(yè)在網(wǎng)絡(luò)攻擊后恢復(fù)數(shù)據(jù)時，需要了解以下這些信息：

恢復(fù)數(shù)據(jù)是另一種類型的災(zāi)難恢復(fù)

如果企業(yè)認為其長期災(zāi)難恢復(fù)(DR)計劃涵蓋了數(shù)據(jù)恢復(fù)措施，那么情況并非如此。在這種情況下，傳統(tǒng)的災(zāi)難恢復(fù)的計劃和功能很少能滿足要求，因為物理基礎(chǔ)設(shè)施通常不受損害。在遭受網(wǎng)絡(luò)攻擊后，數(shù)據(jù)恢復(fù)與以物理為中心的數(shù)據(jù)中心災(zāi)難場景的恢復(fù)截然不同。

恢復(fù)數(shù)據(jù)的方式各不相同，認識到這些差異并對其進行規(guī)劃非常重要。如果不這樣做，無論是在網(wǎng)絡(luò)延遲還是數(shù)據(jù)丟失方面，企業(yè)的數(shù)據(jù)恢復(fù)工作都將無法順利進行。

數(shù)據(jù)恢復(fù)和災(zāi)難恢復(fù)之間的區(qū)別可分為四類：

• 觸發(fā)事件：災(zāi)難恢復(fù)側(cè)重于在發(fā)生數(shù)據(jù)中心危害事件之后恢復(fù)基礎(chǔ)設(shè)施、應(yīng)用程序和網(wǎng)絡(luò)服務(wù);數(shù)據(jù)恢復(fù)是指在數(shù)據(jù)泄露事件之后恢復(fù)數(shù)據(jù)。
• 對生產(chǎn)的影響：在災(zāi)難中，企業(yè)可以利用恢復(fù)環(huán)境中通常已經(jīng)備份的數(shù)據(jù)。其在本質(zhì)上正在建立一個新的或臨時的生產(chǎn)環(huán)境。在數(shù)據(jù)恢復(fù)工作中，通常會在適當(dāng)位置恢復(fù)數(shù)據(jù)，這意味著將“干凈”數(shù)據(jù)移回原始生產(chǎn)環(huán)境。
• 數(shù)據(jù)重點：災(zāi)難恢復(fù)工作通常使用的數(shù)據(jù)是最近備份的數(shù)據(jù)。但是，在數(shù)據(jù)泄露的情況下，最新的備份數(shù)據(jù)也可能已經(jīng)泄露。因此，企業(yè)需要分析候選數(shù)據(jù)以找到最新的可用“干凈”數(shù)據(jù)。如果企業(yè)的數(shù)據(jù)備份遭到破壞，則可能需要幾天甚至更長的時間才能將其全部恢復(fù)出來。
• 恢復(fù)目標可能成功：在災(zāi)難恢復(fù)中，如果測試成功，企業(yè)應(yīng)該能夠滿足恢復(fù)時間目標(RTO)和恢復(fù)點目標(RPO)。在數(shù)據(jù)恢復(fù)中，由于需要時間來了解網(wǎng)絡(luò)攻擊的本質(zhì)并找到“干凈的”數(shù)據(jù)，因此很少遇到恢復(fù)時間目標(RTO)和恢復(fù)點目標(RPO)。

這些恢復(fù)案例之間的差異非常大，以至于在進行數(shù)據(jù)恢復(fù)時需要關(guān)注和規(guī)劃。

每次數(shù)據(jù)恢復(fù)工作中要問的問題

明確定義災(zāi)難恢復(fù)工作。企業(yè)遵循腳本化的路徑，可以通過適當(dāng)?shù)臏y試來進行練習(xí)。受損的數(shù)據(jù)恢復(fù)并非如此，因為每種情況都是不同的。

如果網(wǎng)絡(luò)攻擊損害了數(shù)據(jù)的完整性和可用性，則需要考慮其他因素：

• 是否擁有干凈的、無惡意軟件的數(shù)據(jù)，這些數(shù)據(jù)沒有超過保存期限，并且仍然對企業(yè)有價值?
• 設(shè)備是否需要重建或更換?應(yīng)該使用網(wǎng)絡(luò)上從未使用過的新產(chǎn)品嗎?
• 如果企業(yè)的數(shù)據(jù)被勒索，是否愿意支付贖金，前提是這意味著能否可以更快、更便宜地恢復(fù)?
• 是否應(yīng)該嘗試同時收回和協(xié)商贖金?
• 如何在保持生產(chǎn)正常運行的同時恢復(fù)數(shù)據(jù)?

除了這些問題，企業(yè)還應(yīng)該確定其重要數(shù)據(jù)資產(chǎn)(VDA)。盡管就此而言，這些數(shù)據(jù)可能不是災(zāi)難恢復(fù)程序中的頂級數(shù)據(jù)，甚至可能不是災(zāi)難恢復(fù)程序的一部分，但對于業(yè)務(wù)性質(zhì)而言仍然至關(guān)重要。例如，在制藥行業(yè)中，可能會涉及增強關(guān)鍵增長計劃的信息，例如10年研究的數(shù)據(jù)或美國食品藥品監(jiān)督管理局(FDA)產(chǎn)品批準的數(shù)據(jù)。這是非常重要的數(shù)據(jù)，如果遭到破壞，可能會損害企業(yè)的生存和運營。

企業(yè)還需要采用已定義的程序以確?？梢杂行У鼗謴?fù)數(shù)據(jù)。

創(chuàng)建受損數(shù)據(jù)的恢復(fù)架構(gòu)

有效的受損數(shù)據(jù)恢復(fù)始于3-2-1-1恢復(fù)架構(gòu)：

(1)三個獨立領(lǐng)域

• 人員–使用獨立的備份團隊。
• 流程–使用獨立的備份流程。
• 技術(shù)–利用獨立的備份技術(shù)。

(2)兩種恢復(fù)策略

• 數(shù)據(jù)恢復(fù)–實施策略以備份和還原已識別的重要數(shù)據(jù)資產(chǎn)(VDA)。
• 系統(tǒng)恢復(fù)–實施應(yīng)用程序和系統(tǒng)恢復(fù)。

(3)一份脫機副本

• 至少保留一份網(wǎng)絡(luò)之外或不可變的副本。企業(yè)可以并且應(yīng)該增加歷史副本的數(shù)量，以提供額外的保護。

(4)一個安全的環(huán)境

• 為獨立數(shù)據(jù)的備份、分析、副本存儲、恢復(fù)等維護一個安全的環(huán)境。

除了定義明確的架構(gòu)外，企業(yè)還需要一支精干的團隊來執(zhí)行計劃。

建立多元化團隊

企業(yè)的網(wǎng)絡(luò)泄露數(shù)據(jù)恢復(fù)應(yīng)該由一個專門的計劃來指導(dǎo)，該計劃將協(xié)調(diào)和指導(dǎo)需要參與響應(yīng)的多個學(xué)科。

企業(yè)的信息安全團隊負責(zé)刪除惡意軟件，執(zhí)行取證，并確認用于歸還到生產(chǎn)環(huán)境中的數(shù)據(jù)是干凈的。

企業(yè)的基礎(chǔ)設(shè)施、運營部門和災(zāi)難恢復(fù)團隊負責(zé)在將候選數(shù)據(jù)轉(zhuǎn)移到生產(chǎn)環(huán)境之前為分析候選數(shù)據(jù)留出安全空間，從裸機重建服務(wù)器以確保它們沒有惡意軟件，并確定可能需要回滾以確保正確同步的其他數(shù)據(jù)。

業(yè)務(wù)連續(xù)性(BC)也起著重要作用。企業(yè)應(yīng)該預(yù)先定義業(yè)務(wù)連續(xù)性策略，以在超出無法建立的恢復(fù)時間目標(RTO)和恢復(fù)點目標(RPO)的災(zāi)難和緊急響應(yīng)(DER)范圍之外，出現(xiàn)數(shù)據(jù)擴展性不可用或永久性數(shù)據(jù)丟失的情況下提供支持。

企業(yè)通過在不同情況下定期測試其計劃，確保成功完成網(wǎng)絡(luò)攻擊之后，其跨學(xué)科的團隊已準備好有效而果斷地做出響應(yīng)。

如何確保數(shù)據(jù)可恢復(fù)

數(shù)據(jù)恢復(fù)與災(zāi)難恢復(fù)不同。它需要特殊的計劃、管理和功能。

企業(yè)需要認識到這兩種恢復(fù)情況之間的差異，確定重要數(shù)據(jù)資產(chǎn)(VDA)，創(chuàng)建定義明確的架構(gòu)，并持續(xù)且定期地測試計劃以確保團隊做好響應(yīng)準備，企業(yè)可以在遭遇網(wǎng)絡(luò)攻擊之后更好地恢復(fù)數(shù)據(jù)。