远程工作时代的安全：如何在网络攻击后恢复数据

企业在遭遇网络攻击之后，其恢复数据比典型的灾难恢复(DR)过程更为复杂，而如今，越来越多企业面临需要进行灾难恢复的情况。

根据调研机构最近发布的一份调查报告，由于让员工在冠状病毒爆发期间在家远程工作，91%的企业表示遭受网络攻击的数量大幅增加。自从发生疫情以来，勒索软件攻击上升了72%，针对移动应用程序的漏洞攻击也上升了50%。

[[350310]]

尽管企业应该采用适当的控制措施来保护关键数据免受网络攻击，但如果这些控制措施不完善，还需要为恢复数据做好准备。企业在网络攻击后恢复数据时，需要了解以下这些信息：

恢复数据是另一种类型的灾难恢复

如果企业认为其长期灾难恢复(DR)计划涵盖了数据恢复措施，那么情况并非如此。在这种情况下，传统的灾难恢复的计划和功能很少能满足要求，因为物理基础设施通常不受损害。在遭受网络攻击后，数据恢复与以物理为中心的数据中心灾难场景的恢复截然不同。

恢复数据的方式各不相同，认识到这些差异并对其进行规划非常重要。如果不这样做，无论是在网络延迟还是数据丢失方面，企业的数据恢复工作都将无法顺利进行。

数据恢复和灾难恢复之间的区别可分为四类：

• 触发事件：灾难恢复侧重于在发生数据中心危害事件之后恢复基础设施、应用程序和网络服务;数据恢复是指在数据泄露事件之后恢复数据。
• 对生产的影响：在灾难中，企业可以利用恢复环境中通常已经备份的数据。其在本质上正在建立一个新的或临时的生产环境。在数据恢复工作中，通常会在适当位置恢复数据，这意味着将“干净”数据移回原始生产环境。
• 数据重点：灾难恢复工作通常使用的数据是最近备份的数据。但是，在数据泄露的情况下，最新的备份数据也可能已经泄露。因此，企业需要分析候选数据以找到最新的可用“干净”数据。如果企业的数据备份遭到破坏，则可能需要几天甚至更长的时间才能将其全部恢复出来。
• 恢复目标可能成功：在灾难恢复中，如果测试成功，企业应该能够满足恢复时间目标(RTO)和恢复点目标(RPO)。在数据恢复中，由于需要时间来了解网络攻击的本质并找到“干净的”数据，因此很少遇到恢复时间目标(RTO)和恢复点目标(RPO)。

这些恢复案例之间的差异非常大，以至于在进行数据恢复时需要关注和规划。

每次数据恢复工作中要问的问题

明确定义灾难恢复工作。企业遵循脚本化的路径，可以通过适当的测试来进行练习。受损的数据恢复并非如此，因为每种情况都是不同的。

如果网络攻击损害了数据的完整性和可用性，则需要考虑其他因素：

• 是否拥有干净的、无恶意软件的数据，这些数据没有超过保存期限，并且仍然对企业有价值?
• 设备是否需要重建或更换?应该使用网络上从未使用过的新产品吗?
• 如果企业的数据被勒索，是否愿意支付赎金，前提是这意味着能否可以更快、更便宜地恢复?
• 是否应该尝试同时收回和协商赎金?
• 如何在保持生产正常运行的同时恢复数据?

除了这些问题，企业还应该确定其重要数据资产(VDA)。尽管就此而言，这些数据可能不是灾难恢复程序中的顶级数据，甚至可能不是灾难恢复程序的一部分，但对于业务性质而言仍然至关重要。例如，在制药行业中，可能会涉及增强关键增长计划的信息，例如10年研究的数据或美国食品药品监督管理局(FDA)产品批准的数据。这是非常重要的数据，如果遭到破坏，可能会损害企业的生存和运营。

企业还需要采用已定义的程序以确保可以有效地恢复数据。

创建受损数据的恢复架构

有效的受损数据恢复始于3-2-1-1恢复架构：

(1)三个独立领域

• 人员–使用独立的备份团队。
• 流程–使用独立的备份流程。
• 技术–利用独立的备份技术。

(2)两种恢复策略

• 数据恢复–实施策略以备份和还原已识别的重要数据资产(VDA)。
• 系统恢复–实施应用程序和系统恢复。

(3)一份脱机副本

• 至少保留一份网络之外或不可变的副本。企业可以并且应该增加历史副本的数量，以提供额外的保护。

(4)一个安全的环境

• 为独立数据的备份、分析、副本存储、恢复等维护一个安全的环境。

除了定义明确的架构外，企业还需要一支精干的团队来执行计划。

建立多元化团队

企业的网络泄露数据恢复应该由一个专门的计划来指导，该计划将协调和指导需要参与响应的多个学科。

企业的信息安全团队负责删除恶意软件，执行取证，并确认用于归还到生产环境中的数据是干净的。

企业的基础设施、运营部门和灾难恢复团队负责在将候选数据转移到生产环境之前为分析候选数据留出安全空间，从裸机重建服务器以确保它们没有恶意软件，并确定可能需要回滚以确保正确同步的其他数据。

业务连续性(BC)也起着重要作用。企业应该预先定义业务连续性策略，以在超出无法建立的恢复时间目标(RTO)和恢复点目标(RPO)的灾难和紧急响应(DER)范围之外，出现数据扩展性不可用或永久性数据丢失的情况下提供支持。

企业通过在不同情况下定期测试其计划，确保成功完成网络攻击之后，其跨学科的团队已准备好有效而果断地做出响应。

如何确保数据可恢复

数据恢复与灾难恢复不同。它需要特殊的计划、管理和功能。

企业需要认识到这两种恢复情况之间的差异，确定重要数据资产(VDA)，创建定义明确的架构，并持续且定期地测试计划以确保团队做好响应准备，企业可以在遭遇网络攻击之后更好地恢复数据。