企業(yè)在遭遇網(wǎng)絡(luò)攻擊之后,其恢復數(shù)據(jù)比典型的災難恢復(DR)過程更為復雜,而如今,越來越多企業(yè)面臨需要進行災難恢復的情況。
根據(jù)調(diào)研機構(gòu)最近發(fā)布的一份調(diào)查報告,由于讓員工在冠狀病毒爆發(fā)期間在家遠程工作,91%的企業(yè)表示遭受網(wǎng)絡(luò)攻擊的數(shù)量大幅增加。自從發(fā)生疫情以來,勒索軟件攻擊上升了72%,針對移動應用程序的漏洞攻擊也上升了50%。
盡管企業(yè)應該采用適當?shù)目刂拼胧﹣肀Wo關(guān)鍵數(shù)據(jù)免受網(wǎng)絡(luò)攻擊,但如果這些控制措施不完善,還需要為恢復數(shù)據(jù)做好準備。企業(yè)在網(wǎng)絡(luò)攻擊后恢復數(shù)據(jù)時,需要了解以下這些信息:
恢復數(shù)據(jù)是另一種類型的災難恢復
如果企業(yè)認為其長期災難恢復(DR)計劃涵蓋了數(shù)據(jù)恢復措施,那么情況并非如此。在這種情況下,傳統(tǒng)的災難恢復的計劃和功能很少能滿足要求,因為物理基礎(chǔ)設(shè)施通常不受損害。在遭受網(wǎng)絡(luò)攻擊后,數(shù)據(jù)恢復與以物理為中心的數(shù)據(jù)中心災難場景的恢復截然不同。
恢復數(shù)據(jù)的方式各不相同,認識到這些差異并對其進行規(guī)劃非常重要。如果不這樣做,無論是在網(wǎng)絡(luò)延遲還是數(shù)據(jù)丟失方面,企業(yè)的數(shù)據(jù)恢復工作都將無法順利進行。
數(shù)據(jù)恢復和災難恢復之間的區(qū)別可分為四類:
•觸發(fā)事件:災難恢復側(cè)重于在發(fā)生數(shù)據(jù)中心危害事件之后恢復基礎(chǔ)設(shè)施、應用程序和網(wǎng)絡(luò)服務(wù);數(shù)據(jù)恢復是指在數(shù)據(jù)泄露事件之后恢復數(shù)據(jù)。
•對生產(chǎn)的影響:在災難中,企業(yè)可以利用恢復環(huán)境中通常已經(jīng)備份的數(shù)據(jù)。其在本質(zhì)上正在建立一個新的或臨時的生產(chǎn)環(huán)境。在數(shù)據(jù)恢復工作中,通常會在適當位置恢復數(shù)據(jù),這意味著將“干凈”數(shù)據(jù)移回原始生產(chǎn)環(huán)境。
•數(shù)據(jù)重點:災難恢復工作通常使用的數(shù)據(jù)是最近備份的數(shù)據(jù)。但是,在數(shù)據(jù)泄露的情況下,最新的備份數(shù)據(jù)也可能已經(jīng)泄露。因此,企業(yè)需要分析候選數(shù)據(jù)以找到最新的可用“干凈”數(shù)據(jù)。如果企業(yè)的數(shù)據(jù)備份遭到破壞,則可能需要幾天甚至更長的時間才能將其全部恢復出來。
•恢復目標可能成功:在災難恢復中,如果測試成功,企業(yè)應該能夠滿足恢復時間目標(RTO)和恢復點目標(RPO)。在數(shù)據(jù)恢復中,由于需要時間來了解網(wǎng)絡(luò)攻擊的本質(zhì)并找到“干凈的”數(shù)據(jù),因此很少遇到恢復時間目標(RTO)和恢復點目標(RPO)。
這些恢復案例之間的差異非常大,以至于在進行數(shù)據(jù)恢復時需要關(guān)注和規(guī)劃。
每次數(shù)據(jù)恢復工作中要問的問題
明確定義災難恢復工作。企業(yè)遵循腳本化的路徑,可以通過適當?shù)臏y試來進行練習。受損的數(shù)據(jù)恢復并非如此,因為每種情況都是不同的。
如果網(wǎng)絡(luò)攻擊損害了數(shù)據(jù)的完整性和可用性,則需要考慮其他因素:
•是否擁有干凈的、無惡意軟件的數(shù)據(jù),這些數(shù)據(jù)沒有超過保存期限,并且仍然對企業(yè)有價值?
•設(shè)備是否需要重建或更換?應該使用網(wǎng)絡(luò)上從未使用過的新產(chǎn)品嗎?
•如果企業(yè)的數(shù)據(jù)被勒索,是否愿意支付贖金,前提是這意味著能否可以更快、更便宜地恢復?
•是否應該嘗試同時收回和協(xié)商贖金?
•如何在保持生產(chǎn)正常運行的同時恢復數(shù)據(jù)?
除了這些問題,企業(yè)還應該確定其重要數(shù)據(jù)資產(chǎn)(VDA)。盡管就此而言,這些數(shù)據(jù)可能不是災難恢復程序中的頂級數(shù)據(jù),甚至可能不是災難恢復程序的一部分,但對于業(yè)務(wù)性質(zhì)而言仍然至關(guān)重要。例如,在制藥行業(yè)中,可能會涉及增強關(guān)鍵增長計劃的信息,例如10年研究的數(shù)據(jù)或美國食品藥品監(jiān)督管理局(FDA)產(chǎn)品批準的數(shù)據(jù)。這是非常重要的數(shù)據(jù),如果遭到破壞,可能會損害企業(yè)的生存和運營。
企業(yè)還需要采用已定義的程序以確保可以有效地恢復數(shù)據(jù)。
創(chuàng)建受損數(shù)據(jù)的恢復架構(gòu)
有效的受損數(shù)據(jù)恢復始于3-2-1-1恢復架構(gòu):
(1)三個獨立領(lǐng)域
•人員–使用獨立的備份團隊。
•流程–使用獨立的備份流程。
•技術(shù)–利用獨立的備份技術(shù)。
(2)兩種恢復策略
•數(shù)據(jù)恢復–實施策略以備份和還原已識別的重要數(shù)據(jù)資產(chǎn)(VDA)。
•系統(tǒng)恢復–實施應用程序和系統(tǒng)恢復。
(3)一份脫機副本
•至少保留一份網(wǎng)絡(luò)之外或不可變的副本。企業(yè)可以并且應該增加歷史副本的數(shù)量,以提供額外的保護。
(4)一個安全的環(huán)境
•為獨立數(shù)據(jù)的備份、分析、副本存儲、恢復等維護一個安全的環(huán)境。
除了定義明確的架構(gòu)外,企業(yè)還需要一支精干的團隊來執(zhí)行計劃。
建立多元化團隊
企業(yè)的網(wǎng)絡(luò)泄露數(shù)據(jù)恢復應該由一個專門的計劃來指導,該計劃將協(xié)調(diào)和指導需要參與響應的多個學科。
企業(yè)的信息安全團隊負責刪除惡意軟件,執(zhí)行取證,并確認用于歸還到生產(chǎn)環(huán)境中的數(shù)據(jù)是干凈的。
企業(yè)的基礎(chǔ)設(shè)施、運營部門和災難恢復團隊負責在將候選數(shù)據(jù)轉(zhuǎn)移到生產(chǎn)環(huán)境之前為分析候選數(shù)據(jù)留出安全空間,從裸機重建服務(wù)器以確保它們沒有惡意軟件,并確定可能需要回滾以確保正確同步的其他數(shù)據(jù)。
業(yè)務(wù)連續(xù)性(BC)也起著重要作用。企業(yè)應該預先定義業(yè)務(wù)連續(xù)性策略,以在超出無法建立的恢復時間目標(RTO)和恢復點目標(RPO)的災難和緊急響應(DER)范圍之外,出現(xiàn)數(shù)據(jù)擴展性不可用或永久性數(shù)據(jù)丟失的情況下提供支持。
企業(yè)通過在不同情況下定期測試其計劃,確保成功完成網(wǎng)絡(luò)攻擊之后,其跨學科的團隊已準備好有效而果斷地做出響應。
如何確保數(shù)據(jù)可恢復
數(shù)據(jù)恢復與災難恢復不同。它需要特殊的計劃、管理和功能。
企業(yè)需要認識到這兩種恢復情況之間的差異,確定重要數(shù)據(jù)資產(chǎn)(VDA),創(chuàng)建定義明確的架構(gòu),并持續(xù)且定期地測試計劃以確保團隊做好響應準備,企業(yè)可以在遭遇網(wǎng)絡(luò)攻擊之后更好地恢復數(shù)據(jù)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。
京公網(wǎng)安備 11010502049343號