4000-110-253
遠程工作(zuò)時(shí)代的安全:如何在網絡攻擊後恢複數(shù)據. 2020-11-03
企業在遭遇網絡攻擊之後,其恢複數(shù)據比典型的災難恢複(DR)過程更為(wèi)複雜,而如今,越來(lái)越多(duō)企業面臨需要進行(xíng)災難恢複的情況。
根據調研機構最近發布的一份調查報告,由于讓員工在冠狀病毒爆發期間(jiān)在家(jiā)遠程工作(zuò),91%的企業表示遭受網絡攻擊的數(shù)量大(dà)幅增加。自從發生(shēng)疫情以來(lái),勒索軟件攻擊上(shàng)升了72%,針對移動應用程序的漏洞攻擊也上(shàng)升了50%。
盡管企業應該采用适當的控制(zhì)措施來(lái)保護關鍵數(shù)據免受網絡攻擊,但(dàn)如果這些(xiē)控制(zhì)措施不完善,還(hái)需要為(wèi)恢複數(shù)據做(zuò)好準備。企業在網絡攻擊後恢複數(shù)據時(shí),需要了解以下這些(xiē)信息:
恢複數(shù)據是另一種類型的災難恢複
如果企業認為(wèi)其長期災難恢複(DR)計(jì)劃涵蓋了數(shù)據恢複措施,那(nà)麽情況并非如此。在這種情況下,傳統的災難恢複的計(jì)劃和(hé)功能很(hěn)少(shǎo)能滿足要求,因為(wèi)物理(lǐ)基礎設施通(tōng)常不受損害。在遭受網絡攻擊後,數(shù)據恢複與以物理(lǐ)為(wèi)中心的數(shù)據中心災難場(chǎng)景的恢複截然不同。
恢複數(shù)據的方式各不相同,認識到這些(xiē)差異并對其進行(xíng)規劃非常重要。如果不這樣做(zuò),無論是在網絡延遲還(hái)是數(shù)據丢失方面,企業的數(shù)據恢複工作(zuò)都将無法順利進行(xíng)。
數(shù)據恢複和(hé)災難恢複之間(jiān)的區(qū)别可(kě)分為(wèi)四類:
觸發事件:災難恢複側重于在發生(shēng)數(shù)據中心危害事件之後恢複基礎設施、應用程序和(hé)網絡服務;數(shù)據恢複是指在數(shù)據洩露事件之後恢複數(shù)據。
對生(shēng)産的影(yǐng)響:在災難中,企業可(kě)以利用恢複環境中通(tōng)常已經備份的數(shù)據。其在本質上(shàng)正在建立一個(gè)新的或臨時(shí)的生(shēng)産環境。在數(shù)據恢複工作(zuò)中,通(tōng)常會(huì)在适當位置恢複數(shù)據,這意味着将“幹淨”數(shù)據移回原始生(shēng)産環境。
數(shù)據重點:災難恢複工作(zuò)通(tōng)常使用的數(shù)據是最近備份的數(shù)據。但(dàn)是,在數(shù)據洩露的情況下,最新的備份數(shù)據也可(kě)能已經洩露。因此,企業需要分析候選數(shù)據以找到最新的可(kě)用“幹淨”數(shù)據。如果企業的數(shù)據備份遭到破壞,則可(kě)能需要幾天甚至更長的時(shí)間(jiān)才能将其全部恢複出來(lái)。
恢複目标可(kě)能成功:在災難恢複中,如果測試成功,企業應該能夠滿足恢複時(shí)間(jiān)目标(RTO)和(hé)恢複點目标(RPO)。在數(shù)據恢複中,由于需要時(shí)間(jiān)來(lái)了解網絡攻擊的本質并找到“幹淨的”數(shù)據,因此很(hěn)少(shǎo)遇到恢複時(shí)間(jiān)目标(RTO)和(hé)恢複點目标(RPO)。
這些(xiē)恢複案例之間(jiān)的差異非常大(dà),以至于在進行(xíng)數(shù)據恢複時(shí)需要關注和(hé)規劃。
每次數(shù)據恢複工作(zuò)中要問的問題
明(míng)确定義災難恢複工作(zuò)。企業遵循腳本化的路徑,可(kě)以通(tōng)過适當的測試來(lái)進行(xíng)練習。受損的數(shù)據恢複并非如此,因為(wèi)每種情況都是不同的。
如果網絡攻擊損害了數(shù)據的完整性和(hé)可(kě)用性,則需要考慮其他因素:
是否擁有(yǒu)幹淨的、無惡意軟件的數(shù)據,這些(xiē)數(shù)據沒有(yǒu)超過保存期限,并且仍然對企業有(yǒu)價值?
設備是否需要重建或更換?應該使用網絡上(shàng)從未使用過的新産品嗎?
如果企業的數(shù)據被勒索,是否願意支付贖金,前提是這意味着能否可(kě)以更快、更便宜地恢複?
是否應該嘗試同時(shí)收回和(hé)協商贖金?
如何在保持生(shēng)産正常運行(xíng)的同時(shí)恢複數(shù)據?
除了這些(xiē)問題,企業還(hái)應該确定其重要數(shù)據資産(VDA)。盡管就此而言,這些(xiē)數(shù)據可(kě)能不是災難恢複程序中的頂級數(shù)據,甚至可(kě)能不是災難恢複程序的一部分,但(dàn)對于業務性質而言仍然至關重要。例如,在制(zhì)藥行(xíng)業中,可(kě)能會(huì)涉及增強關鍵增長計(jì)劃的信息,例如10年研究的數(shù)據或美國食品藥品監督管理(lǐ)局(FDA)産品批準的數(shù)據。這是非常重要的數(shù)據,如果遭到破壞,可(kě)能會(huì)損害企業的生(shēng)存和(hé)運營。
企業還(hái)需要采用已定義的程序以确保可(kě)以有(yǒu)效地恢複數(shù)據。
創建受損數(shù)據的恢複架構
有(yǒu)效的受損數(shù)據恢複始于3-2-1-1恢複架構:
(1)三個(gè)獨立領域
人(rén)員–使用獨立的備份團隊。
流程–使用獨立的備份流程。
技(jì)術(shù)–利用獨立的備份技(jì)術(shù)。
(2)兩種恢複策略
數(shù)據恢複–實施策略以備份和(hé)還(hái)原已識别的重要數(shù)據資産(VDA)。
系統恢複–實施應用程序和(hé)系統恢複。
(3)一份脫機副本
至少(shǎo)保留一份網絡之外或不可(kě)變的副本。企業可(kě)以并且應該增加曆史副本的數(shù)量,以提供額外的保護。
(4)一個(gè)安全的環境
為(wèi)獨立數(shù)據的備份、分析、副本存儲、恢複等維護一個(gè)安全的環境。
除了定義明(míng)确的架構外,企業還(hái)需要一支精幹的團隊來(lái)執行(xíng)計(jì)劃。
建立多(duō)元化團隊
企業的網絡洩露數(shù)據恢複應該由一個(gè)專門(mén)的計(jì)劃來(lái)指導,該計(jì)劃将協調和(hé)指導需要參與響應的多(duō)個(gè)學科。
企業的信息安全團隊負責删除惡意軟件,執行(xíng)取證,并确認用于歸還(hái)到生(shēng)産環境中的數(shù)據是幹淨的。
企業的基礎設施、運營部門(mén)和(hé)災難恢複團隊負責在将候選數(shù)據轉移到生(shēng)産環境之前為(wèi)分析候選數(shù)據留出安全空(kōng)間(jiān),從裸機重建服務器(qì)以确保它們沒有(yǒu)惡意軟件,并确定可(kě)能需要回滾以确保正确同步的其他數(shù)據。
業務連續性(BC)也起着重要作(zuò)用。企業應該預先定義業務連續性策略,以在超出無法建立的恢複時(shí)間(jiān)目标(RTO)和(hé)恢複點目标(RPO)的災難和(hé)緊急響應(DER)範圍之外,出現數(shù)據擴展性不可(kě)用或永久性數(shù)據丢失的情況下提供支持。
企業通(tōng)過在不同情況下定期測試其計(jì)劃,确保成功完成網絡攻擊之後,其跨學科的團隊已準備好有(yǒu)效而果斷地做(zuò)出響應。
如何确保數(shù)據可(kě)恢複
數(shù)據恢複與災難恢複不同。它需要特殊的計(jì)劃、管理(lǐ)和(hé)功能。
企業需要認識到這兩種恢複情況之間(jiān)的差異,确定重要數(shù)據資産(VDA),創建定義明(míng)确的架構,并持續且定期地測試計(jì)劃以确保團隊做(zuò)好響應準備,企業可(kě)以在遭遇網絡攻擊之後更好地恢複數(shù)據。
轉自d1net/John Beattie
