企業(yè)在遭遇網(wǎng)絡(luò)攻擊之后，其恢復(fù)數(shù)據(jù)比典型的災(zāi)難恢復(fù)（DR）過程更為復(fù)雜，而如今，越來越多企業(yè)面臨需要進(jìn)行災(zāi)難恢復(fù)的情況。

根據(jù)調(diào)研機(jī)構(gòu)最近發(fā)布的一份調(diào)查報(bào)告，由于讓員工在冠狀病毒爆發(fā)期間在家遠(yuǎn)程工作，91%的企業(yè)表示遭受網(wǎng)絡(luò)攻擊的數(shù)量大幅增加。自從發(fā)生疫情以來，勒索軟件攻擊上升了72%，針對移動應(yīng)用程序的漏洞攻擊也上升了50%。

盡管企業(yè)應(yīng)該采用適當(dāng)?shù)目刂拼胧﹣肀Ｗo(hù)關(guān)鍵數(shù)據(jù)免受網(wǎng)絡(luò)攻擊，但如果這些控制措施不完善，還需要為恢復(fù)數(shù)據(jù)做好準(zhǔn)備。企業(yè)在網(wǎng)絡(luò)攻擊后恢復(fù)數(shù)據(jù)時(shí)，需要了解以下這些信息：

恢復(fù)數(shù)據(jù)是另一種類型的災(zāi)難恢復(fù)

如果企業(yè)認(rèn)為其長期災(zāi)難恢復(fù)（DR）計(jì)劃涵蓋了數(shù)據(jù)恢復(fù)措施，那么情況并非如此。在這種情況下，傳統(tǒng)的災(zāi)難恢復(fù)的計(jì)劃和功能很少能滿足要求，因?yàn)槲锢砘A(chǔ)設(shè)施通常不受損害。在遭受網(wǎng)絡(luò)攻擊后，數(shù)據(jù)恢復(fù)與以物理為中心的數(shù)據(jù)中心災(zāi)難場景的恢復(fù)截然不同。

恢復(fù)數(shù)據(jù)的方式各不相同，認(rèn)識到這些差異并對其進(jìn)行規(guī)劃非常重要。如果不這樣做，無論是在網(wǎng)絡(luò)延遲還是數(shù)據(jù)丟失方面，企業(yè)的數(shù)據(jù)恢復(fù)工作都將無法順利進(jìn)行。

數(shù)據(jù)恢復(fù)和災(zāi)難恢復(fù)之間的區(qū)別可分為四類：

觸發(fā)事件：災(zāi)難恢復(fù)側(cè)重于在發(fā)生數(shù)據(jù)中心危害事件之后恢復(fù)基礎(chǔ)設(shè)施、應(yīng)用程序和網(wǎng)絡(luò)服務(wù);數(shù)據(jù)恢復(fù)是指在數(shù)據(jù)泄露事件之后恢復(fù)數(shù)據(jù)。

對生產(chǎn)的影響：在災(zāi)難中，企業(yè)可以利用恢復(fù)環(huán)境中通常已經(jīng)備份的數(shù)據(jù)。其在本質(zhì)上正在建立一個(gè)新的或臨時(shí)的生產(chǎn)環(huán)境。在數(shù)據(jù)恢復(fù)工作中，通常會在適當(dāng)位置恢復(fù)數(shù)據(jù)，這意味著將“干凈”數(shù)據(jù)移回原始生產(chǎn)環(huán)境。

數(shù)據(jù)重點(diǎn)：災(zāi)難恢復(fù)工作通常使用的數(shù)據(jù)是最近備份的數(shù)據(jù)。但是，在數(shù)據(jù)泄露的情況下，最新的備份數(shù)據(jù)也可能已經(jīng)泄露。因此，企業(yè)需要分析候選數(shù)據(jù)以找到最新的可用“干凈”數(shù)據(jù)。如果企業(yè)的數(shù)據(jù)備份遭到破壞，則可能需要幾天甚至更長的時(shí)間才能將其全部恢復(fù)出來。

恢復(fù)目標(biāo)可能成功：在災(zāi)難恢復(fù)中，如果測試成功，企業(yè)應(yīng)該能夠滿足恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）。在數(shù)據(jù)恢復(fù)中，由于需要時(shí)間來了解網(wǎng)絡(luò)攻擊的本質(zhì)并找到“干凈的”數(shù)據(jù)，因此很少遇到恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）。

這些恢復(fù)案例之間的差異非常大，以至于在進(jìn)行數(shù)據(jù)恢復(fù)時(shí)需要關(guān)注和規(guī)劃。

每次數(shù)據(jù)恢復(fù)工作中要問的問題

明確定義災(zāi)難恢復(fù)工作。企業(yè)遵循腳本化的路徑，可以通過適當(dāng)?shù)臏y試來進(jìn)行練習(xí)。受損的數(shù)據(jù)恢復(fù)并非如此，因?yàn)槊糠N情況都是不同的。

如果網(wǎng)絡(luò)攻擊損害了數(shù)據(jù)的完整性和可用性，則需要考慮其他因素：

是否擁有干凈的、無惡意軟件的數(shù)據(jù)，這些數(shù)據(jù)沒有超過保存期限，并且仍然對企業(yè)有價(jià)值？

設(shè)備是否需要重建或更換？應(yīng)該使用網(wǎng)絡(luò)上從未使用過的新產(chǎn)品嗎？

如果企業(yè)的數(shù)據(jù)被勒索，是否愿意支付贖金，前提是這意味著能否可以更快、更便宜地恢復(fù)？

是否應(yīng)該嘗試同時(shí)收回和協(xié)商贖金？

如何在保持生產(chǎn)正常運(yùn)行的同時(shí)恢復(fù)數(shù)據(jù)？

除了這些問題，企業(yè)還應(yīng)該確定其重要數(shù)據(jù)資產(chǎn)（VDA）。盡管就此而言，這些數(shù)據(jù)可能不是災(zāi)難恢復(fù)程序中的頂級數(shù)據(jù)，甚至可能不是災(zāi)難恢復(fù)程序的一部分，但對于業(yè)務(wù)性質(zhì)而言仍然至關(guān)重要。例如，在制藥行業(yè)中，可能會涉及增強(qiáng)關(guān)鍵增長計(jì)劃的信息，例如10年研究的數(shù)據(jù)或美國食品藥品監(jiān)督管理局（FDA）產(chǎn)品批準(zhǔn)的數(shù)據(jù)。這是非常重要的數(shù)據(jù)，如果遭到破壞，可能會損害企業(yè)的生存和運(yùn)營。

企業(yè)還需要采用已定義的程序以確?？梢杂行У鼗謴?fù)數(shù)據(jù)。

創(chuàng)建受損數(shù)據(jù)的恢復(fù)架構(gòu)

有效的受損數(shù)據(jù)恢復(fù)始于3-2-1-1恢復(fù)架構(gòu)：

（1）三個(gè)獨(dú)立領(lǐng)域

人員–使用獨(dú)立的備份團(tuán)隊(duì)。

流程–使用獨(dú)立的備份流程。

技術(shù)–利用獨(dú)立的備份技術(shù)。

（2）兩種恢復(fù)策略

數(shù)據(jù)恢復(fù)–實(shí)施策略以備份和還原已識別的重要數(shù)據(jù)資產(chǎn)（VDA）。

系統(tǒng)恢復(fù)–實(shí)施應(yīng)用程序和系統(tǒng)恢復(fù)。

（3）一份脫機(jī)副本

至少保留一份網(wǎng)絡(luò)之外或不可變的副本。企業(yè)可以并且應(yīng)該增加歷史副本的數(shù)量，以提供額外的保護(hù)。

（4）一個(gè)安全的環(huán)境

為獨(dú)立數(shù)據(jù)的備份、分析、副本存儲、恢復(fù)等維護(hù)一個(gè)安全的環(huán)境。

除了定義明確的架構(gòu)外，企業(yè)還需要一支精干的團(tuán)隊(duì)來執(zhí)行計(jì)劃。

建立多元化團(tuán)隊(duì)

企業(yè)的網(wǎng)絡(luò)泄露數(shù)據(jù)恢復(fù)應(yīng)該由一個(gè)專門的計(jì)劃來指導(dǎo)，該計(jì)劃將協(xié)調(diào)和指導(dǎo)需要參與響應(yīng)的多個(gè)學(xué)科。

企業(yè)的信息安全團(tuán)隊(duì)負(fù)責(zé)刪除惡意軟件，執(zhí)行取證，并確認(rèn)用于歸還到生產(chǎn)環(huán)境中的數(shù)據(jù)是干凈的。

企業(yè)的基礎(chǔ)設(shè)施、運(yùn)營部門和災(zāi)難恢復(fù)團(tuán)隊(duì)負(fù)責(zé)在將候選數(shù)據(jù)轉(zhuǎn)移到生產(chǎn)環(huán)境之前為分析候選數(shù)據(jù)留出安全空間，從裸機(jī)重建服務(wù)器以確保它們沒有惡意軟件，并確定可能需要回滾以確保正確同步的其他數(shù)據(jù)。

業(yè)務(wù)連續(xù)性（BC）也起著重要作用。企業(yè)應(yīng)該預(yù)先定義業(yè)務(wù)連續(xù)性策略，以在超出無法建立的恢復(fù)時(shí)間目標(biāo)（RTO）和恢復(fù)點(diǎn)目標(biāo)（RPO）的災(zāi)難和緊急響應(yīng)（DER）范圍之外，出現(xiàn)數(shù)據(jù)擴(kuò)展性不可用或永久性數(shù)據(jù)丟失的情況下提供支持。

企業(yè)通過在不同情況下定期測試其計(jì)劃，確保成功完成網(wǎng)絡(luò)攻擊之后，其跨學(xué)科的團(tuán)隊(duì)已準(zhǔn)備好有效而果斷地做出響應(yīng)。

如何確保數(shù)據(jù)可恢復(fù)

數(shù)據(jù)恢復(fù)與災(zāi)難恢復(fù)不同。它需要特殊的計(jì)劃、管理和功能。

企業(yè)需要認(rèn)識到這兩種恢復(fù)情況之間的差異，確定重要數(shù)據(jù)資產(chǎn)（VDA），創(chuàng)建定義明確的架構(gòu)，并持續(xù)且定期地測試計(jì)劃以確保團(tuán)隊(duì)做好響應(yīng)準(zhǔn)備，企業(yè)可以在遭遇網(wǎng)絡(luò)攻擊之后更好地恢復(fù)數(shù)據(jù)。
責(zé)編AJX