遠程工作時代的安全:如何在網絡攻擊后恢復數據
企業在遭遇網絡攻擊之后,其恢復數據比典型的災難恢復(DR)過程更為復雜,而如今,越來越多企業面臨需要進行災難恢復的情況。
根據調研機構最近發布的一份調查報告,由于讓員工在冠狀病毒爆發期間在家遠程工作,91%的企業表示遭受網絡攻擊的數量大幅增加。自從發生疫情以來,勒索軟件攻擊上升了72%,針對移動應用程序的漏洞攻擊也上升了50%。
盡管企業應該采用適當的控制措施來保護關鍵數據免受網絡攻擊,但如果這些控制措施不完善,還需要為恢復數據做好準備。企業在網絡攻擊后恢復數據時,需要了解以下這些信息:
恢復數據是另一種類型的災難恢復
如果企業認為其長期災難恢復(DR)計劃涵蓋了數據恢復措施,那么情況并非如此。在這種情況下,傳統的災難恢復的計劃和功能很少能滿足要求,因為物理基礎設施通常不受損害。在遭受網絡攻擊后,數據恢復與以物理為中心的數據中心災難場景的恢復截然不同。
恢復數據的方式各不相同,認識到這些差異并對其進行規劃非常重要。如果不這樣做,無論是在網絡延遲還是數據丟失方面,企業的數據恢復工作都將無法順利進行。
數據恢復和災難恢復之間的區別可分為四類:
- 觸發事件:災難恢復側重于在發生數據中心危害事件之后恢復基礎設施、應用程序和網絡服務;數據恢復是指在數據泄露事件之后恢復數據。
- 對生產的影響:在災難中,企業可以利用恢復環境中通常已經備份的數據。其在本質上正在建立一個新的或臨時的生產環境。在數據恢復工作中,通常會在適當位置恢復數據,這意味著將“干凈”數據移回原始生產環境。
- 數據重點:災難恢復工作通常使用的數據是最近備份的數據。但是,在數據泄露的情況下,最新的備份數據也可能已經泄露。因此,企業需要分析候選數據以找到最新的可用“干凈”數據。如果企業的數據備份遭到破壞,則可能需要幾天甚至更長的時間才能將其全部恢復出來。
- 恢復目標可能成功:在災難恢復中,如果測試成功,企業應該能夠滿足恢復時間目標(RTO)和恢復點目標(RPO)。在數據恢復中,由于需要時間來了解網絡攻擊的本質并找到“干凈的”數據,因此很少遇到恢復時間目標(RTO)和恢復點目標(RPO)。
這些恢復案例之間的差異非常大,以至于在進行數據恢復時需要關注和規劃。
每次數據恢復工作中要問的問題
明確定義災難恢復工作。企業遵循腳本化的路徑,可以通過適當的測試來進行練習。受損的數據恢復并非如此,因為每種情況都是不同的。
如果網絡攻擊損害了數據的完整性和可用性,則需要考慮其他因素:
- 是否擁有干凈的、無惡意軟件的數據,這些數據沒有超過保存期限,并且仍然對企業有價值?
- 設備是否需要重建或更換?應該使用網絡上從未使用過的新產品嗎?
- 如果企業的數據被勒索,是否愿意支付贖金,前提是這意味著能否可以更快、更便宜地恢復?
- 是否應該嘗試同時收回和協商贖金?
- 如何在保持生產正常運行的同時恢復數據?
除了這些問題,企業還應該確定其重要數據資產(VDA)。盡管就此而言,這些數據可能不是災難恢復程序中的頂級數據,甚至可能不是災難恢復程序的一部分,但對于業務性質而言仍然至關重要。例如,在制藥行業中,可能會涉及增強關鍵增長計劃的信息,例如10年研究的數據或美國食品藥品監督管理局(FDA)產品批準的數據。這是非常重要的數據,如果遭到破壞,可能會損害企業的生存和運營。
企業還需要采用已定義的程序以確保可以有效地恢復數據。
創建受損數據的恢復架構
有效的受損數據恢復始于3-2-1-1恢復架構:
(1)三個獨立領域
- 人員–使用獨立的備份團隊。
- 流程–使用獨立的備份流程。
- 技術–利用獨立的備份技術。
(2)兩種恢復策略
- 數據恢復–實施策略以備份和還原已識別的重要數據資產(VDA)。
- 系統恢復–實施應用程序和系統恢復。
(3)一份脫機副本
- 至少保留一份網絡之外或不可變的副本。企業可以并且應該增加歷史副本的數量,以提供額外的保護。
(4)一個安全的環境
- 為獨立數據的備份、分析、副本存儲、恢復等維護一個安全的環境。
除了定義明確的架構外,企業還需要一支精干的團隊來執行計劃。
建立多元化團隊
企業的網絡泄露數據恢復應該由一個專門的計劃來指導,該計劃將協調和指導需要參與響應的多個學科。
企業的信息安全團隊負責刪除惡意軟件,執行取證,并確認用于歸還到生產環境中的數據是干凈的。
企業的基礎設施、運營部門和災難恢復團隊負責在將候選數據轉移到生產環境之前為分析候選數據留出安全空間,從裸機重建服務器以確保它們沒有惡意軟件,并確定可能需要回滾以確保正確同步的其他數據。
業務連續性(BC)也起著重要作用。企業應該預先定義業務連續性策略,以在超出無法建立的恢復時間目標(RTO)和恢復點目標(RPO)的災難和緊急響應(DER)范圍之外,出現數據擴展性不可用或永久性數據丟失的情況下提供支持。
企業通過在不同情況下定期測試其計劃,確保成功完成網絡攻擊之后,其跨學科的團隊已準備好有效而果斷地做出響應。
如何確保數據可恢復
數據恢復與災難恢復不同。它需要特殊的計劃、管理和功能。
企業需要認識到這兩種恢復情況之間的差異,確定重要數據資產(VDA),創建定義明確的架構,并持續且定期地測試計劃以確保團隊做好響應準備,企業可以在遭遇網絡攻擊之后更好地恢復數據。
