如何确保从不可避免的网络攻击中快速恢复

企业在经营中误以为网络弹性很强。虽然许多企业投入大量资金购买前线防御工具以阻止不良行为者，但他们在为犯罪分子最终入侵时可能发生的情况做准备上花费的时间和金钱却少得多。而犯罪分子确实会入侵。

随着数字恶意行为者越来越普遍地使用人工智能，黑客在入侵企业网络方面比以往任何时候都更加熟练。与此同时，入侵的后果也越来越严重。

因此，企业必须转变战略思维，强调如何快速安全地从网络事件中恢复。

几十年来，企业可以自信地运行弹性 IT 环境。他们大多能够通过阻止少数可用接入点来保护其宝贵的技术资产免受黑客攻击。并且假设企业已建立恢复系统，那么在发生中断时（无论是自然灾害还是导致服务离线的其他事件），他们通常可以轻松恢复正常运行。

但形势已发生巨大变化。云计算的兴起让安全边界的概念变得过时。随着数字应用数量的持续激增，IT 环境比以往任何时候都更加复杂和深远。

根据一项行业研究，如今员工在日常工作中使用超过 35 种不同的软件工具，迫使他们每天切换应用程序多达 1,100 次。人工智能现在让黑客在攻击企业目标时拥有巨大优势，其中许多企业仍不确定如何在防御武器库中部署人工智能。

由于攻击速度和规模超出了企业的应对能力，因此后果更加严重。据估计，一次数据泄露的平均成本约为 500 万美元，更不用说潜在的声誉损失。

与此同时，上市公司必须应对美国证券交易委员会等联邦机构的新数据泄露披露要求，这些要求将网络安全问题提升到董事会层面。

面对这些挑战，公司必须运行更具弹性的 IT 运营，并确保他们为网络攻击做好准备。然而，最重要的要求是建立更强大的防御策略来保护和备份数据。

当不可避免的入侵发生时，组织需要确保它能够快速、完整和干净地恢复数据。

备份并不一定意味着恢复

总体而言，网络安全市场规模每年已膨胀至 2000 多亿美元。然而，目前只有一小部分市场专注于网络恢复。

过去，网络中断或自然灾害后的数据恢复很简单：企业会找到他们最新的数据备份，并以此为起点重新启动运营。但是，当黑客入侵备份数据时会发生什么？且这种情况越来越多，公司如何知道备份中是否复制了受感染的数据？

这些因素使网络恢复变得更加困难。

尽管网络攻击似乎瞬间发生，但大多数攻击都已酝酿数月。IBM 的一项研究表明，恶意攻击者在被发现之前平均已在系统中潜伏长达 277 天。在他们默默潜伏的同时，黑客还在关键环境中植入勒索软件或其他恶意软件，包括恢复数据。

目前，至少有 93% 的勒索软件攻击都针对备份存储库。同时，大多数组织平均只保留数据 45 天，这意味着干净的数据和可能被感染的数据之间往往存在很大的时间间隔。

当黑客准备发起攻击时，他们会暴露自己的存在。公司自然会急于恢复其信息。但这样做可能会释放潜伏的勒索软件并广泛感染生产环境。现在，坏人无处不在。黑客攻击变得更加严重。

这就是为什么投资更好的恢复工具和确保备份数据的安全与前线防御同样重要。

投资网络恢复并整合它

那么，有效应对攻击并从攻击中恢复需要哪些适当的工具和流程？

从历史上看，企业在遭受攻击后，如果想要一个安全的恢复场所，就会建立暗网，即使是技术最精湛的组织，这也是一项昂贵的工程。更典型的替代方案是将备份数据存储在云环境中的某个地方，然后祈祷一切顺利。

但现在，企业可以投资底层平台，让构建安全的备份环境并进行测试变得更容易、更便宜。一旦发生事故，企业可以迅速恢复在线状态。

与此同时，那些认真保护备份数据的公司应该采用“3、2、1”策略。根据该计划，公司存储三份数据副本。其中至少两个存储库应保存在不同的位置。在这两个存储库中，一个应该是“隔离的”，独立且安全地存储在云端，位于只有少数有资质的员工可以访问的离线中心。

这样，当首席安全官确定网络事件正在发生并发出警报时，负责恢复的团队就有了一个安全的备份环境。这个干净的存储库对于验证目的也很有价值，特别是当团队进行审计时，通常是每年两次对所有 IT 系统进行审查，以发现任何异常并确保公司遵守任何网络安全法规。

然而，负责恢复的个人或团队往往在发现漏洞后才发现。这是因为组织仍然认为安全属于首席安全官的职权范围，而数据备份和恢复则留给首席信息官(CIO )领导下的 IT 团队。

因此，漏洞的消息可能无法及时传到恢复团队手中。

在当今的环境中，安全和恢复团队无法在单独的孤岛中运作。除了进行组织变革以确保沟通和协作之外，企业还可以采用与重要相邻技术集成的现代恢复工具，例如安全信息管理 (SIM) 和安全编排、自动化和响应 (SOAR) 系统，使企业能够在生产环境中检测到可疑活动后立即向恢复团队发出警报。

人工智能正在改变游戏规则。企业在研究这项技术的同时，黑客也在利用它强化他们已经非常成功的策略。威胁形势十分严峻，以至于无法再采用十年前可能就已足够有效的数据备份策略。

现在，恢复必须成为公司内部与防范和检测漏洞同等重要的安全考虑因素。

通过将恢复团队和技术与其他安全设备连接起来，公司将在网络事件发生后更快地恢复运行，从而确保备份环境免受持续的数字攻击。

这才是真正的韧性。