事件后恢复 Microsoft 网络的最佳实践

在勒索软件或其他网络攻击后恢复凭据、系统和设置时，请遵循此建议以最大程度地减少压力。

每当与云服务或远程顾问打交道时，最大的停顿的一件事就是跟踪和保护凭据。这样做需要多个备份、云资源以及经过测试的备份和恢复过程。

我们有正常的密码管理流程、密码存储工具和加密流程。然后灾难降临。服务器遭到勒索软件攻击或被黑客入侵。具有关键密码的设备被盗。多因素身份验证设备丢失。所有这些灾难都可能导致公司中的某个人在处理服务器和关键操作的转移和恢复方面不够安全。顾问多久进行一次测试，看看他们是否可以在压力下处理恢复过程？

咨询公司经常与他们的客户安排一场灾难演练，然后与他们的员工一起监控结果。与模拟钓鱼实验一样，这些阶段性灾难受到控制，以确保数据不会丢失，并且对客户端的损害仅限于阶段性区域。目标是确保咨询人员能够在客户灾难期间处理压力（尽管是分阶段的事件）。这也是审查他们如何处理流程和程序，特别是处理凭证。很多时候，会发现自己无法访问正常流程。确保处理并计划正常处理凭证被中断的情况是确保不会在灾难后使公司面临更大风险的关键。

以下是灾难后恢复凭据的一些提示和最佳实践：

恢复期间进行的文档服务器权限更改

在最火热的时刻，通常会调整服务器权限以恢复它们或数据，然后需要记录所做的更改，以确保一旦事件结束，更改就会得到调整。即使完成了安全事件，也要检查是否没有将系统置于不安全的环境中。

在执行既定的恢复过程时避免走捷径

如果有一个经过测试的恢复计划，请避免使用脚本来加速该过程。正如NIST 网络安全恢复指南文件所示：

花时间进行根本原因分析

通常，不同规模的组织的恢复过程是不同的。小型企业可能只想尽快恢复运作，而中型企业可能需要时间进行根本原因分析。根据 NIST 文件，“确定网络事件的根本原因对于规划最佳响应、遏制和恢复行动非常重要。虽然知道完整的根本原因总是可取的，但攻击者被激励隐藏他们的方法，因此发现完整的根本原因并不总是可以实现的。”