企业在网络攻击后恢复数据是比较复杂的灾难恢复案例。根据一家研究公司最近发布的一份调查报告,91%的企业表示,由于冠状病毒爆发期间员工在家远程工作,网络攻击的数量显着增加。自大流行开始以来,勒索软件攻击增加了72%,针对移动应用程序的攻击也增加了50%。虽然企业应该有适当的控制措施来保护关键数据免受网络攻击,但他们也需要准备好在这些控制措施不充分的情况下恢复数据。以下是企业在网络攻击后恢复数据时需要了解的内容:恢复数据是另一种类型的灾难恢复如果企业认为其长期灾难恢复(DR)计划涵盖数据恢复措施,则事实并非如此。在这种情况下,传统的灾难恢复计划和功能很少是足够的,因为物理基础设施通常没有受到损害。网络攻击后的数据恢复与从以物理为中心的数据中心灾难场景中恢复非常不同。恢复数据有多种方法,识别这些差异并制定计划很重要。如果不这样做,您的数据恢复工作将不会顺利进行,无论是网络延迟还是数据丢失。数据恢复和灾难恢复之间的区别可以分为四类:触发事件:灾难恢复侧重于在数据中心受损事件后恢复基础架构、应用程序和网络服务;数据恢复是指在发生数据泄露事件后恢复数据。对生产的影响:在灾难中,企业可以利用通常在恢复环境中备份的数据。它本质上是建立一个新的或暂存的生产环境。在数据恢复工作中,数据通常就地恢复,这意味着将“干净”的数据移回原始生产环境。数据焦点:灾难恢复工作通常使用最近备份的数据。但是,如果发生数据泄露,最新的备份数据也可能已被泄露。因此,企业需要分析候选数据以找到最新可用的“干净”数据。如果企业的数据备份遭到破坏,可能需要几天或更长时间才能将它们全部恢复。可能成功的恢复目标:在灾难恢复中,如果测试成功,业务应该能够满足恢复时间目标(RTO)和恢复点目标(RPO)。在数据恢复中,很少遇到恢复时间目标(RTO)和恢复点目标(RPO),因为了解网络攻击的性质和找到“干净”数据需要时间。这些恢复案例千差万别,数据恢复需要注意和规划。每个数据恢复作业中要问的问题明确定义了灾难恢复作业。企业遵循脚本路径,可以通过适当的测试来实践。损坏的数据恢复不是这种情况,因为每种情况都不同。如果网络攻击损害了数据的完整性和可用性,则需要考虑其他因素:是否存在未超过其保留期限且对业务仍然有价值的干净、无恶意软件的数据?设备是否需要重建或更换?是否应该使用网络上从未使用过的新产品?如果一个组织的数据被勒索,如果这意味着更快、更便宜的恢复,他们是否愿意支付赎金?他们是否应该同时尝试恢复和谈判赎金?您如何在保持生产正常运行的同时恢复数据?除了这些问题之外,组织还应该确定他们的关键数据资产(VDA)。虽然这些数据可能不是灾难恢复计划中的顶级数据,甚至不是灾难恢复计划的一部分,但它对业务的性质来说仍然是至关重要的。例如,在制药行业,这可能涉及增强关键增长计划的信息,例如来自10年研究的数据或来自美国食品和药物管理局(FDA)产品批准的数据。这是非常重要的数据,如果遭到破坏,可能会危及企业的生存和运营。组织还需要采用定义的程序来确保可以有效地恢复数据。为损坏的数据创建恢复架构有效的损坏数据恢复始于3-2-1-1恢复架构:(1)三名独立的领域人员–使用独立的备份团队。进程——使用独立的备份进程。技术——利用独立的备份技术。(2)两种恢复策略数据恢复–实施备份和恢复已识别关键数据资产(VDA)的策略。系统恢复–实施应用程序和系统恢复。(3)一份离线副本至少保留一份在网络之外或不可变的副本。组织可以而且应该增加历史副本的数量以提供额外的保护。(4)安全环境维护独立数据备份、分析、拷贝存储、恢复等的安全环境。除了定义明确的架构外,企业还需要精干的团队来执行计划。建立多元化的团队企业的网络泄露数据恢复应以专门的计划为指导,该计划将协调和指导响应中需要涉及的多个学科。企业的信息安全团队负责删除恶意软件、执行取证并确认数据是干净的以返回生产。企业的基础架构、运营和灾难恢复团队负责在将候选数据转移到生产环境之前创建一个安全空间来分析候选数据,从裸机重建服务器以确保它们没有恶意软件,并确定可能需要回滚以确保正确要同步的其他数据。业务连续性(BC)也起着重要作用。企业应针对数据可扩展性不可用性或持久数据超出灾难和紧急响应(DER)的范围预先定义业务连续性策略,超出这些范围无法建立恢复时间目标(RTO)和恢复点目标(RPO)以防丢失。企业确保在一次成功的网络攻击后,他们的跨学科团队准备好通过在不同场景中定期测试他们的计划来有效和果断地做出响应。如何确保您的数据是可恢复的数据恢复与灾难恢复不同。它需要特殊的规划、管理和功能。组织需要认识到这两种恢复场景之间的差异,识别关键数据资产(VDA),创建定义明确的架构,并持续定期测试计划,以确保团队做好响应准备。更好的数据恢复。
