恢复的关键:弥合从“计划”到“就绪”的鸿沟

企业往往在网络攻防战的“前线”投入大量资金,试图将黑客“拒之门外”,而很少把精力放在如何为黑客真的进入企业网络环境做好准备。而现实就是,企业的防线,终归有一天还是会被黑客突破的。

黑客使用AI的情况越来越普遍,在渗透企业网络方面,黑客变得前所未有的娴熟。与此同时,漏洞造成的后果也越来越严重。企业必须转变战略思维,关注如何快速、安全地从网络事件中恢复。

几十年来,维持和运行弹性的IT环境对于企业并非难事。总的来说,企业只需要封锁为数不多的几个可用接入点,就能避免其宝贵的技术资产受到黑客攻击。而且如果企业建立了恢复系统,在发生中断,比如遇到自然灾害或者导致服务掉线的其他事件时,企业也不难重新恢复正常运行。

但如今环境发生了巨大变化。云的崛起“淘汰”了安全边界的概念。随着数字应用程序数量持续激增,IT环境变得前所未有的复杂,影响也更加广泛。行业研究显示,如今员工在日常工作中使用的软件工具多达35种,每天切换应用程序超过1100次。

此外,相比许多企业仍不确定应该如何使用AI进行防御的情况,AI正为黑客带来巨大优势。网络攻击快速演变,企业很难确保百分之百的防护。而数据漏洞将造成严重后果,其平均成本大约在500万美元。同时,日渐完善的数据相关法律法规,也要求企业提升其数据合规水平。

面对这些挑战,企业必须采取弹性更强的IT方法,确保企业做好应对网络攻击的准备。重中之重的是企业需要建立强大的防御战略,重点保护备份数据。当漏洞不可避免地发生时,企业要确保自己能够快速、完整、干净地恢复数据。

备份并不等于恢复

网络安全市场预计将超过2000亿美元。但目前该市场中只有一小部分专注于网络恢复。

过去,网络中断或自然灾害后的数据恢复非常简单:企业找到最新的数据备份,并以此为起点,重新启动和运行。但是,当黑客渗透进备份数据时会发生什么?企业又怎么知道受感染的数据是否在备份数据中又被复制?这些因素都增加了网络恢复的难度。

网络攻击看似就发生在一瞬间,但大多数都酝酿了数月之久。根据IBM的一项研究,目前恶意攻击者在系统中平均潜伏多达277天才能被发现。黑客在悄悄潜伏的同时,还在关键环境(包括恢复数据)中植入勒索软件或其他恶意软件。事实上,94%遭受勒索软件攻击的企业表示攻击者在攻击期间试图破坏其备份。

当黑客发动攻击时,企业自然会急于恢复信息。但这样做可能会释放潜伏的勒索软件,并广泛感染生产环境。这就是为什么企业要采用更好的恢复工具,并确保备份数据的安全。这和“前线”的防御同样重要。

通力合作,做好网络恢复准备

通常,为了确保在攻击后自己还能具备一个安全的恢复地点,企业会建立自己的隐藏站点。但这种方法非常昂贵。典型的替代方法是将备份数据存储在云端,然后就“交给命运安排”。但是现在,企业可以使用基础平台,以更低的成本,更轻松地构建安全备份环境,并对其进行恢复测试。这样在发生安全事件时,企业就能快速重新上线。

同时,为了保护备份数据,企业应该采用3-2-1策略。根据该策略,企业要存储3份数据副本。其中至少2份副本应保存在不同的位置。在这2份副本中,应该有1份是Air gap的——独立、安全地保存在云端,位于离线中心,只有少数经过认证的员工才能访问。

这样,当首席信息安全官确定正在发生网络事件,并发出警报时,负责恢复的团队就有了一个安全的备份环境。对于验证目的来说,这个洁净的存储库也很有价值,尤其是在团队进行审计(通常是每年两次对所有IT系统进行审查,排查异常,并确保企业保持合规)时。

不过,很多企业仍然认为安全问题仅仅和安全团队有关,而数据备份和恢复才由IT团队负责。企业内部存在信息壁垒,恢复团队可能无法及时收到发生安全事件的信息,更无法及时做好相应准备。

在当今环境下,安全和恢复团队不能各自为政。一方面,企业可以进行管理上的调整,确保团队间的沟通和协作。另一方面,企业还可以采用和相关技术集成的现代化恢复工具,这些技术包括安全信息管理(SIM)和安全编排自动化与响应(SOAR)系统等等。这样,在生产环境中检测到可疑活动后,企业可以第一时间向恢复团队发出警报。

AI正在改变游戏规则。在企业研究这项技术的同时,黑客们也在利用它进一步改进他们的攻击。威胁形势已经非常严峻,企业不能再采用十年前的数据备份策略。恢复必须成为企业内部与防范和检测漏洞同样重要的安全考量。

企业需要打通恢复和安全技术乃至团队之间的连接,以整体性的企业IT安全布局,打造真正的弹性,实现网络事件后企业的更快恢复。