攻防

企業(yè)往往在網(wǎng)絡(luò)攻防戰(zhàn)的“前線”投入大量資金，試圖將黑客“拒之門外”，而很少把精力放在如何為黑客真的進(jìn)入企業(yè)網(wǎng)絡(luò)環(huán)境做好準(zhǔn)備。而現(xiàn)實(shí)就是，企業(yè)的防線，終歸有一天還是會被黑客突破的。

黑客使用AI的情況越來越普遍，在滲透企業(yè)網(wǎng)絡(luò)方面，黑客變得前所未有的嫻熟。與此同時，漏洞造成的后果也越來越嚴(yán)重。Commvault指出，企業(yè)必須轉(zhuǎn)變戰(zhàn)略思維，關(guān)注如何快速、安全地從網(wǎng)絡(luò)事件中恢復(fù)。

幾十年來，維持和運(yùn)行彈性的IT環(huán)境對于企業(yè)并非難事。總的來說，企業(yè)只需要封鎖為數(shù)不多的幾個可用接入點(diǎn)，就能避免其寶貴的技術(shù)資產(chǎn)受到黑客攻擊。而且如果企業(yè)建立了恢復(fù)系統(tǒng)，在發(fā)生中斷，比如遇到自然災(zāi)害或者導(dǎo)致服務(wù)掉線的其他事件時，企業(yè)也不難重新恢復(fù)正常運(yùn)行。

但如今環(huán)境發(fā)生了巨大變化。云的崛起“淘汰”了安全邊界的概念。隨著數(shù)字應(yīng)用程序數(shù)量持續(xù)激增，IT環(huán)境變得前所未有的復(fù)雜，影響也更加廣泛。行業(yè)研究顯示，如今員工在日常工作中使用的軟件工具多達(dá)35種，每天切換應(yīng)用程序超過1100次。

此外，相比許多企業(yè)仍不確定應(yīng)該如何使用AI進(jìn)行防御的情況，AI正為黑客帶來巨大優(yōu)勢。網(wǎng)絡(luò)攻擊快速演變，企業(yè)很難確保百分之百的防護(hù)。而數(shù)據(jù)漏洞將造成嚴(yán)重后果，其平均成本大約在500萬美元。同時，日漸完善的數(shù)據(jù)相關(guān)法律法規(guī)，也要求企業(yè)提升其數(shù)據(jù)合規(guī)水平。

面對這些挑戰(zhàn)，企業(yè)必須采取彈性更強(qiáng)的IT方法，確保企業(yè)做好應(yīng)對網(wǎng)絡(luò)攻擊的準(zhǔn)備。重中之重的是企業(yè)需要建立強(qiáng)大的防御戰(zhàn)略，重點(diǎn)保護(hù)備份數(shù)據(jù)。當(dāng)漏洞不可避免地發(fā)生時，企業(yè)要確保自己能夠快速、完整、干凈地恢復(fù)數(shù)據(jù)。

備份并不等于恢復(fù)

網(wǎng)絡(luò)安全市場預(yù)計(jì)將超過2000億美元。但目前該市場中只有一小部分專注于網(wǎng)絡(luò)恢復(fù)。

過去，網(wǎng)絡(luò)中斷或自然災(zāi)害后的數(shù)據(jù)恢復(fù)非常簡單：企業(yè)找到最新的數(shù)據(jù)備份，并以此為起點(diǎn)，重新啟動和運(yùn)行。但是，當(dāng)黑客滲透進(jìn)備份數(shù)據(jù)時會發(fā)生什么？企業(yè)又怎么知道受感染的數(shù)據(jù)是否在備份數(shù)據(jù)中又被復(fù)制？這些因素都增加了網(wǎng)絡(luò)恢復(fù)的難度。

網(wǎng)絡(luò)攻擊看似就發(fā)生在一瞬間，但大多數(shù)都醞釀了數(shù)月之久。根據(jù)IBM的一項(xiàng)研究，目前惡意攻擊者在系統(tǒng)中平均潛伏多達(dá)277天才能被發(fā)現(xiàn)。黑客在悄悄潛伏的同時，還在關(guān)鍵環(huán)境（包括恢復(fù)數(shù)據(jù)）中植入勒索軟件或其他惡意軟件。事實(shí)上，94%遭受勒索軟件攻擊的企業(yè)表示攻擊者在攻擊期間試圖破壞其備份。

當(dāng)黑客發(fā)動攻擊時，企業(yè)自然會急于恢復(fù)信息。但這樣做可能會釋放潛伏的勒索軟件，并廣泛感染生產(chǎn)環(huán)境。這就是為什么企業(yè)要采用更好的恢復(fù)工具，并確保備份數(shù)據(jù)的安全。這和“前線”的防御同樣重要。

通力合作，做好網(wǎng)絡(luò)恢復(fù)準(zhǔn)備

通常，為了確保在攻擊后自己還能具備一個安全的恢復(fù)地點(diǎn)，企業(yè)會建立自己的隱藏站點(diǎn)。但這種方法非常昂貴。典型的替代方法是將備份數(shù)據(jù)存儲在云端，然后就“交給命運(yùn)安排”。但是現(xiàn)在，企業(yè)可以使用基礎(chǔ)平臺，以更低的成本，更輕松地構(gòu)建安全備份環(huán)境，并對其進(jìn)行恢復(fù)測試。這樣在發(fā)生安全事件時，企業(yè)就能快速重新上線。

同時，為了保護(hù)備份數(shù)據(jù)，企業(yè)應(yīng)該采用3-2-1策略。根據(jù)該策略，企業(yè)要存儲3份數(shù)據(jù)副本。其中至少2份副本應(yīng)保存在不同的位置。在這2份副本中，應(yīng)該有1份是Air gap的——獨(dú)立、安全地保存在云端，位于離線中心，只有少數(shù)經(jīng)過認(rèn)證的員工才能訪問。

這樣，當(dāng)首席信息安全官確定正在發(fā)生網(wǎng)絡(luò)事件，并發(fā)出警報(bào)時，負(fù)責(zé)恢復(fù)的團(tuán)隊(duì)就有了一個安全的備份環(huán)境。對于驗(yàn)證目的來說，這個潔凈的存儲庫也很有價(jià)值，尤其是在團(tuán)隊(duì)進(jìn)行審計(jì)（通常是每年兩次對所有IT系統(tǒng)進(jìn)行審查，排查異常，并確保企業(yè)保持合規(guī)）時。

不過，很多企業(yè)仍然認(rèn)為安全問題僅僅和安全團(tuán)隊(duì)有關(guān)，而數(shù)據(jù)備份和恢復(fù)才由IT團(tuán)隊(duì)負(fù)責(zé)。企業(yè)內(nèi)部存在信息壁壘，恢復(fù)團(tuán)隊(duì)可能無法及時收到發(fā)生安全事件的信息，更無法及時做好相應(yīng)準(zhǔn)備。

在當(dāng)今環(huán)境下，安全和恢復(fù)團(tuán)隊(duì)不能各自為政。一方面，企業(yè)可以進(jìn)行管理上的調(diào)整，確保團(tuán)隊(duì)間的溝通和協(xié)作。另一方面，企業(yè)還可以采用和相關(guān)技術(shù)集成的現(xiàn)代化恢復(fù)工具，這些技術(shù)包括安全信息管理（SIM）和安全編排自動化與響應(yīng)（SOAR）系統(tǒng)等等。這樣，在生產(chǎn)環(huán)境中檢測到可疑活動后，企業(yè)可以第一時間向恢復(fù)團(tuán)隊(duì)發(fā)出警報(bào)。

AI正在改變游戲規(guī)則。在企業(yè)研究這項(xiàng)技術(shù)的同時，黑客們也在利用它進(jìn)一步改進(jìn)他們的攻擊。威脅形勢已經(jīng)非常嚴(yán)峻，企業(yè)不能再采用十年前的數(shù)據(jù)備份策略。恢復(fù)必須成為企業(yè)內(nèi)部與防范和檢測漏洞同樣重要的安全考量。

企業(yè)需要打通恢復(fù)和安全技術(shù)乃至團(tuán)隊(duì)之間的連接，以整體性的企業(yè)IT安全布局，打造真正的彈性，實(shí)現(xiàn)網(wǎng)絡(luò)事件后企業(yè)的更快恢復(fù)。