远程工作时代的安全：怎样在网络攻击后恢复数据

恢复数据是另一种类型的灾难恢复

如果企业认为其长期灾难恢复(DR)计划涵盖了数据恢复措施，那么情况并非如此。在这种情况下，传统的灾难恢复的计划和功能很少能满足要求，因为物理基础设施通常不受损害。在遭受网络攻击后，数据恢复与以物理为中心的数据中心灾难场景的恢复截然不同。

恢复数据的方式各不相同，认识到这些差异并对其进行规划非常重要。如果不这样做，无论是在网络延迟还是数据丢失方面，企业的数据恢复工作都将无法顺利进行。

数据恢复和灾难恢复之间的区别可分为四类：

• 触发事件：灾难恢复侧重于在发生数据中心危害事件之后恢复基础设施、应用程序和网络服务;数据恢复是指在数据泄露事件之后恢复数据。
• 对生产的影响：在灾难中，企业可以利用恢复环境中通常已经备份的数据。其在本质上正在建立一个新的或临时的生产环境。在数据恢复工作中，通常会在适当位置恢复数据，这意味着将“干净”数据移回原始生产环境。
• 数据重点：灾难恢复工作通常使用的数据是最近备份的数据。但是，在数据泄露的情况下，最新的备份数据也可能已经泄露。因此，企业需要分析候选数据以找到最新的可用“干净”数据。如果企业的数据备份遭到破坏，则可能需要几天甚至更长的时间才能将其全部恢复出来。
• 恢复目标可能成功：在灾难恢复中，如果测试成功，企业应该能够满足恢复时间目标(RTO)和恢复点目标(RPO)。在数据恢复中，由于需要时间来了解网络攻击的本质并找到“干净的”数据，因此很少遇到恢复时间目标(RTO)和恢复点目标(RPO)。

这些恢复案例之间的差异非常大，以至于在进行数据恢复时需要关注和规划。

每次数据恢复工作中要问的问题

明确定义灾难恢复工作。企业遵循脚本化的路径，可以通过适当的测试来进行练习。受损的数据恢复并非如此，因为每种情况都是不同的。

如果网络攻击损害了数据的完整性和可用性，则需要考虑其他因素：

• 是否拥有干净的、无恶意软件的数据，这些数据没有超过保存期限，并且仍然对企业有价值?
• 设备是否需要重建或更换?应该使用网络上从未使用过的新产品吗?
• 如果企业的数据被勒索，是否愿意支付赎金，前提是这意味着能否可以更快、更便宜地恢复?
• 是否应该尝试同时收回和协商赎金?
• 如何在保持生产正常运行的同时恢复数据?

除了这些问题，企业还应该确定其重要数据资产(VDA)。尽管就此而言，这些数据可能不是灾难恢复程序中的顶级数据，甚至可能不是灾难恢复程序的一部分，但对于业务性质而言仍然至关重要。例如，在制药行业中，可能会涉及增强关键增长计划的信息，例如10年研究的数据或美国食品药品监督管理局(FDA)产品批准的数据。这是非常重要的数据，如果遭到破坏，可能会损害企业的生存和运营。

（编辑：常州站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!