灾后恢复和勒索恢复有何不同?为何两个都要?

admin 2024年7月3日23:07:54评论0 views字数 3879阅读12分55秒阅读模式

灾后恢复和勒索恢复有何不同?为何两个都要?

7月2日,“麻辣王子”有关负责人表示,工厂受到停水、交通受阻、通信中断等方面影响,目前是停工的状态,预计至少停工5天。7月3日,麻辣王子正宗麻辣辣条微博发文回应称,近日,麻辣王子工厂受停水等因素影响暂时停工2日。当前随着应急水源到位,工厂已经逐步复工,目前麻辣王子2个车间已经恢复生产,预计全部复工还需要一周时间。公司会争取在保障生产、生活安全的同时尽快恢复生产。

灾后恢复和勒索恢复有何不同?为何两个都要?

一个组织每断开一分钟都会造成巨大损失,甚至可能导致人员伤亡。在IT及互联网行业中,虽然勒索软件攻击通常更受大家的关注,但自然灾害也会造成破坏。

今年,我国大量地区发生洪涝灾害,部分企业受损严重,这意味着对抗自然灾难需要提上日程。无论是火灾、电力故障、地震、飓风,还是因战争导致的导弹袭击等,都可能会导致泛互企业或金融机构的数据中心瘫痪。

通常情况下,我们无法预测此类事件何时会发生,但如果有正确的计划,一些风险以及其所带来的损失是可以降低的。相对于其他安全事件而言,应对自然灾害的准备工作有所不同,这是因为损害的类型和优先级都不一样。

灾后恢复与勒索恢复的区别

灾难恢复通常侧重于物理基础设施,如硬盘和网络设备,而勒索软件恢复则涉及数据完整性和防范网络威胁。BackBox 产品管理副总裁 Amar Ramakrishnan表示,在灾难中,企业可能面临硬件受损等问题,但在网络安全事件中,企业只需要填补漏洞,重置设备等。

由于自然灾害会以多种方式影响数据中心,因此企业必须制定多项计划,并明确规定优先事项。Ramakrishnan认为,了解并记录哪些情况需要配备设备,哪些不需要,是灾难恢复计划流程的重要组成部分。

自然灾害和勒索软件攻击都会给公司带来巨大的损失。Arcserve 欧洲、中东和非洲地区销售副总裁 Steve Butterfield表示,虽然每种类型的攻击各不相同,但都可能造成灾难性损失,导致企业长时间停业或完全停止运营。

灾后恢复和勒索恢复有何不同?为何两个都要?

恢复能力应超越合规要求

许多组织从合规性角度出发,采取灾难恢复和网络事件响应措施。Qmulos 公司合规战略副总裁 Igor Volovich 认为,有些时候,他们所做的准备只是最低限度的工作。虽然这样做是必要的,但还不够。他建议,更好的办法是将合规要求视为详细的指南,并根据自动收集、分析和实时报告的数据采用更全面的视角。这当然包括加强安全态势,以及制定或更新全面的灾难恢复计划。

Butterfield表示,企业的灾后恢复计划应包括数据备份策略,包括恢复重点目标(RPO)和恢复时间目标(RTO),以及数据恢复、系统恢复和业务连续性的详细程序。

有效的备份方案是必须的,Butterfield 建议遵循 3-2-1-1 策略。3-2-1-1 策略指的是保留三份数据副本(一份主副本和两份备份),其中两份以两种格式存储在本地,一份存储在云或安全存储的异地。最后一个代表不可变存储,即备份以一次写入、多次读取的格式保存,无法更改或删除。

Butterfield表示,不可更改性与加密的不同之处在于没有密钥,因此不可能读取或逆转不可更改性。这为企业提供抵御任何灾难的最后一道防线。

此外,Butterfield还提倡使用云存储,因为云存储具有“无与伦比的可扩展性和灵活性”。一些云解决方案通过自动备份和复制到多个数据中心来实现快速恢复,这样,即使本地发生灾难,数据仍然可以访问。

但是,除了云,企业还可以考虑硬盘备份,它既可靠又经济实惠。Butterfield认为,硬盘是长期数据归档的绝佳选择,尤其适用于异地气隙存储--无论是虚拟还是物理气隙。对于大量数据而言,硬盘的成本效益也非常高。

在制定恢复战略时,Ramakrishnan 建议针对不同的潜在危机制定不同的计划,并将其存储在网络运营中心的物理文件夹中,同时提供电子副本。“虽然电子访问至关重要,但实体文件提供了有形的备份,在数字系统可能受到损害的情况下也很容易访问。”

如果工程师能做好充分准备来处理突发事件,那么无论是面对自然灾害还是勒索软件攻击,都能减少业务停机时间。此外,Ramakrishnan表示,要让网络团队及安全团队参与到灾难恢复计划中,以确保发生意外情况时,能够得到网络团队的指导和建议。

灾后恢复和勒索恢复有何不同?为何两个都要?

事故期间的优先事项

无论是自然灾害还是勒索软件攻击,其应对策略的重点都是让系统重新上线并尽量减少停机时间。

在影响 IT 系统的自然灾害和其他类型的灾难中,硬件和连接可能会丢失,这会使恢复过程更具挑战性。NAKIVO 产品管理副总裁 Sergei Serdyuk表示,在这种情况下,受影响组织的生产网站部分/完全瘫痪是很常见的。

Sergei Serdyuk表示,当灾难发生时,企业应集中精力恢复物理基础设施、重新安置业务、确保团队安全并重建业务连续性。他们应该利用后勤管理和通信工具来协调应对工作。“标准程序是将故障转移到专门的灾难恢复站点,在主站点完全恢复之前,该站点将继续支持核心运营。”

相比之下,在勒索软件攻击中,目标组织失去基础设施的情况并不常见。相反,损害发生在应用程序和数据层面,因此数据恢复和网络安全措施应优先考虑。“在这种情况下,灾难恢复站点可能是必要的,但目的是建立一个隔离的恢复环境,以保护数据完整性、防止勒索软件再次感染并加快遏制速度。”

Volovich 表示,企业应该使用解密工具、取证分析工具和威胁情报平台。他们还应与利益相关者就漏洞和采取的措施进行沟通。成熟的备份和恢复策略以及可靠的备份可以加快恢复速度

灾后恢复和勒索恢复有何不同?为何两个都要?

建立资产清单和灾后恢复领导者

为灾难做好准备需要时间、资源和对细节的关注。尽管如此,组织忽视某些事情或低估其他事情的情况并不少见。

彻底清点所有 IT 资产(硬件、软件、数据和网络资源)至关重要。Butterfield表示,这是有效灾难恢复计划的关键起点,如果不清楚需要保护的内容,就有可能在灾难发生时无法恢复所有重要数据。

他建议,根据资产对业务功能的重要性进行排序,并以此为基础启动风险评估流程。风险评估应细致入微,并应被视为一个持续的过程,要考虑到不断出现的新威胁和新技术。

Ramakrishnan 还建议任命一位灾后恢复领导者,负责监督规划流程。他认为,领导者需要有 IT 背景,了解所面临的挑战,他们需要扎实的项目管理技能和敏锐的商业头脑。他们的部分任务是组建一个团队,其中包括来自各 IT 部门的专家以及关键业务部门的主要利益相关者。

灾后恢复领导者可以推动健全的备份和恢复程序。很多公司在尝试从备份进行恢复时,却发现由于这样或那样的原因,备份已经失效了。因此,测试在紧急情况下的恢复能力是任何备份策略的关键部分。如果不对此进行测试的话,就会为失败埋下隐患。

Serdyuk对此表示认可,他表示,强大的备份和恢复程序是必须的,而且一般来说应该进行更多的测试。企业经常进行不完全的测试,而忽略了更广泛的场景,如同时发生的网络攻击、自然灾害或停电。Serdyuk认为,无论是演习还是测试,都应该尽可能地让所有部门的人员都参与进来,并从每次演习中获得的启示应该用来加强准备工作。

归根结底,无论是由CSO、CISO还是 IT 经理,参与这一过程的人员在改进和执行这些计划方面都起着至关重要的作用。这就是为什么他们应该合作。Ramakrishnan 还建议制定一项内部沟通计划,以确保在灾难来临时将因混乱而损失的时间降到最低。

灾后恢复和勒索恢复有何不同?为何两个都要?

专家观点

企业应该如何应对自然灾害,深圳报关专家周周表示,部分企业会因自然灾害致使供应链受到损害,为确保供应链韧性,企业应采取以下措施:

多元化供应链布局:建立多个备选供应商和生产基地。

应急预案制定:提前识别关键风险点,制定详细的应急响应预案和备用计划。

加强信息沟通与协作:保持与供应链伙伴间的密切沟通,实时共享重要信息,共同应对危机。

采用弹性供应链策略:例如快速调整生产计划、寻找备用供应商等能力。

知乎用户higher5表示,对于自然灾害等实体风险,公司应做好抵御的准备。公司应该做些什么来减轻这些风险?其中很重要的一点是加强其连续性规划(Continuity Planning)。具体行动包括但不限于,制定运营应急计划、转向灵活和适应性的供应链以及对未来冲击的预测分析。

更实际地来说,世界可持续发展工商理事会(WBCSD)建议采取三个步骤来提升商业环境中应对气候变化的弹性度。首先,制定并维持较为激进的风险缓解措施。第二,在面临气候相关的实体风险时及时调整以确保业务连续性。最后,更深入地评估社会和自然的联系、依赖性和价值,以及对自身业务的影响程度。

结语

早在2017年,中央网信办就公布了《国家网络安全事件应急预案》,其中明确提出了应急预案的相关需求和如何制定应急预案框架。但就像上文提到的,仅满足合规需求是远远不够的,企业应该进一步落实应急预案的具体内容,进一步提升企业抵抗自然灾害的能力。

原文链接:

https://www.csoonline.com/article/2139710/disaster-recovery-vs-ransomware-recovery-why-cisos-need-to-plan-for-both.html

原文作者:

灾后恢复和勒索恢复有何不同?为何两个都要?

Andrada Fiscutean

Andrada Fiscutean是国际科技记者,曾在《Ars Technica》、《Vice Motherboard》、《ZDNet》、《Nature》、《CSO Online》等刊物上发表过专题文章。拥有 20 多年广播记者工作经验、10 年科技记者工作经验和 4 年电视新闻画外音工作经验。

原文始发于微信公众号(安在):灾后恢复和勒索恢复有何不同?为何两个都要?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月3日23:07:54
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   灾后恢复和勒索恢复有何不同?为何两个都要?https://cn-sec.com/archives/2915314.html

发表评论

匿名网友 填写信息