对话Veritas CEO：如何为恢复做最好的准备？（上）

麦肯锡：威胁的性质正在演变，包括数据泄露和备份中毒。现在，与攻击者的谈判往往集中在防止已经泄露的数据被释放。当然，还有多维度的攻击会让IT和业务离线。Veritas与客户就威胁的全部范围和他们的担忧进行了什么样的对话？

Greg Hughes：作为备份提供商，我们获取主要数据并将副本移动到辅助存储。这就是备份的根本作用，无论是在公共云中还是在公共云之外。企业会问我们他们应该如何处理其原始数据，实际上，这归结为两件重要的事情：

首先，所有敏感数据都应该加密，没有理由再存在任何明文内容。其次，有数据泄露防护（DLP）工具可以检查边界并指示最敏感的数据（例如机密信息或受监管信息）是否正在离开用户的站点。这些是适当的防数据泄漏计划中最低要求的两个组成部分。

麦肯锡：Veritas真正强调的最佳备份实践有哪些？

Greg Hughes：最重要的一点，很明显——备份就是你的「保险单」。备份数据可以帮助企业恢复主系统，因此，它在应对勒索软件攻击方面发挥着关键作用。

第一步是确保备份应用程序与所有其他应用程序一样升级到最新版本。不要试图用昨天的技术来对抗今天的勒索软件问题。

其次，冗余是很好的保险，而且价格便宜。“3-2-1”法则放之四海皆准，这确实是一个最低标准。现在，存储非常便宜，因此请确保自己有足够的冗余。

第三个组件是不可变存储。企业需要在不可变存储中有一个备份副本，这意味着它是防篡改的，无法更改。现在有很多不同的不可变存储选项，可以在磁盘上，也可以在云中，并且总是有磁带的旧备用，它是不可变的，也可以离线。

最后的原则是确保整个备份解决方案是安全的、端到端严格受保护的，具有零信任访问、入侵检测、入侵防御、双因素身份验证和基于角色的访问控制等特性。同时，企业应确保有限职责和责任的分离，这一点很重要——接触主系统的人不应该接触备份系统。高级异常检测是另外一层安全特性。

麦肯锡：基于云的备份让刚才提到的“3-2-1”法则变得更加适用。为什么将支持云的备份作为整体备份和恢复策略的一部分变得如此重要？

Greg Hughes：云一直是备份创新的主要领域，企业现在可以将云视为另一个备份目标。云中有许多不同的存储类型，包括可用于归档的存储或不可变存储。此外，在灾难恢复的场景下，企业无需使用专用且昂贵的数据中心作为辅助站点，而是可以使用云有效地按需启动数据中心。这是一个强大的概念。

当然，企业需要在云中备份数据。一种常见的误解是云提供商会帮助应对和处理勒索软件威胁。在云服务提供商的使用说明中，会明确地提醒——在云中备份数据是用户的责任。因此，企业需要使用与本地环境相同的技术来保护云中的数据。

麦肯锡：除了技术解决方案，企业还需要做哪些工作来建立良好的备份策略，尤其是在涉及到因勒索软件攻击而导致的备份访问时？

Greg Hughes：关注「运营弹性」是经常与客户对话的关键领域之一。这是一个更广的范畴，而不仅仅是周边安全。威胁无处不在，比如鱼叉式网络钓鱼，它利用人的脆弱性，所以坏人会进入，恶意软件会进入。

大多数先进的企业都在试图弄清楚如何处理最坏的情况——我称之为“网络野火”。这种情况下，数据中心或云中的数据会被摧毁。弹性的关键是多层次的计划，告别单点故障。

NIST网络安全框架的指导意义很强。这是一个五点框架，但其中三个要素与弹性有关：保护、检测、恢复。企业如何保护自己的数据和系统？如何尽快检测到攻击何时发生？如何尽快从攻击中恢复过来？这不仅仅是关于备份，而是整个应对流程。

麦肯锡：从流程的角度来看，企业需要做些什么来确保他们所做的备份确实有用并缓解了问题？

Greg Hughes：“恢复”组件是计划中必不可少的部分，因为重新启动应用程序和业务服务需要在众多不同的利益相关者之间进行数量庞大的协调工作。企业拥有计算、存储、网络和应用程序，IT需要一本数字运行手册，一个协调所有这些部分的勒索软件应对手册。第一步是确保从已知的、良好的备份副本中恢复。这就是使用异常和恶意软件检测功能来帮助企业IT确定最后一个已知良好副本的「用武之地」。

企业还想使用良好的恶意软件扫描程序，在进行数据恢复之前对其进行扫描。同时希望在隔离的恢复环境中拥有完整可用的备份，这样它就不会触及主系统。