调查：既然攻击不可避免 恢复应该与防护平起平坐

美国证券存托与清算公司(DTCC)最新发布的系统性风险评估调查报告显示，网络安全问题虽然不算什么新问题，但已飞速上升至很多人心目中最重要的短期系统性风险的位置。再加上攻击数量与复杂性不断上升的现状，大部分大型企业如今承认，成功的大范围网络攻击不是会不会出现的问题，而是什么时候发生的问题。

因此，公司企业不仅重视攻击预防工作，也在增强自身弹性与恢复计划，以便更有效地响应潜在攻击。

传统上，预防历来是公司网络安全策略的重心所在，也是大部分资源分配的去向。但既然承认了攻击者终有一天会突破防线，恢复计划便在近些年里跃升到了日程表前列，恢复与响应开始与攻击预防平起平坐了。

对恢复计划的重视日渐增加

这种优先级上的改变不仅仅是因为风险管理实践的发展，也有部分原因在于近几年来网络风险监管等级的上升，尤其是在恢复计划与目标方面。事实上，某些监管规定如今要求公司企业实现“2小时恢复”窗口，也就是要在网络攻击中断了关键系统的头两个小时内制定出计划的核心元素。

另外，鉴于很多公司的恢复计划更关注自然和非故意的物理威胁，而不是恶意及中断性的网络相关风险，该问题也变得越来越重要了。今天的威胁往往在动机上与我们十年前准备应对的那些有着本质不同。因此，越来越多的公司开始审视整个企业，确保可以利用架构和网络来恰当地响应有意的针对性攻击，比如出自内部人故意的数据篡改和数据删除等。

定义方法与响应

然而，因为网络攻击的潜在影响和公司企业的规模与复杂度范围太广，定义足够的响应与恢复策略，使之涵盖从备份被毁到针对企业中多个部门的协同攻击，是件很困难的事。而且，对想要重新平衡网络策略重心的公司来说，评估恢复计划时还要考虑一些核心问题点。

第一步应该是确保通过安全模式或备用过程来恢复关键操作。不是所有的操作都需要立即恢复；公司企业应在攻击发生前就建起自己的优先级列表，这样才能在攻击发生时知道该优先关注什么。

一旦列表上最重要的系统恢复运转，就可以顺势缓解其他受影响区域了。任何全面的恢复计划都应通过清除网络攻击的根源，处理被黑账户、计算机和网络，强化安全与规程，来开启缓解进程。另外，在正常运营重启之前，网络专家必须验证攻击者有没有被完全清除出系统。只有证实了攻击者已被完全清除，公司企业才可以完成正常运营的恢复动作。

信息共享是关键

某公司从攻击中完全恢复后，可以通过共享该网络攻击的相关情报来帮助其他公司，包括攻击的性质、本公司防御与恢复计划中有效与无效的元素等。

实际上，信息共享已成为减轻网络攻击影响和防止将来再次遭受攻击的关键因素。此类信息共享事关行业安全，因此，信息共享应成为关键基础设施、金融机构、政府实体和网络威胁调查机构的长期工作。只有投入进来，才能帮助其他人设置恰当的措施以防止类似的攻击在他们自己的公司里发生。

更重要的是，此类协作对因为某些潜在网络攻击的规模而苦于定义足够的响应与恢复策略的公司而言至关重要。通过信息共享，公司企业可以采纳行业最佳实践，推进发展更有效的响应与恢复方法。

今天的网络威胁态势与监管合规责任，要求公司企业继续评估与发展自身风险管理方法，确保优化防御与弹性。通过行业协作、共享威胁与攻击信息和实现最佳实践，公司企业可以享有健壮的措施，既抵御威胁，又增强关键操作的弹性。