企業往往在網絡攻防戰的“前線”投入大量資金，試圖將黑客“拒之門外”，而很少把精力放在如何為黑客真的進入企業網絡環境做好準備。而現實就是，企業的防線，終歸有一天還是會被黑客突破的。

　　黑客使用AI的情況越來越普遍，在滲透企業網絡方面，黑客變得前所未有的嫻熟。與此同時，漏洞造成的后果也越來越嚴重。企業必須轉變戰略思維，關注如何快速、安全地從網絡事件中恢復。

　　幾十年來，維持和運行彈性的IT環境對于企業并非難事。總的來說，企業只需要封鎖為數不多的幾個可用接入點，就能避免其寶貴的技術資產受到黑客攻擊。而且如果企業建立了恢復系統，在發生中斷，比如遇到自然災害或者導致服務掉線的其他事件時，企業也不難重新恢復正常運行。

　　但如今環境發生了巨大變化。云的崛起“淘汰”了安全邊界的概念。隨著數字應用程序數量持續激增，IT環境變得前所未有的復雜，影響也更加廣泛。行業研究顯示，如今員工在日常工作中使用的軟件工具多達35種，每天切換應用程序超過1100次。

　　此外，相比許多企業仍不確定應該如何使用AI進行防御的情況，AI正為黑客帶來巨大優勢。網絡攻擊快速演變，企業很難確保百分之百的防護。而數據漏洞將造成嚴重后果，其平均成本大約在500萬美元。同時，日漸完善的數據相關法律法規，也要求企業提升其數據合規水平。

　　面對這些挑戰，企業必須采取彈性更強的IT方法，確保企業做好應對網絡攻擊的準備。重中之重的是企業需要建立強大的防御戰略，重點保護備份數據。當漏洞不可避免地發生時，企業要確保自己能夠快速、完整、干凈地恢復數據。

　　備份并不等于恢復

　　網絡安全市場預計將超過2000億美元。但目前該市場中只有一小部分專注于網絡恢復。

　　過去，網絡中斷或自然災害后的數據恢復非常簡單：企業找到最新的數據備份，并以此為起點，重新啟動和運行。但是，當黑客滲透進備份數據時會發生什么?企業又怎么知道受感染的數據是否在備份數據中又被復制?這些因素都增加了網絡恢復的難度。

　　網絡攻擊看似就發生在一瞬間，但大多數都醞釀了數月之久。根據IBM的一項研究，目前惡意攻擊者在系統中平均潛伏多達277天才能被發現。黑客在悄悄潛伏的同時，還在關鍵環境(包括恢復數據)中植入勒索軟件或其他惡意軟件。事實上，94%遭受勒索軟件攻擊的企業表示攻擊者在攻擊期間試圖破壞其備份。

　　當黑客發動攻擊時，企業自然會急于恢復信息。但這樣做可能會釋放潛伏的勒索軟件，并廣泛感染生產環境。這就是為什么企業要采用更好的恢復工具，并確保備份數據的安全。這和“前線”的防御同樣重要。

　　通力合作，做好網絡恢復準備

　　通常，為了確保在攻擊后自己還能具備一個安全的恢復地點，企業會建立自己的隱藏站點。但這種方法非常昂貴。典型的替代方法是將備份數據存儲在云端，然后就“交給命運安排”。但是現在，企業可以使用基礎平臺，以更低的成本，更輕松地構建安全備份環境，并對其進行恢復測試。這樣在發生安全事件時，企業就能快速重新上線。

　　同時，為了保護備份數據，企業應該采用3-2-1策略。根據該策略，企業要存儲3份數據副本。其中至少2份副本應保存在不同的位置。在這2份副本中，應該有1份是Air gap的——獨立、安全地保存在云端，位于離線中心，只有少數經過認證的員工才能訪問。

　　這樣，當首席信息安全官確定正在發生網絡事件，并發出警報時，負責恢復的團隊就有了一個安全的備份環境。對于驗證目的來說，這個潔凈的存儲庫也很有價值，尤其是在團隊進行審計(通常是每年兩次對所有IT系統進行審查，排查異常，并確保企業保持合規)時。

　　不過，很多企業仍然認為安全問題僅僅和安全團隊有關，而數據備份和恢復才由IT團隊負責。企業內部存在信息壁壘，恢復團隊可能無法及時收到發生安全事件的信息，更無法及時做好相應準備。

　　在當今環境下，安全和恢復團隊不能各自為政。一方面，企業可以進行管理上的調整，確保團隊間的溝通和協作。另一方面，企業還可以采用和相關技術集成的現代化恢復工具，這些技術包括安全信息管理(SIM)和安全編排自動化與響應(SOAR)系統等等。這樣，在生產環境中檢測到可疑活動后，企業可以第一時間向恢復團隊發出警報。

　　AI正在改變游戲規則。在企業研究這項技術的同時，黑客們也在利用它進一步改進他們的攻擊。威脅形勢已經非常嚴峻，企業不能再采用十年前的數據備份策略。恢復必須成為企業內部與防范和檢測漏洞同樣重要的安全考量。

　　企業需要打通恢復和安全技術乃至團隊之間的連接，以整體性的企業IT安全布局，打造真正的彈性，實現網絡事件后企業的更快恢復。