30分钟到入侵城：快速响应比备份更重要吗？

维护高质量的备份通常被视为任何组织快速从网络攻击中恢复的核心能力。自然地，考虑到各类专家对备份的强调，你可能会认为将备份置于其他任何事情之上是正确的做法。

寻求网络安全指导的小型企业可能会查阅英国国家网络安全中心 (NCSC) 的相关指南。在指南最显眼的位置，排在其他任何内容之前的，是备份业务关键数据的重要性以及做好备份的五大技巧。

需要澄清的是，《The Reg》并不是在此表示英国最权威的网络安全专家们错了，也不是说备份不重要。绝对不是这个意思。然而，不能忽视的是（而这在 NCSC 的指南中被忽略了）及时的事件响应以及威胁被检测和清除的速度对组织从攻击中恢复的影响有多大。

例如，英国网络安全咨询公司 Bridewell 最近的研究 [PDF] 调查了影响关键国家基础设施 (CNI) 组织的网络威胁环境，发现对威胁检测的响应速度惊人地缓慢。大多数受访者 (69%) 表示他们需要长达六小时才能响应勒索软件攻击，这意味着近三分之一的组织甚至需要更长的时间。

作为参考，该咨询公司表示，任何超过一小时的响应时间都值得担忧，而对于 Huntress 的高级 SOC 经理 Dray Agha 来说，即使一小时也是不可接受的长时间等待才启动紧急协议。

他告诉《The Register》："我们训练我们的分析师，如果你在 30 分钟内没有解决关键入侵，你就给客户带来了业务风险。所以，一小时太长了。"

"我们遇到过一个攻击者，他入侵后在 17 分钟内就进行了大量配置更改，这些更改非常昂贵且让所有人都很难清理。仅仅 17 分钟，而他们甚至不是那么高明的威胁行为者。他们甚至不是那么厉害的网络犯罪分子。"

"我们遇到一些网络犯罪分子，他们能够在进入环境后基本上自动化他们的恶意行为。所以现在，每一秒都很重要。这就是我们所处的水平。因此，当我看到有人需要几个小时时，我想，我们简直是在完全不同的维度上运作。"

他接着说，速度不仅仅是解决方案的一部分，它就是整个解决方案。他宁愿防御者在几分钟内响应并完成一个五分之十的初步清理工作，也不愿太晚才实施一个完美的计划。

当然，不同情况有不同的严重程度，在这种情况下我们谈论的是最糟糕的情况，但观点依然成立。在几分钟内，技能平平的黑客就能够进行破坏性的配置更改，例如在 VPN 网关上创建超级特权管理员账户。简单的调整却带来复杂的威胁，而这一切通常都不被察觉。

备份等一下...

这正是备份通常发挥作用的地方。可能犯罪分子已经在网络中建立了持久性，但即使他们被允许逗留一段时间，一旦被检测到，组织可以恢复到他们确定未被入侵的时间点。备份再次胜出...

然而，情况并非总是如此，这种方法的主要问题之一是组织往往对其备份和/或恢复计划有一种虚假的安全感。

调查人员经常被派去调查，却发现几个月来没有进行备份，或者 IT 团队认为备份是持续创建的，但后来发现这只适用于少数几台服务器。我们还听说过灾难恢复计划已经制定但未经测试的案例，或者更糟的是：计划已经制定，但没有人想到打印一份模拟副本，而勒索软件已经损坏了文件，使其在数字上无法访问。

即使备份运行完美，组织和事件响应人员也经常面临相互竞争的优先事项。业务领导者认为他们需要尽快恢复运营，如果备份能做到这一点，那么应该利用这一资源。这就是他们花那么多钱维护备份的原因。

但随后安全人员进来告诉业务人员要冷静，暂时不要动用备份。数字取证专家需要时间进行彻底的事件分类并堵住导致组织陷入危机模式的漏洞。

考虑到业务停机的成本，延迟恢复对安全负责人来说是一个难以争取的论点。然而，直接从备份恢复通常会抹去进行严重事件根本原因分析所需的关键数字取证证据。

"这是一个真正艰难的平衡，没有一个绝对正确的答案，"Agha 说。"最佳解决方案显然是拥有一个合理的灾难恢复计划，提供逐步指导，比如，复制这些被入侵的机器，提取取证数据。"

"有各种工具可以为你做这些。你不必是专家。然后你可以重新映像这些机器，使用你的备份让客户恢复正常业务。但我们在勒索软件中看到的最大错误是认为从备份恢复可以解决所有问题，事实并非如此。"

因此，可以说事件响应对组织从灾难中恢复的能力的影响可能与备份一样重要。那么，组织如何正确进行事件响应呢？

金钱，金钱，金钱

事件响应和备份的一个共同点是金钱。你需要大量资金才能做好这两件事。

对于事件响应，有两个主要因素影响其有效性：工具和操作人员。一些工具是免费的（大多数不是），在有合适操作人员的情况下可以有效，但雇佣熟练的网络安全专业人员来使用这些工具绝对不便宜。他们通常也供不应求，但这不是将安全工作推给现有 IT 人员的借口。

"有些人会外包这项工作，这完全可以接受，"Agha 说。"其他人会假设安全可以只是添加到 IT 已经膨胀的责任中。这是行不通的。"

"如果你期望你的系统管理员、帮助台人员也能够查看你的防病毒产品、安全解决方案和 EDR 并做出响应，你就做错了。你需要一个知道自己在做什么的训练有素的安全操作员，你不需要很多这样的人，这取决于你组织的规模，但这就是确保你给自己提供充分和公平的方式来应对入侵的明确方法之一。"

金钱是良好恢复和糟糕恢复之间的关键区别因素，因此这是组织保持安全所需的。如果只是这么简单就好了。

如果企业有一年没有发生任何重大入侵，也不能削减安全预算。特别是对于资金紧张的中小企业，组织内部需要有人能够持续倡导健康的安全预算，并用关键决策者能理解的语言与他们沟通。

对于资金不足的公共部门组织和关键国家基础设施的运营商，有一种观点认为，中央政府在这些领域的安全资金方面应该发挥与推动相关立法同等重要的作用。

部门间的资金争夺无疑将持续多年，但在组织能够为其安全团队配备所需的每一种能力之前，最好是穿上那双网络冲刺鞋，确保尽快启动事件响应。