执行摘要

像WannaCry和Petya/NotPetya这样的网络攻击给全世界很多组织都造成了毁灭性的灾难。据估计， 最近NotPetya对某全球零售公司的冲击每天都会带来约1500万美元的损失。这家公司花了将近 5 天时 间才恢复过来。如果考虑到晶牌损害、对股价的影响以及恢复成本时，很明显勒索软件带来的真实损 失更是非常惊人。

这次网络袭击和很多类似的袭击一样真有以下特征：

恶意软件在整个环境中传播的速度非常快。NotPetya 在感染系统之后，只用短短几秒钟就形成了 广泛的传播。

对E连程度高的业务来说冲击非常严重。数以百计的重要服务器、台式机和手机都无法正常使 用。超过10000名员工受到了影响。

对供应链造成严重的影响。15多家工厂的生产陷入停顿。这真中包括对实时库存管理系统的冲 击，这些系统的停机直接会影响整个供应链，影响货物的最终装配。

恶意软件利用操作系统中已知的漏洞，并找到入侵组织经常借助的第三万软件。恶意软件被插入 到了这个软件的补丁中。

该组织决定不支付赎金，而是将重点放在恢复上。支付赎金是不推荐的，在这种情况下也不会有 效。黑害承诺收到赎金后提供解密密月，但对恶意软件的分析表明解密密月并不能实现数据恢 复。

良好的检测和预防策略已经实施到位，但并没有阻止事件的发生。良好的恢复策略是使这家公司 重返正轨的关键因素。从磁带上恢复数据的做法被排除在外，因为这么做将花费4个多星期的时 间。

该组织的普遍共识是需要一个更好的网络恢复策略，以便使该组织能够在未来的网络入侵中更 快、更有效地做出反应。

让组织所担心的不仅是网络勒索，尽管网络勒索是增长速度最快的网络犯罪活动。大多数首席信息安 全官员（CISOS）担心所有类型的攻击，包括各种新兴的和传统的网络攻击，针对工业系统等各种领 域，可以置组织于各种危险之中。在一个媒体和娱乐公司的知名案例中，一个有组织的团伙被认为以 复杂的万式攻击了该公司的数据中心，黑害策略性地破坏了服务器、存储和备份资产。这是销毁备份 基础架构的第一个有记录的实例。

黑害破坏备份基础架构是一种新兴的趋势，因为黑害认为对备份系统进行破坏会增加受害者支付勒索 费用的可能性。在2016年11月的一次市级铁路系统攻击中，以及2017年4月纽约州北部的一个地区医 疗中心的备份破坏中，出现了删除备份的情形。对入侵者来说，连接到网络的任何系统都是潜在的目 标，包括备份系统。

因为网络攻击变得越来越复杂和更真破坏性，组织正在考虑采用新的恢复策略，构建组织业务线的“最 后一道防线”。许多组织正在考虑构建相 E 隔离的环境，以托管来自生产网络的业务关键数据。最近的 监管部门指导意见和政府的警告（包括联邦调查局）强调，备份和恢复是良好的网络安全策略的关键。