许多勒索软件恢复工作都是以同样的方式开始的。有人拿出灾难恢复计划，另有人联系备份服务商。然而，这份原本可能是针对自然灾害或误删情况设计的计划，一旦面对现实，便会彻底崩溃。

各组织在恢复准备度方面存在显著且顽固的差距，即便是那些在威胁检测和防御方面投入巨资的组织也不例外。这表明问题在于结构层面。数十年来，各组织一直致力于构建安全体系并提升预判威胁的能力，却仅将极少的时间用于提升恢复能力。而像Mythos这样的前沿人工智能模型，正揭示了为何这种疏忽会酿成代价高昂的错误。

对于勒索软件运营商而言，原本就已很低的准入门槛，很快将几乎不复存在。如今，只要攻击者足够有动力，他们几乎可以突破任何防御。一年之后，随着合适的人工智能模型能够自主嗅探出漏洞，他们甚至可能无需具备太强的动机。

未经测试的恢复方案所带来的代价正在不断攀升。如果贵组织仅从“如何更快地检测威胁”这一角度来审视这些变化，那就意味着问题的一半仍未得到解决。

哪些组织总是犯错

下文所述的失败案例并非仅见于安全措施薄弱的企业。在那些拥有成熟检测机制、强大团队和充足安全预算的公司中，同样会出现此类问题。其共同点在于：与检测能力相比，恢复能力所获得的投资和测试都相对较少。

备份信心差距

这是最危险的失败，因为它让人感觉问题已经解决了。

您有备份。任务已完成。仪表盘显示为绿色。您向董事会汇报备份已就绪。您勾选了确认框，然后就继续处理其他事务了，这可能已经是几年前的事了。

随后，攻击便发生了。面对一个已经摸清环境布局、掌握特权凭证，并蓄意针对备份基础设施发起攻击的对手，这些备份能否幸免于难？

在实际项目中，Fenix24经常发现备份基础设施与生产环境位于同一网络段。我们发现所谓的“不可变”代码库中，服务账户仍拥有删除权限。我们还发现，有些备份任务虽然多年来一直显示成功完成，却从未有人验证过完整恢复是否可行。

勒索软件运营商之所以将备份作为攻击目标，是因为只有通过备份，受害者才能在不支付赎金的情况下摆脱困境。能够自主绘制环境地图的Frontier AI模型将使这种攻击更加精准。如果一个模型能够发现整个操作系统中的漏洞，它就能找到贵团队三年前搭建后从未迁移过的备份服务器。

可靠的备份必须具备不可变性（即即使攻击者持有管理员凭据，也无法修改或删除备份）、隔离性（即受损网络无法访问备份环境）以及经过验证的恢复能力（即已对完整恢复过程进行过测试，而不仅仅是确认任务已完成）。许多组织仅具备这三项中的其中一项。同时具备全部三项的组织则少之又少。而那些同时具备这三项的组织，通常是因为曾通过惨痛教训了解到，若不具备这些条件会发生什么。

RTO小说

您的RTO规定为48小时。该指标被纳入计划，提交至董事会进行汇报，并已成为组织对风险共识的一部分。

很好，但是……目前还没有人针对“身份信息遭泄露、备份访问受限且团队通信受阻”这种情况，对完全恢复所需的时间进行过测算。那种所有人都手持备忘录、且SIEM系统正常运行的桌面演练不算数。在计划维护窗口内从备份恢复单个系统的情况也不算数。

一次有意义的恢复测试必须假设最坏的情况：身份验证系统已瘫痪，备份访问受限，通信质量下降，半数团队成员在彻夜未眠的情况下做出决策，而首席信息安全官（CISO）正身处无手机信号的狩猎之旅中。

在几乎每一次合作中，我们都能看到未经验证的恢复时间目标（RTO）所带来的后果。纸面上的数字与实际情况往往相去甚远。当两者出现偏差时，后果将不断累积：收入损失、运营中断、客户流失、声誉受损，以及监管风险——而组织此前从未将这些风险纳入其风险评估体系，因为他们一直依赖着一个从未经过验证的数字。

身份重建

Active Directory 几乎总是攻击的核心。因此，它也应当成为恢复计划的核心。实际上，我们看到许多针对应用程序和数据库恢复的成熟且组织完善的计划，但一旦话题转向 AD 恢复，却便陷入沉默。没有离线备份，没有记录在案的重建流程，没有经过测试的重建时间估算，也没有明确的答案来说明哪些域控制器是安全的、哪些服务账户值得信赖，以及如何安全地恢复特权访问权限。

这一点的重要性远超大多数恢复计划所承认的程度。在身份信息得到重建并验证无误之前，下游的所有环节都不可信。应用程序、数据库、终端、文件共享、管理员访问权限、服务账户、云集成、特权工作流——所有这些都或多或少依赖于身份信息。如果身份信息遭到泄露，所有依赖其进行身份验证的环节也将随之受到影响。

那些在身份恢复方面表现出色的组织，都是经过实战锤炼的。他们拥有离线的AD备份，并制定了经过测试的、有据可查的流程，用于从干净状态重建系统。他们清楚整个过程需要多长时间，因为他们已经进行过实际测算。而其他组织，往往只能在职业生涯中最糟糕的一周里才找到答案。

依赖盲点

当环境崩溃时，总会有人提出一个决定恢复速度的关键问题：“什么会最先恢复？”

在许多组织中，答案只存在于某位工程师的脑海中。有时，答案甚至无处可寻。

恢复并非一长串系统的简单罗列，而是一系列有序的步骤。如果某个ERP系统所依赖的数据库仍处于离线状态，你就无法将其恢复；如果应用程序所依赖的身份验证基础设施尚未重建，你就无法让这些应用程序上线；如果支撑关键工作流的网络、存储、DNS、密钥和服务账户缺失或遭到破坏，你就无法恢复这些关键工作流。

如果没有最新的依赖关系模型，恢复团队就会因按错误的顺序重建系统而浪费宝贵的时间。他们会在应用程序所依赖的基础设施尚未就绪时，就将其恢复上线。在恢复过程中，他们往往在压力之下才发现缺失的依赖项，而此时业务已遭受重大损失。原本只需几天就能完成的恢复工作，却因从一开始顺序就错而拖延数周。

大多数组织的资产数据分散在数十种工具中。这些数据不仅过时，还存在自相矛盾的情况。配置管理数据库（CMDB）显示一套数据，网络团队给出的又是另一套，而那位曾掌握全局情况的应用程序负责人八个月前已离职。在正常运行条件下，这种数据分散已令人困扰；而在紧急恢复期间，其危害更是灾难性的。

恢复速度最快的组织并非在事件发生时才解决这个问题。他们早已了然于胸。关键系统（Tier 0）已被明确标识。系统依赖关系是基于实时数据绘制的，而非静态图表。恢复流程是根据实际关联关系生成的，并在需要之前就已过测试。而其他组织则是在时间紧迫、信息匮乏的情况下，从零开始制定计划。

和平时期与战时之间的脱节

安全计划是在和平时期设计并记录的。在和平时期，SIEM系统正常运行。安全运营中心（SOC）人员齐备。只需一个电话，取证合作伙伴即可到场。人员精力充沛。通信畅通无阻。决策可以经过数天或数周的讨论。

战时则恰恰相反。

那些在战时应对得当的组织，通常在和平时期就已进行过相关演练。它们通过模拟演练，测试了在恶劣条件下开展恢复行动、协调工作、安排顺序以及做出决策的能力。它们由此发现了哪些环节可能会出现问题。

那些苦苦挣扎的组织原本以为，一旦局势全面失控，原定的计划还能奏效。而由人工智能压缩的攻击时间表，只会火上浇油。

后前沿时代人工智能世界的韧性与复苏

在实际攻击中，关于弹性与恢复能力的大多数假设都会失效。

• “不可变备份”结果证明终究并非不可变。
• 不仅数据会遭到破坏，基础设施也会遭到破坏。
• 资产和依赖关系映射不充分会导致数天甚至数周的停机时间。
• RTO 和 RPO 并不切实际。

在探讨韧性未来时，分析师们已将所有观点娓娓道来。想要获取构建和实施真正网络韧性的蓝图吗？请下载Omdia最新发布的技术验证报告《借助Fenix24构建和实施韧性》。

什么决定了你能否生存

有三个关键因素，区分了那些能够迅速恢复的组织与那些在迷茫中蹉跎数周（甚至无法恢复）的组织。Frontier AI 并未改变运作机制，而是提升了运作速度。这使得每个因素都变得更加关键，而非次要。

身份验证必须优先恢复。这一点不容商榷，而这也是大多数组织最缺乏实践的环节。 在现代勒索软件攻击中，Active Directory 和身份识别基础设施往往是首要攻击目标。因此，它们也必须是最先恢复的对象。在身份识别系统重建并验证无恙之前，下游的所有环节都不可信。应用程序、数据库、服务账户、特权工作流、云集成——所有这些都以某种方式依赖于身份识别进行身份验证。AI 加速的攻击并未改变这一依赖链，它们只是大幅压缩了您做出响应的时间窗口。

备份必须能够抵御攻击者的入侵，而不仅仅是应对硬件故障。大多数组织都有备份。但其中大多数的备份无法抵御这样的攻击者：他们持有有效的凭证，熟悉您的环境，并且确切知道备份基础设施的位置。针对硬件故障或意外删除设计的备份策略，与针对拥有特权访问权限的智能攻击者设计的备份策略是截然不同的。

恢复必须遵循真实的依赖链，而非假设的依赖链。如果 ERP 系统所依赖的数据库仍处于离线状态，就无法恢复该系统。如果支撑的基础设施缺失或受损，就无法恢复关键工作流。恢复是一个序列，且该序列必须正确。在大多数组织中，未映射的依赖关系是导致恢复延迟的主要原因之一。 基于实时遥测数据构建的自动化依赖关系映射——这种映射能随着环境变化而保持最新——正是区分“反映现实”的恢复计划与“仅反映上次有人更新电子表格时状态”的恢复计划的关键所在。

这三个因素在五年前成立，五年后依然成立。Mythos和前沿人工智能所改变的，是判断失误的代价。当攻击速度快于人类反应速度时，恢复准备工作中的每一个漏洞都会变得代价更高、更加显而易见。

值得报告的恢复指标

如果贵公司的董事会报告仅涵盖检测环节而未涉及恢复环节，现在正是做出改变的时机。这些指标与检测指标一样，信息安全总监（CISO）可以同样严谨地进行汇报，它们将彻底改变讨论的基调。

实际恢复时间。并非文档中记载的恢复时间（RTO），而是针对真实入侵场景在恢复演练中测得的实际时间。请报告该数值以及最近一次测试的日期。

备份生存率。指同时满足以下三项标准的备份存储库所占的比例：不可变、分段存储、且已通过完整恢复验证。这是一个综合指标，董事会可据此长期跟踪其变化情况。

0级依赖关系覆盖率。指关键应用程序中已完全映射依赖链并记录了恢复流程的占比。该指标反映了恢复工作中有多少是经过规划的，又有多少是临时应变的。

身份重建时间。从初始状态重建 Active Directory 所需的时间。如果该数值未经测试，请注明“未经测试”。

未来90天该做什么

您无需一蹴而就地解决业务恢复准备工作，但“Mythos窗口”确实存在。目前，高管们的关注焦点正集中在人工智能带来的威胁上。在接下来的一个季度里，推动业务恢复相关投资的决策将比以往任何时候都更容易。

验证备份的抗破坏能力。测试备份能否经受住攻击者蓄意破坏的考验。测试备份的不可篡改性、分区存储以及完整恢复功能。如果无法在内部有把握地完成这些测试，请聘请专业从事勒索软件恢复测试的公司来协助完成。

绘制决定恢复顺序的依赖关系链。识别第 0 层系统。记录哪些应用程序依赖于哪些基础设施。基于实际关系而非假设来构建恢复顺序。如果您的环境足够复杂，这需要能够关联整个基础设施实时遥测数据的工具，而不是那种甚至在您点击“保存”之前就已经过时的电子表格。

获取一个经过验证的恢复指标。针对最坏情况的假设（身份信息遭泄露、备份系统受攻击、通信中断）进行恢复演练。记录耗时，并找出团队受阻的环节。这一数据将成为您的基准，也是您向董事会汇报的指标。

在报告检测结果的同时，也要报告恢复情况。请将上述指标纳入您下一次的仪表盘更新中。将检测与恢复呈现为同一幅图景的两部分。这种对比效果不言自明。

恢复能力缺口并非静态风险，不会在您方便时才需要重新审视。它们是价值不断贬损的资产。每拖延一个季度，环境就越发难以把握，依赖关系就越发复杂，而对手的能力曲线也会进一步领先于您的恢复能力。

首席信息安全官（CISO）多年来通过证明自己能够降低风险，才赢得了在决策层中的一席之地。未来十年，关键在于证明你能在遭遇数据泄露时仍能维持业务运营。这需要不同的能力、不同的投入，以及与管理层进行不同的沟通。能够及早领悟这一点的企业将能够恢复元气；而未能领悟的企业，则将花费数周时间去汲取本可在平静时期就学到的教训。

立即开始进行韧性评估

您的备份能否经受住有预谋攻击者的考验？Fenix24 的韧性评估能在安全事件发生之前，对您的环境进行全面测试。

韧性评估由我们的企业级韧性平台 Argos99 提供支持，该平台通过关联整个基础设施的实时遥测数据，全面映射每项资产、依赖关系及漏洞。这意味着 Fenix24 的韧性评估不仅关注任务状态，更在应用程序层面评估备份覆盖范围。它能清晰展示各项组件之间的依赖关系，并据此生成恢复序列。我们所有的评估都基于从数百次实际数据泄露恢复案例中汲取的经验。

请不要再进行那种照着清单打勾的审计了。这类审计往往只是为了证实您自以为已知的事实，而非揭示真相。请立即安排您的韧性评估。欢迎致电 423.305.7890 或发送邮件至info@fenix24.com 与我们联系。