“防御!防御!也许是致力于挫败网络安全攻击的网络安全团队的战斗口号，但或许他们应该喊出的是“恢复!”恢复!”。攻击者对他们的目标的得分越来越高，所以国家标准与技术研究所(NIST)发布了网络安全事件恢复指南帮助组织制定一个比赛计划，遏制对手，并尽快回到赛场上。

随着网络安全事件数量的攀升和攻击类型的多样化，“问题不再是是否会发生网络安全事件，而是何时发生，”该指南的作者之一、计算机科学家Murugiah Souppaya说。

例如，仅2016年第一季度和第三季度，遭遇勒索软件事件的公司数量就增加了两倍。在勒索软件事件中，攻击者将组织的数据作为人质，直到支付赎金2016年12月卡巴斯基安全公告．

除了事件的总体上升，管理和预算办公室发布的2015年网络安全战略和信息计划(CSIP)指出，联邦政府各部门的网络安全响应能力不一致，并呼吁各机构提高这些技能。

CSIP将“恢复”定义为制定和实施计划、流程和程序，以完全恢复在网络安全事件中被削弱的系统。恢复可能和从备份中恢复数据一样简单，但通常需要更多的工作，系统可能会分阶段恢复到联机状态。

回收是风险管理过程中的一个关键环节。然而，没有任何联邦政策、标准或指导方针专门关注网络安全事件的恢复。在这份新报告之前，没有一份出版物在一个地方讨论过恢复方法。

NIST计算机研究人员编写了网络安全事件恢复指南，以巩固现有的NIST恢复指南，如事件处理和应急计划。它还提供了一个流程，每个组织(联邦或其他组织)都可以使用它来创建自己的全面恢复计划，以便在网络安全事件发生时做好准备。

该出版物为开发、测试和改进提供战术和战略指导复苏计划并呼吁组织为每个可能发生的网络安全事件创建一个具体的剧本。该指南提供了处理数据泄露和勒索软件的范例。

本文档还提供了《改善关键基础设施网络安全框架》中“恢复”功能的附加信息网络安全框架．

苏帕亚说:“要想成功，每个组织都需要提前制定自己的计划和剧本。”“然后他们应该进行桌面练习，在团队中了解准备水平，并重复。”

---

了下:行业监管，网络安全

---