文章总结： 文章指出行业把网络韧性窄化为勒索软件恢复，忽视数据泄露、身份攻击、云中断及自然灾害等更广泛的业务中断风险；呼吁将网络韧性重新定义为由技术增强的任何系统受损后的恢复能力，要求备份方案与灾备流程统一，并确保业务连续性团队而非仅安全团队主导，以覆盖犯罪、基础设施异常与物理灾难全场景。 综合评分： 82 文章分类： 安全建设,数据安全,网络安全,安全运营,应急响应

停止将“网络韧性”与勒索软件修复混为一谈

何威风 何威风

祺印说信安

2026年1月21日 00:00 河南

Jason是Data Protection Matters的首席分析师，这是一家专注于数据保护、网络弹性、BaaS-DRaaS和BC/DR的独立公司。

几乎所有IT备份公司都有其“专为特定场景设计”的理念，这似乎都是网络弹性的一种变体。诚然，这个市场已经发展或重塑了一段时间：

•从“备份”到“数据保护”，包括复制和快照

•从“保护”到“恢复”，因为备份太枯燥（市场需求低），而恢复才是你真正想要的。

•从之前的“战术性”版本到“战略性”灾难恢复，这与业务影响相一致，并能够根据规模、速度和复杂性实现解决方案之间的更大差异化。

•从“灾难恢复”到“业务连续性”，是因为灾难恢复以IT为中心，而业务连续性中的“业务”需要组织更高的优先级、更充足的预算和更强有力的支持。

•从“业务连续性/灾难恢复”转向“网络韧性”，因为虽然洪水和火灾发生的可能性似乎不大，但勒索软件攻击几乎不可避免。

抛开术语不谈，这就是我们所处的境地，而这由两个事实所定义：

•勒索软件攻击可能像许多人认为的那样，构成生存威胁。

•虽然网络安全/业务连续性/灾难恢复可能是当今流行的热门词汇，但您的补救解决方案的基础是“备份”——即使这不是市场营销所谈论的内容。

在考虑网络安全韧性时，需要注意以下三个问题。

1.你把问题过于简单化了。

虽然安全和IT专业人员可能正在努力跟上形势，但大多数用户仍然只关注网络安全准备的两种简单理解：

•务必警惕网络钓鱼，这一点在今天仍然至关重要。

•勒索软件被认为是“通过比特币赎金来获取解密魔法棒，从而对数据进行加密”，其最大的担忧是数据解密之前生产力的损失。

但攻击面和攻击方法正在发生变化。虽然数据加密仍然很常见，但数据泄露却越来越普遍。尽管您现有的备份/恢复功能或许可以帮助您恢复加密后的数据，但在数据泄露攻击中，备份功能的作用就微乎其微了。无论您的生产数据是否加密，您的备份解决方案都可能无法找回已被泄露的数据，从而避免被恶意利用或公开泄露。

此外，当前的攻击焦点与其说是数据，不如说是身份。即使生产系统无法访问或未受影响，恶意攻击者也能通过破坏身份信息来有效阻止您访问生产数据。他们无需入侵您的数据中心或云应用程序就能瘫痪您的业务。他们只需禁用您的身份验证功能，使您无法访问众多生产平台，从而将您排除在业务流程之外。

2.许多网络攻击并非由坏人造成。

请再读一遍最后一段。即使其他一切功能正常，仅仅是与应用程序断开连接就可能导致服务中断。这一点至关重要，因为并非所有平台访问中断都是由恶意行为者造成的。

仅在2025年的最后几个月，AWS、Azure以及最引人注目的Cloudflare都发生了服务中断。每次中断事件中，生产平台均未受损，用户系统也未受到影响。但由于中间环节出现故障，用户无法访问生产数据。

十年前，用户与生产平台之间唯一的连接点是一根网线。而如今，用户与组织赖以生存的系统之间横亘着众多服务提供商、安全工具和电网。任何中间组件的中断，无论是意外还是恶意，都会对业务流程造成与恶意攻击者成功入侵并阻塞生产系统同样严重的后果。

3.洪水、龙卷风和飓风仍然会发生。

虽然这看起来显而易见，但勒索软件的指数级增长和人们对它的重视并没有相应降低贵组织在火灾、洪水、龙卷风、飓风、地震或电网故障方面的脆弱性。

事实上，虽然自然灾害的发生频率与过去持平，或者由于气候模式的变化而略有增加，但由于各组织越来越依赖其业务所依赖的IT系统，每次灾害对企业的实际影响比几年前要大得多。

尽管如此，一个令人不安的趋势是，各组织机构在应对勒索软件方面投入过多资源。通常情况下，当网络安全韧性计划完全由安全专家主导时，会导致与威胁行为者没有直接关系的韧性计划资金不足。

相反，预防和应对勒索软件事件的方法应该是传统IT灾难恢复的准备和补救活动的超集。前期需要做更多的工作（预防/检测），补救过程中也需要采取额外的步骤（识别干净的数据/基础设施）。然而，IT灾难恢复和勒索软件恢复的速度、规模以及替代基础设施策略和操作手册可以而且应该保持一致。

我们需要重新定义网络韧性。

从前，“网络”一词的含义更为广泛，指的是任何“建立在技术之上或由技术增强”的事物，从科幻小说中的半机械人到网络欺凌和网络战，而非如今人们印象中那些穿着连帽衫、索要比特币的不法分子。更广义地讲，“网络韧性”应该定义为组织在任何网络（技术）系统遭到破坏时所具备的韧性——无论破坏的原因是犯罪行为（勒索软件）、基础设施异常（云服务中断）还是物理灾难（自然灾害）。

除非我们拓宽网络韧性的定义并完善应对策略，否则我们将继续自认为已做好应对勒索软件的准备，但实际上仍会像以往一样受到云服务中断的影响。为了评估您的网络韧性是否超越勒索软件的范畴，请向您的团队提出以下两个问题：

•我们组织网络弹性战略的主要利益相关者是谁？如果他们都在信息安全团队，那么你们的网络弹性战略可能只针对勒索软件。

•我们针对云服务中断和物理数据中心灾难的准备和补救策略是什么？如果这套方案没有像勒索软件事件响应计划那样得到全面评估和记录，那么（再次强调）你的网络弹性策略可能只针对勒索软件。

想想你的组织在Cloudflare、CrowdStrike、AWS或Azure服务中断期间做了什么，然后决定你的组织在应对“网络”依赖项中断方面有多少“弹性”。

是时候拓宽网络韧性的定义了。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：祺印说信安 何威风 何威风《停止将“网络韧性”与勒索软件修复混为一谈》