数据泄露是不可避免的。但它领导者回应它们的方式不是。
快速,有效的反应可以在各级灾难性的结果之间产生差异 - 品牌标识,市场份额和金融健康 - 以及比较无害的结果。
正如不止一位专家所说,不可能阻止所有的入侵,但如果一个响应小组能够阻止攻击者完成他们的任务,甚至减少他们造成的损害,好人就赢得了这场战斗。
使反应有效的很多因素是在反应被发现后的几个小时内发生的事情。包括信用监控公司在内的几家供应商已经发布了一份“检查清单”,列出了在发现漏洞后的24小时内应该做些什么experian.和史密斯安德森他在北卡罗来纳州的一家律师事务所工作。
但是,安全专家,虽然他们同意适应不同组织的需求的清单很好,但没有办法在没有激烈的预先计划的情况下有效地在这些清单上执行这些列表。在一个现实是“当”违规“的世界中,”何时“违规行为会发生,一点最糟糕的偏执是让组织在”比较无害“营地中的唯一途径。
BrandProtect首席营销官格雷格•曼库西-恩加罗(Greg Mancusi-Ungaro)表示:“在一场全面危机中,企业最不希望做的事情就是制定危机应对计划。”“从一个既定的计划开始工作要好得多,这个计划是在选择和程序可以拟定、辩论和修订的时期创建的。”
汤姆埃文斯,Cognia的CSO赞同,称,如果组织没有提前培训和培训以发现和减轻违规行为,那么他们应该做的最好的是,“留下电源,隔离,不接触,致电专家。“
Avecto专业服务副总裁Andrew Avanessian认为,突发后策略是“从根本上有缺陷”,因为它们是“基于恐惧的反应性。”
他说,组织应该有一个数据泄露战略,但应该是“主动的”,这意味着“it基础设施项目将需要更长的时间来部署,但事后花在解决问题上的时间将大大减少。”
Andrew Avanessian, Avecto专业服务副总裁
“即使在SAN中推荐的非常基本的安全步骤也无法满足“前五”或澳大利亚国防部前4,”他说。
AccessData的企业防御架构卢卡斯Zaichkowsky表示几乎不可能进行有效的法医调查,没有“进入现场系统,网络流量,最重要的历史数据。”
而且,他说,需要“具有高保留期限的广泛记录,能够快速搜索企业规模的端点,以便从攻击者访问的系统中检索法证数据的指标。”
不幸的是,缺乏这种规划或准备是常见的。最近调查咨询公司Protiviti在340多位首席信息官、公民社会组织、IT总监、经理和审计人员中发现,34%的人承认自己的组织没有正式的入侵应对计划,另有10%的人表示不知道自己的公司是否有计划。
还有安全供应商兰科和波耐蒙研究所报道在一月份的一项调查中发现,674名受访者中有一半的人表示,事故响应(IR)不到他们安全预算的10%。
一些专家表示,情况很可能比这更糟。Mimecast的技术营销总监和居民安全专家奥兰多·斯科特-考利(Orlando Scott-Cowley)说:“在我看来,这似乎是一个很低的数字。”他补充说,太多公司事后才“谈论P原则——正确的计划和准备可以防止糟糕的表现。”
奥兰多斯科特 - 凯利,技术营销总监,Mimecast
斯科特·考利说,尽管在飓风或龙卷风多发的州,许多重要的金融区或行业都制定了相应的计划,“但其他通常不会感到有必要受到威胁的人往往没有做好准备。”
FireEye狩猎团队经理大卫·j·比安科(David J. Bianco)对此表示赞同。“我预计这个数字会更高,尤其是当你考虑到这一点时,‘我们有一个计划’并不能说明这个计划可能有多好。”
大卫·j·比安科,火眼狩猎队经理
他们说,规划违约应该是一个给予的,因为它几乎是肯定它会发生的。Bianco,Evans,Mancusi-Ungaro和Crowdstrike的服务副总裁和Wendi Rafferty提供了一些违反前计划的建议:
-建立IR团队中每个人的角色和职责,最好有24小时的联系信息,包括第三方供应商,IT & IT安全,高级管理人员,业务部门领导,法律顾问(内部和外部),公关和客户监察员。
-与所有内部利益相关者演练IR场景。
-针对不同的情况起草公关声明,因为当发生违约时,可能没有足够的时间有效地这样做。
-与当地执法部门建立关系,包括联邦调查局和特勤局,以便在发生漏洞时取得联系。这将导致在危机中更快地作出反应。
-购买数据泄露保险。
- 实现基于角色的帐户访问和监控该访问,这将有助于快速识别异常和可能的恶意活动。
培训所有员工发现和系统地报告信息安全事件和险些失手。这可能导致在实际的漏洞发生之前进行检测。
Mancusi-Ungaro说:“公司安全链中越来越弱的一环是员工和家属。”“帮助他们在所有网络活动中保持警惕的重要性再怎么强调也不为过。
“这些威胁几乎来自任何方向——窃取个人信息的流氓电子邮件和网站,或者不仅能访问个人地址簿,还能访问登录和网络凭证的恶意移动应用程序。”
一旦不可避免的事情发生,漏洞被发现?发现后的关键总体目标是让您的组织再次安全,保存证据(就像您为犯罪现场所做的那样,因为毕竟,这就是事实),并保护您的品牌、市场份额和盈利能力。
为了实现这一目标,网上的帖子和与CSO交谈过的专家一致认为,在最初的24小时内,应对措施应包括以下内容:
-记录所有信息,包括泄露的日期和时间,何时被发现,何时开始回复。
Bianco说:“关于发生了什么和什么时候发生的良好信息对你的应对团队、向管理层报告、执法工作以及在法律诉讼过程中帮助保护自己都至关重要。”
-与发现漏洞的人面谈。
-保护发生违反行为的场所以保存证据。Rafferty说:“这包括保存记忆、实时反应数据和离线取证图像,即使它们只是为了以后的分析而存储。”
对此,Zaichkowsky补充道:“在被覆盖之前,快速地保存数据,例如捕获的互联网流量和已知的被破坏端点的不稳定数据。”
- 确定被盗或损害的内容以及如何。
-确定漏洞发生时采取了什么安全措施,如加密。
- 将受损PII与客户名称和地址对齐进行通知。
-通知您的法律顾问、隐私和合规团队,并确定是否需要通知执法部门。
Rafferty说:“确保调查材料可以贴上‘律师-当事人保密’的标签,并且从事件一开始就跟踪披露和通知要求。”
- 准备满足您的通知要求。
- 选择发言人。
-坦率和透明。如果你拖延或试图掩盖泄密的消息,只会延长媒体的审查时间,增加对你品牌的损害。
-通知各利益相关方,包括投资者、管理层、IT、HR、外部顾问、第三方合作伙伴和客户。请记住,数据泄露通知需要的不仅仅是发送表格信件。不同的州有不同的要求。
-为受影响的个人提供身份保护和欺诈解决方案的呼叫中心。
Aviesensian说,像这可能需要很长时间的清单,因为IT专业社区中有“大规模问题”。
他说,大多数后卫不会从战术上考虑问题,因为他们是技术人员,而是“从工具和战术上考虑问题”。
他们还面临着来自董事会的压力,这些董事会由具有销售和财务背景的高管组成,他们希望技术能迅速得到应用,而不是花时间建立安全机制。
最后,安全不是“性感的”,他说。“这必须改变 - 教育是关键。”
这个故事,“违反毯子:遏制伤害,提前计划”最初是发表的方案 。