企业应该注重数据共享事件后，不归属

拉斯维加斯 - 目前已在今年的新闻几个著名的安全事故，从医疗保健和零售违规，财务;甚至安全公司本身已经有针对性的。

在每一种情况下，归属似乎采取事件响应过程中的铅，一些组织应该抵制。关键是收集正确的信息，并将其传递到正确的人。当谈到搞清楚谁做到了，他们在哪里，当局是谁应该带头的 - 专注于这一领域的第一次是在浪费资源和时间组织。

美国司法部长埃德·麦克安德鲁（DE）谁拥有多年的在他的皮带与基于互联网的违法犯罪工作经验的情况下，最近对CSO Online和提供一些独特的见解事件的响应联邦侧，什么组织可以做的更好的执法介入做准备。

安德鲁说，而不是专注于谁负责，组织应该抵制这一点，并指导他们的精力用于破坏和减少数据丢失，同时提供详细资料，以执法，使他们能够在那些确定谁犯了罪，什么动作需要对他们采取 - 这是否是捕获和起诉或破坏和威慑力。

“遭受网络攻击的组织都是受害者。像许多其他类型的犯罪，网络犯罪无法得到有效查处，受害者的帮助下起诉。及时和有意义的信息共享是我们的能力极为重要，以帮助减轻这些罪行，并于尽可能防止其继续和复发，”安德鲁说。

如何检测违约会有所不同。有时，组织被告知违反由第三方的，但有些是能够自我检测。不管如何发生的发现，执法需要联系得知此事，而应该是组织接触本地或联邦当局？

这个问题听起来很简单，但一些规模较小的组织，路数也可能会考虑国家警察甚至地方当局接触的第一线。这是错误的。

“企业应与联邦执法机构 - 尤其是美国联邦调查局和/或美国特勤局的网络入侵和产生的ID和IP盗用是，由于其本身的性质，洲际或国际性的网络行为往往受害多个组织过程中。雷竞技比分同一时间段，在网络参与者和受害者双方往往跨越多个司法管辖区和国家蔓延，”麦克安德鲁解释说。

通过进入联邦，该组织将启动一个进程，使一个高效，全面的调查。任何情况下，是完美的，但调查和记录两侧（受害者和肇事者）所采取的措施的能力是归属，缓解和起诉的关键。

“联邦调查局和特勤局最好的装备和定位有效和高效地开展这些国家和国际网络调查，”安德鲁补充说。

这导致了后续问题，是否有联邦通知任何限制或规则？

“由于网络参与者的多重目标，并在进攻和组织的影响的方式不断演变，没有刚性需求，以最终被调查的案件，没有单一的标准，当涉及到联邦通知要求受害组织。有超过50个关于网络安全和数据隐私的联邦法律，不同的行业和领域往往是由不同的标准约束，”他说。

当涉及到应当收集并提供给执法部门的信息，安德鲁指出，优先级资产将每个调查有所不同，但一般执法有兴趣，可以用来识别肇事者的数据，以及该涉及数据定时和违反，数据泄露的方式，任何破坏性的或破坏性的活性。

“任何现有系统日志，SIEM数据，IDS，DLP，端点数据，网络和数据流映射可能提供深入了解这些问题，是最有帮助的调查，”他说。

但是，一些组织将不愿共享的完整细节。即便如此，与非执法人员进行了内部调查报告或法医检查数据应该反正共享，甚至部分信息。

“虽然执法机构可以为约一个网络事件尽可能详细的信息时，提供最好的帮助受害者，我们要围绕政府的调查数据共享复杂的法律和商业问题非常敏感，”安德鲁补充说。

执法，他说，认识到企业必须平衡的竞争，当时的角色：刑事被害人;从联邦执法之外的政府和非政府实体询问目标;与民事诉讼的当事人。

“联邦执法机构可能只寻求的信息是必要进行调查。”

向前转移，我们问安德鲁解释调查过程和它的一些复杂性。

“即使是简单的网络犯罪调查过程而言是复杂的。对于犯罪的所有基本要素行为的归属是一个成功起诉的关键。寻找证据超出了受害者的网络和设备是为了证明刑事案件同样必不可少。即使实通过特定的个人犯罪活动的证据可以开发，它们的位置超越美国经常接壤延长 - 如果不是出轨 - 逮捕和起诉，”他解释说。

如果调查人员全部成功的这些步骤，他们也许能说服个人目标与调查其他目标和其他网络犯罪合作。虽然这个过程发生，刑事诉讼可能会延迟或留在公众的视线了。因此，重大案件可能需要几年时间从成立到实际的定罪量刑发展。

“除了进行这些极其复杂的调查和国际网络犯罪的起诉，执法机构越来越多地寻求到帮助企业更好地保护自己免受持久性的网络威胁打缓解威胁的有点非传统的角色。事实上，美国能源部司法部计算机犯罪与知识产权处最近创建的，致力于这一目标网络安全单位，”安德鲁说。

每个案例是一个艰难的情况下，从开始到结束，并麦克安德鲁解释说，进展速度，容量，区位混淆和加密只能让工作多年来努力。

“我所面临的不断变化的技术环境中最困难的情况下，涉及到每一个高品质的运营安全进行他们的活动，身份和关系，彼此难以跟踪威胁演员的群体，”他说。

“这些同类型的案件往往涉及位于不同地点的多个灾民。调查什么是在数据泄漏响应义务的当前气候持续的罪行被日高走钢丝。每一个网络的情况下是每一个受害者的危机。剩余的敏感竞争在一个未知的尺寸的持续伤害的脸放在受害者的要求是一项持续的挑战“。

因此，当发生严重违约情况，不注重归属，专注于恢复和减轻损坏和数据丢失。在此之后，专注于尽快获得必要的信息，以执法，同时开始通知客户和那些合适的时间框架内影响的过程。

除了日志和其他以前的技术资料，安德鲁已经创建的信息组织的清单应该准备与执法份额。

CSO在线转载了下面这个列表：

• 身份和联系信息，负责事件响应（法律，IT，高级管理人员，外部顾问等）的各个组成部分的个人。

• 事件发生以来的发现有关这一事件的发现和步骤的信息采取。

• 有关可能与当前事件过去事件的资料。

• 关于过去与约等事件执法机构的联系信息。[这可以允许LEA快速交叉引用的历史信息。

• 信息系统和涉及的组件和它们的位置的识别。

• 签名检测到恶意软件，间谍软件等

• 有关这一事件的系统日志（DNS，服务器等）。

• IP地址和其它标识被认为参与该事件。

• 网络地图，位置和数据流与所述事件，包括供应商和云服务提供商。

• 数据丢失防护（DLP）的信息。

• 入侵检测系统（IDS）的信息。

• SIEM信息和日志相关性信息。

• 有关这一事件的端点管理和访问控制信息。

• 对于与事件有关的防火墙和防病毒，防垃圾邮件，防间谍软件，恶意软件和钓鱼攻击防御网络的信息。

这个故事，“企业应该注重数据共享事件后，不归属”最初发表CSO 。