鑒于數據外泄可以在任何時間發生在任何公司身上,提前準備一份行動計劃是最好的策略。
數據外泄不斷發生。壞消息是,記錄的數目和對客戶的影響的嚴重性沒有一點減少的跡象。
從重要的2007年HMRC(英國稅務海關總署)數據外泄,到最近遭遇的TalkTalk和Vtech,我們一再的看到,不管多大的商業規模或地位,任何人都可能碰到數據外泄。
因此,如果數據外泄可以隨時發生,擬定一份行動計劃是最好的應對策略。Brian Vecci是Varonis的技術傳播者。他建議花更多的時間來確保一旦有人進入,他的行動就會被觀察和控制,而不是把所有能量投入到建造非常高和強的圍墻上。
Jay Abbot是Just Advanced Security Consulting的總經理。他說,當數據外泄發生時,大多數公司都無法檢測到,他們肯定能注意到的是那些攻擊者將竊取的成果公之于世的地方。
系統網絡安全協會推薦一個六點計劃,作為處理事故的響應。它包括準備、鑒別、圍堵、根除、修復和教訓總結。在最近都柏林會議Irisscon上的討論中,來自IDT911的Paul Keane提供了一份事故響應步驟的指南,包含:
數據風險評估管理和轉移風險開發應急響應計劃員工培訓平臺漏洞和滲透測試執行應急響應計劃Gavin Millard是歐洲Tenable Network Security的CTO。他認為推薦步驟應該包括:
事故鑒別圍堵以確保外泄沒有造成更大的影響根除修復經驗總結Abbot說,不是遵循一個固定公式,計劃幾乎總是提前制定的,但一定要包含一套基本操作:
建立正發生的事把必需的當事人集中到一起使事件可控減輕副作用管理外部消息傳送照常營業教訓總結改進顯然,軟技能和和技術能力的結合是需要的。因為如果一次數據外泄發生,肯定存在一些技術能力的弱點。現在重點是創建更加安全的文化。
Javvad Malik是AlienVault的安全提倡者。他說,任何好的應急響應方案應該包含如下3個關鍵步驟:
劃定資產的優先次序。
捕捉基準。
理解:最重要的資產就是如果它落到壞人手中,會嚴重損害你的商業利益。
他還推薦指導和記錄行動內容,發布定期升級,因為應急響應團隊成員(尤其是IT以外的人)需要對自己的角色和責任有充足的指示、引導和指導。
最后,與執行高管們溝通,分享你對公司當前安全態勢的分析,回顧業界發展趨勢,關心的關鍵領域,以及向高管們提出的改進建議。
首要優先考慮的是停止敏感數據的泄露,這件事要優先于其他業務,以確保獲取所有合適的資源來阻止任何更一步的信息損失。
因此,技術修復最好的建議適合以下的共同主題:
識別圍堵根除軟技能適用于對員工進行各個級別的培訓溝通經驗總結識別理解發生了什么,攻擊者怎樣進入的,或者數據怎么出去的,并且確保你的數據庫沒有再泄露什么內容。知道你是什么情況和態勢,且能從這種狀態開始----這是第一步。
圍堵
攻擊者出去了嗎?也應該在應急響應開始階段確保沒有其他東西離開商業。或者,它是容易理解的一次性事故嗎?職員或部門人員已經能鎖住該情況以確保他們理解什么出毛病和如何阻止它再次發生嗎?
根除
處理問題并聚焦于去除和恢復受感染的系統。系統網絡安全協會保證,通過做一份完整的系統硬盤驅動器的重置映像,以及用反病毒軟件掃描受感染系統和文件等操作,可以去除受感染系統的惡意的和其他非法的內容。
員工培訓
談到軟技能,防御的第一道防線是你的員工,讓他們了解正在發生事情的最新情況,并且在關鍵點上采取行動。泄露是因為病毒軟件感染嗎?病毒軟件怎么進來的?或者,是因為某位員工的操作?下次可以避免這種操作嗎?不要只是盯著下面的員工,把董事會也拉進來,并且保證整個企業正買進安全文化。
溝通
隨著整個商業買進你的安全文化概念,下一步是當提到外部溝通時,每人在同一排。你的IT政策應該已經包含不準發微博或在公司瑣事上更新,并且在IT發布的時候你應該強調對沉默的需要,以及強烈阻止任何可能產生更遠問題的評論。想想“走漏風聲會沉船”。
經驗總結
你能輕易地收拾殘局,然后從事件中恢復過來嗎?如果是,那么你正好在恢復照常營業的路上。某些情況下,如果被媒體報道了,泥巴可能會糊住一會,也會有要處理的數據保護調節器。遵循其他引人矚目的數據泄露受害者的例子,從你吸取到的經驗教訓中變得更強,理解是什么出錯和確保你有防止案件再發生的策略。
京公網安備 11010502049343號