這件事讓安全專家想起了幾年前從幾位從事微軟安全問題通信工作人員那里獲得的經驗和教訓。微軟安全事件通常以各種細節出現在新聞中，但其安全通信團隊通常對此保持沉默。專家開始以為他們不了解面臨的安全問題，但后來發現他們在等待后續解決方案，或者仍在調查一些事實。

 

率先發布有關安全事件的消息通常意味著會出錯，或者更糟糕的是，受害者不完全了解情況，并提供通常無法輕易糾正的錯誤信息。在這個全天候的新聞世界中，在這個過程中過早地披露企業面臨的安全問題而帶來不必要的審查。因此，企業在發布數據泄露事件的通知中應該遵循中間立場，既不過早發布，也不過晚發布。

 

企業明智的做法是制定如何應對數據泄露事件的計劃，以下是如何制定這一計劃的方法：

 

 

企業在發生數據泄露事件之前需要聯系其網絡保險公司，以了解保險公司在發生事件時希望遵循的流程。一旦懷疑存在違規行為，他們應該是企業首先聯系的人之一。他們可能需要引入調查人員以更好地了解違規行為的性質。保險公司也有自己的溝通專家，他們將協助溝通過程或成為企業遭遇數據泄露事件的發言人。

 

 

企業在確定發生違規事件時需要進行溝通。可以起草需要展示的溝通模板。確保關于企業的客戶在發生違規事件后的溝通清晰明確。企業遵循網絡保險提供商和律師關于在面向客戶的網站上進行溝通和公共關系通知的指導。一旦發生違規事件，需要監控隨著情況的變化可能需要的后續溝通。

 

 

如果是政府部門，則需要遵循美國國家標準與技術研究院(NIST)的違規披露和通知指南。私營企業也需要建立類似的流程。由于遭受勒索軟件重創，美國的立法者開始采取行動確保更好的溝通和調查。最近推出的美國參議院第2666號法案要求對員工超過50人的企業報告勒索軟件支付有著嚴格的24小時限制，例如，在發現危及、可能危及或嚴重影響聯邦機構或相關實體履行關鍵職能的勒索軟件操作后24小時內，發現勒索軟件操作的聯邦機構或相關實體應提交勒索軟件通知。

 

 

企業應該提前審查的另一個流程是漏洞披露計劃。隨著企業的更多信息被放置在網絡上，通常沒有更多的資源來全面審查和識別可能無意中部署的所有安全漏洞。

 

大企業通常有漏洞賞金計劃，為漏洞研究人員發現問題的行為支付報酬，但大多數企業都沒有這樣的計劃。有些公司依賴第三方漏洞賞金計劃，例如在安全研究人員和企業之間進行協調的零日計劃。

 

所有擁有面向客戶的網站或資產的企業都有而且應該有一個允許公眾披露漏洞的流程。而security@的電子郵件別名通常被保留用于報告安全問題，因此需要確保有一個既定的披露流程。

 

 

企業通常有自己的門戶網站，如果發生的數據泄露事件對企業產生重大影響，需要考慮讓安全團隊或聘請第三公司對運營環境進行滲透測試。像Black Hills信息安全公司這樣的安全廠商長期以來一直使用滲透測試團隊或安全紅隊來鞏固他們的安全防御。Purple Teaming結合了攻擊和防御方法，以獲取更多關于網絡漏洞以及如何解決這些漏洞的知識。

 

最重要的是，企業需要審查處理安全問題和違規行為的流程，確保已經建立適當的流程來處理違規行為。企業需要知道的是，他們面臨的不是違規事件是否會發生，而是何時發生。

 

版權聲明：本文為企業網D1Net編譯，轉載需注明出處為：企業網D1Net，如果不注明出處，企業網D1Net將保留追究其法律責任的權利。