数据泄露是不可避免的。但是,IT领导者回应他们的方式都没有。
一种快速,有效的反应可以是灾难性的各级结果之间的差异 - 品牌形象,市场份额和财务状况 - 和那些相对无害的。
由于不止一个专家表示,这是不可能防止所有漏洞,但如果一个响应团队可以防止攻击者在完成自己的使命,甚至减少他们的损失,好人赢得这场战斗。
而很多的是什么使一个有效的反应是它被发现后立即小时会发生什么。一些厂商已经公布的犯规被发现后如何在第一个24小时做的“清单”,包括信贷监控公司益百利和史密斯安德森,律师事务所在北卡罗莱纳州。
但安全专家,而他们一致认为清单适用于不同企业的需求都很好,说是没有办法来执行这些清单上的项目没有有效强烈的前期规划。在当今世界,现实的情况是“的时候,”没有“如果”会发生违约,有点最坏情况偏执可以保持一个组织中的“相对无害的”阵营的唯一途径。
“组织希望在危机全面爆发做的最后一件事就是弥补危机应对方案,”格雷格Mancusi - 温加罗,CMO在BrandProtect说。“这是很多从既定的计划,在其中选择和程序,可以拟订,讨论和修订了时间创造更好的工作。”
汤姆·埃文斯,CSO在Cognia,表示同意,他说,如果组织没有计划,并提前培训,以发现和减轻违反,那么他们应该做的最好的是,“上分离,不碰,叫专家休假动力。”
安德鲁Avanessian,在Avecto专业服务副总裁认为,后违反策略“根本性的缺陷”,因为他们是“反应和基于恐惧。”
企业应该有一个数据破坏的战略,他说,但它应该是“积极的”,这意味着,“IT基础设施项目将需要一点时间来部署,但时间在事后灭火花费的金额将减少显著。
安德鲁Avanessian,专业服务副总裁,Avecto
“许多人没有满足,即使在SANS建议非常基本的安全步骤“一五”或澳大利亚国防部4强,“ 他说。
卢卡斯Zaichkowsky,在企业的AccessData防御建筑师,说这几乎是不可能做到有效的取证调查没有,“快速洞察直播系统,网络通信,以及最重要的是,历史数据。”
而且,他说,需要“高保留期,在企业规模迅速搜索端点妥协的指标和检索攻击者访问系统法医数据的能力,在地方广泛的日志记录。”
不幸的是,缺乏那种计划或准备的是常见的。最近调查340个多的CIO,民间社会组织,IT主管,经理和咨询公司甫瀚审计发现,34%的人承认,他们的组织没有正式违约应对方案,另有10%的人说他们不知道如果他们的公司有一个计划。
而安全厂商Lancope公司和Ponemon的研究所报道在一月份对发现的674名受访者有一半的调查说,事件响应(IR)是他们的安全预算的不到10%。
一些专家说,这是极有可能比这更糟糕。适当的规划和准备防止性能差 - “这似乎是一个低的号码给我,”奥兰多斯科特 - 考利,在Mimecast技术营销总监和居民的安全专家,谁补充说,太多的公司,“谈在P原则说 -在事后“。
奥兰多斯科特 - 考利,技术营销总监,Mimecast
虽然目前许多主要金融区或飓风或龙卷风多发状态的行业有适当的计划,“别人谁也向来不觉得有必要进行经常威胁不备,”斯科特说,考利。
大卫·比安科J.亨特团队经理在FireEye的同意。“我预计的数量要高得多,尤其是当你考虑到,‘我们有一个计划,’不说如何好这个计划可能是任何东西。”
大卫·比安科J.亨特车队经理,FireEye的
规划违反应当在给定的,他们说,因为这几乎是一个给定的,它会发生。比安科,埃文斯,Mancusi - 温加罗和邓文迪拉弗蒂,在CrowdStrike服务的副总裁,提供了许多用于预违反规划建议:
- 24小时的联系信息,包括第三方供应商对IR团队建立每个人的角色和责任,理想情况下,IT及IT安全性,高级管理人员,业务部门的领导,法律顾问(内部和外部),PR和客户监察员。
- 排练IR的方案与所有内部利益相关者。
- 适用于各种场景PR草案声明,因为有可能没有时间以进行有效的完整性被破坏时。
- 建立与当地执法机关,包括联邦调查局和特勤局的关系,被破坏时有接触点。这将导致在危机中更快的响应。
- 获取数据破坏保险。
- 实现基于角色的帐户访问和监控的访问,这将有助于快速识别异常和潜在的恶意活动。
- 列车全体工作人员发现并系统地报告信息安全事件和有惊无险。实际违约发生之前,这可能会导致检测。
“越来越多,在一家公司的安全链中最薄弱的环节是员工及其家属,” Mancusi - 温加罗说。“这是不可能的夸大了帮助他们的重要性保持在其所有网上活动的警惕。
“这些威胁来自几乎任何方向 - 流氓电子邮件和网站获取个人信息或恶意移动应用程序,而不仅仅是个人地址簿获得访问权限,而且要登录和网络凭据。”
而一旦发生不可避免的和犯规被发现?继发现关键的总体目标是让你的公司又安全,保存证据(比如你会为一个犯罪现场,因为,毕竟,这是它是什么),并保护您的品牌,市场占有率和盈利能力。
为了实现这一目标,网上的帖子和专家谁与CSO谈到的共识说,在第一个24小时的响应应该包括以下内容:
- 文件的一切,包括违约的日期和时间,当它被发现,当你的反应开始。
根据比安科“发生了什么以及何时将成为您的响应团队的关键,为向管理层汇报,执法力度和潜在的,以帮助在诉讼程序中保护自己,良好的信息”。
- 专访谁发现了违反人。
- 固定在那里发生的违反保全证据的前提。“这包括保留内存,实时响应数据,并采取离线取证的图像,即使他们只是存储供以后分析,”拉弗蒂说。
为此,Zaichkowsky补充说,“快寿命短保存数据是覆盖如捕获网络流量,并从已知损害端点挥发性数据之前。”
- 确定什么是被盗或受到威胁以及如何。
- 确定哪些安全措施,如加密,已经到位的违约发生时。
- 对齐妥协PII客户的姓名和地址的通知。
- 通知您的法律顾问,隐私和合规团队,并确定是否需要通知执法。
“确保调查材料可以被标记为‘律师 - 当事人特权’和信息披露和通知要求,从事件的开始跟踪”拉弗蒂说。
- 准备以满足您的通知要求。
- 选择代言人。
- 争取前期和透明。如果延误或试图掩盖违约的消息,这只会延长媒体监督,增加损坏你的品牌。
- 通知各利益相关者,包括投资者,管理,IT,人力资源,外部顾问,第三方合作伙伴和客户。请记住,数据泄露通知可能需要比发出套用信函等等。不同的国家有不同的要求。
- 提供身份保护和欺诈分辨率为受影响的个人呼叫中心。
这样的名单可能会需要很长一段时间,Avenessian说,因为有IT专业人士社区内的“巨大的问题”。
大多数维护者,他说,不要以为战略性,因为他们是技术人员和“思考的工具和策略方面。”
他们还从销售和谁想要快速的技术采用的财务背景的高管组成董事会的压力下,没有抽出时间来构建保险的研究。
最后,安全是不是“性感,”他说。“这必须改变 - 教育在这里是关键”
这个故事,“违反毯:为了遏制损害,提前计划 - 未来路”最初发表CSO 。