信息來源:企業(yè)網(wǎng)
鑒于數(shù)據(jù)外泄可以在任何時(shí)間發(fā)生在任何公司身上,提前準(zhǔn)備一份行動(dòng)計(jì)劃是最好的策略。
數(shù)據(jù)外泄不斷發(fā)生���。壞消息是,記錄的數(shù)目和對客戶的影響的嚴(yán)重性沒有一點(diǎn)減少的跡象。
從重要的2007年HMRC(英國稅務(wù)海關(guān)總署)數(shù)據(jù)外泄��,到最近遭遇的TalkTalk和Vtech�����,我們一再的看到���,不管多大的商業(yè)規(guī)模或地位�����,任何人都可能碰到數(shù)據(jù)外泄����。
因此,如果數(shù)據(jù)外泄可以隨時(shí)發(fā)生����,擬定一份行動(dòng)計(jì)劃是最好的應(yīng)對策略。Brian Vecci是Varonis的技術(shù)傳播者����。他建議花更多的時(shí)間來確保一旦有人進(jìn)入,他的行動(dòng)就會被觀察和控制�����,而不是把所有能量投入到建造非常高和強(qiáng)的圍墻上����。
Jay Abbot是Just Advanced Security Consulting的總經(jīng)理。他說��,當(dāng)數(shù)據(jù)外泄發(fā)生時(shí)�,大多數(shù)公司都無法檢測到,他們肯定能注意到的是那些攻擊者將竊取的成果公之于世的地方���。
系統(tǒng)網(wǎng)絡(luò)安全協(xié)會推薦一個(gè)六點(diǎn)計(jì)劃����,作為處理事故的響應(yīng)。它包括準(zhǔn)備���、鑒別�����、圍堵��、根除���、修復(fù)和教訓(xùn)總結(jié)。在最近都柏林會議Irisscon上的討論中����,來自IDT911的Paul Keane提供了一份事故響應(yīng)步驟的指南,包含:
數(shù)據(jù)風(fēng)險(xiǎn)評估管理和轉(zhuǎn)移風(fēng)險(xiǎn)開發(fā)應(yīng)急響應(yīng)計(jì)劃員工培訓(xùn)平臺漏洞和滲透測試執(zhí)行應(yīng)急響應(yīng)計(jì)劃
Gavin Millard是歐洲Tenable Network Security的CTO�。他認(rèn)為推薦步驟應(yīng)該包括:
事故鑒別圍堵以確保外泄沒有造成更大的影響根除修復(fù)經(jīng)驗(yàn)總結(jié)
Abbot說,不是遵循一個(gè)固定公式�����,計(jì)劃幾乎總是提前制定的���,但一定要包含一套基本操作:
建立正發(fā)生的事把必需的當(dāng)事人集中到一起使事件可控減輕副作用管理外部消息傳送照常營業(yè)教訓(xùn)總結(jié)改進(jìn)
顯然���,軟技能和和技術(shù)能力的結(jié)合是需要的。因?yàn)槿绻淮螖?shù)據(jù)外泄發(fā)生�,肯定存在一些技術(shù)能力的弱點(diǎn)。現(xiàn)在重點(diǎn)是創(chuàng)建更加安全的文化��。
Javvad Malik是AlienVault的安全提倡者����。他說,任何好的應(yīng)急響應(yīng)方案應(yīng)該包含如下3個(gè)關(guān)鍵步驟:
劃定資產(chǎn)的優(yōu)先次序�����。
捕捉基準(zhǔn)�。
理解:最重要的資產(chǎn)就是如果它落到壞人手中,會嚴(yán)重?fù)p害你的商業(yè)利益��。
他還推薦指導(dǎo)和記錄行動(dòng)內(nèi)容�,發(fā)布定期升級,因?yàn)閼?yīng)急響應(yīng)團(tuán)隊(duì)成員(尤其是IT以外的人)需要對自己的角色和責(zé)任有充足的指示����、引導(dǎo)和指導(dǎo)。
最后���,與執(zhí)行高管們溝通�����,分享你對公司當(dāng)前安全態(tài)勢的分析��,回顧業(yè)界發(fā)展趨勢�,關(guān)心的關(guān)鍵領(lǐng)域,以及向高管們提出的改進(jìn)建議����。
首要優(yōu)先考慮的是停止敏感數(shù)據(jù)的泄露,這件事要優(yōu)先于其他業(yè)務(wù)����,以確保獲取所有合適的資源來阻止任何更一步的信息損失。
因此�����,技術(shù)修復(fù)最好的建議適合以下的共同主題:
識別圍堵根除軟技能適用于對員工進(jìn)行各個(gè)級別的培訓(xùn)溝通經(jīng)驗(yàn)總結(jié)識別
理解發(fā)生了什么�����,攻擊者怎樣進(jìn)入的�����,或者數(shù)據(jù)怎么出去的�,并且確保你的數(shù)據(jù)庫沒有再泄露什么內(nèi)容。知道你是什么情況和態(tài)勢��,且能從這種狀態(tài)開始----這是第一步。
圍堵
攻擊者出去了嗎��?也應(yīng)該在應(yīng)急響應(yīng)開始階段確保沒有其他東西離開商業(yè)�?���;蛘撸侨菀桌斫獾囊淮涡允鹿蕟?��?職員或部門人員已經(jīng)能鎖住該情況以確保他們理解什么出毛病和如何阻止它再次發(fā)生嗎�?
根除
處理問題并聚焦于去除和恢復(fù)受感染的系統(tǒng)。系統(tǒng)網(wǎng)絡(luò)安全協(xié)會保證���,通過做一份完整的系統(tǒng)硬盤驅(qū)動(dòng)器的重置映像��,以及用反病毒軟件掃描受感染系統(tǒng)和文件等操作�,可以去除受感染系統(tǒng)的惡意的和其他非法的內(nèi)容����。
員工培訓(xùn)
談到軟技能,防御的第一道防線是你的員工�,讓他們了解正在發(fā)生事情的最新情況,并且在關(guān)鍵點(diǎn)上采取行動(dòng)��。泄露是因?yàn)椴《拒浖腥締??病毒軟件怎么進(jìn)來的����?或者,是因?yàn)槟澄粏T工的操作����?下次可以避免這種操作嗎��?不要只是盯著下面的員工�����,把董事會也拉進(jìn)來����,并且保證整個(gè)企業(yè)正買進(jìn)安全文化��。
溝通
隨著整個(gè)商業(yè)買進(jìn)你的安全文化概念���,下一步是當(dāng)提到外部溝通時(shí),每人在同一排����。你的IT政策應(yīng)該已經(jīng)包含不準(zhǔn)發(fā)微博或在公司瑣事上更新,并且在IT發(fā)布的時(shí)候你應(yīng)該強(qiáng)調(diào)對沉默的需要��,以及強(qiáng)烈阻止任何可能產(chǎn)生更遠(yuǎn)問題的評論���。想想“走漏風(fēng)聲會沉船”����。
經(jīng)驗(yàn)總結(jié)
你能輕易地收拾殘局,然后從事件中恢復(fù)過來嗎����?如果是����,那么你正好在恢復(fù)照常營業(yè)的路上��。某些情況下�,如果被媒體報(bào)道了,泥巴可能會糊住一會�����,也會有要處理的數(shù)據(jù)保護(hù)調(diào)節(jié)器��。遵循其他引人矚目的數(shù)據(jù)泄露受害者的例子�,從你吸取到的經(jīng)驗(yàn)教訓(xùn)中變得更強(qiáng)�����,理解是什么出錯(cuò)和確保你有防止案件再發(fā)生的策略。
