信息來(lái)源:企業(yè)網(wǎng)
鑒于數(shù)據(jù)外泄可以在任何時(shí)間發(fā)生在任何公司身上,提前準(zhǔn)備一份行動(dòng)計(jì)劃是最好的策略。
數(shù)據(jù)外泄不斷發(fā)生。壞消息是����,記錄的數(shù)目和對(duì)客戶的影響的嚴(yán)重性沒(méi)有一點(diǎn)減少的跡象����。
從重要的2007年HMRC(英國(guó)稅務(wù)海關(guān)總署)數(shù)據(jù)外泄,到最近遭遇的TalkTalk和Vtech����,我們一再的看到�����,不管多大的商業(yè)規(guī)?��;虻匚唬魏稳硕伎赡芘龅綌?shù)據(jù)外泄�。
因此,如果數(shù)據(jù)外泄可以隨時(shí)發(fā)生�,擬定一份行動(dòng)計(jì)劃是最好的應(yīng)對(duì)策略����。Brian Vecci是Varonis的技術(shù)傳播者。他建議花更多的時(shí)間來(lái)確保一旦有人進(jìn)入�����,他的行動(dòng)就會(huì)被觀察和控制�����,而不是把所有能量投入到建造非常高和強(qiáng)的圍墻上�。
Jay Abbot是Just Advanced Security Consulting的總經(jīng)理。他說(shuō)��,當(dāng)數(shù)據(jù)外泄發(fā)生時(shí),大多數(shù)公司都無(wú)法檢測(cè)到��,他們肯定能注意到的是那些攻擊者將竊取的成果公之于世的地方���。
系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)推薦一個(gè)六點(diǎn)計(jì)劃��,作為處理事故的響應(yīng)�。它包括準(zhǔn)備�����、鑒別�、圍堵、根除�、修復(fù)和教訓(xùn)總結(jié)。在最近都柏林會(huì)議Irisscon上的討論中����,來(lái)自IDT911的Paul Keane提供了一份事故響應(yīng)步驟的指南,包含:
數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估管理和轉(zhuǎn)移風(fēng)險(xiǎn)開(kāi)發(fā)應(yīng)急響應(yīng)計(jì)劃員工培訓(xùn)平臺(tái)漏洞和滲透測(cè)試執(zhí)行應(yīng)急響應(yīng)計(jì)劃
Gavin Millard是歐洲Tenable Network Security的CTO�。他認(rèn)為推薦步驟應(yīng)該包括:
事故鑒別圍堵以確保外泄沒(méi)有造成更大的影響根除修復(fù)經(jīng)驗(yàn)總結(jié)
Abbot說(shuō),不是遵循一個(gè)固定公式��,計(jì)劃幾乎總是提前制定的��,但一定要包含一套基本操作:
建立正發(fā)生的事把必需的當(dāng)事人集中到一起使事件可控減輕副作用管理外部消息傳送照常營(yíng)業(yè)教訓(xùn)總結(jié)改進(jìn)
顯然,軟技能和和技術(shù)能力的結(jié)合是需要的�����。因?yàn)槿绻淮螖?shù)據(jù)外泄發(fā)生�����,肯定存在一些技術(shù)能力的弱點(diǎn)?��,F(xiàn)在重點(diǎn)是創(chuàng)建更加安全的文化����。
Javvad Malik是AlienVault的安全提倡者����。他說(shuō)��,任何好的應(yīng)急響應(yīng)方案應(yīng)該包含如下3個(gè)關(guān)鍵步驟:
劃定資產(chǎn)的優(yōu)先次序�����。
捕捉基準(zhǔn)�。
理解:最重要的資產(chǎn)就是如果它落到壞人手中�,會(huì)嚴(yán)重?fù)p害你的商業(yè)利益�。
他還推薦指導(dǎo)和記錄行動(dòng)內(nèi)容,發(fā)布定期升級(jí)�,因?yàn)閼?yīng)急響應(yīng)團(tuán)隊(duì)成員(尤其是IT以外的人)需要對(duì)自己的角色和責(zé)任有充足的指示、引導(dǎo)和指導(dǎo)���。
最后����,與執(zhí)行高管們溝通�����,分享你對(duì)公司當(dāng)前安全態(tài)勢(shì)的分析���,回顧業(yè)界發(fā)展趨勢(shì)�,關(guān)心的關(guān)鍵領(lǐng)域�����,以及向高管們提出的改進(jìn)建議��。
首要優(yōu)先考慮的是停止敏感數(shù)據(jù)的泄露,這件事要優(yōu)先于其他業(yè)務(wù)���,以確保獲取所有合適的資源來(lái)阻止任何更一步的信息損失��。
因此�����,技術(shù)修復(fù)最好的建議適合以下的共同主題:
識(shí)別圍堵根除軟技能適用于對(duì)員工進(jìn)行各個(gè)級(jí)別的培訓(xùn)溝通經(jīng)驗(yàn)總結(jié)識(shí)別
理解發(fā)生了什么���,攻擊者怎樣進(jìn)入的,或者數(shù)據(jù)怎么出去的���,并且確保你的數(shù)據(jù)庫(kù)沒(méi)有再泄露什么內(nèi)容�����。知道你是什么情況和態(tài)勢(shì),且能從這種狀態(tài)開(kāi)始----這是第一步���。
圍堵
攻擊者出去了嗎���?也應(yīng)該在應(yīng)急響應(yīng)開(kāi)始階段確保沒(méi)有其他東西離開(kāi)商業(yè)?��;蛘?�,它是容易理解的一次性事故嗎�?職員或部門人員已經(jīng)能鎖住該情況以確保他們理解什么出毛病和如何阻止它再次發(fā)生嗎?
根除
處理問(wèn)題并聚焦于去除和恢復(fù)受感染的系統(tǒng)�����。系統(tǒng)網(wǎng)絡(luò)安全協(xié)會(huì)保證�����,通過(guò)做一份完整的系統(tǒng)硬盤驅(qū)動(dòng)器的重置映像����,以及用反病毒軟件掃描受感染系統(tǒng)和文件等操作,可以去除受感染系統(tǒng)的惡意的和其他非法的內(nèi)容����。
員工培訓(xùn)
談到軟技能,防御的第一道防線是你的員工�,讓他們了解正在發(fā)生事情的最新情況,并且在關(guān)鍵點(diǎn)上采取行動(dòng)�����。泄露是因?yàn)椴《拒浖腥締幔坎《拒浖趺催M(jìn)來(lái)的��?或者�,是因?yàn)槟澄粏T工的操作?下次可以避免這種操作嗎����?不要只是盯著下面的員工,把董事會(huì)也拉進(jìn)來(lái)�����,并且保證整個(gè)企業(yè)正買進(jìn)安全文化�。
溝通
隨著整個(gè)商業(yè)買進(jìn)你的安全文化概念,下一步是當(dāng)提到外部溝通時(shí)�����,每人在同一排�。你的IT政策應(yīng)該已經(jīng)包含不準(zhǔn)發(fā)微博或在公司瑣事上更新,并且在IT發(fā)布的時(shí)候你應(yīng)該強(qiáng)調(diào)對(duì)沉默的需要����,以及強(qiáng)烈阻止任何可能產(chǎn)生更遠(yuǎn)問(wèn)題的評(píng)論。想想“走漏風(fēng)聲會(huì)沉船”�����。
經(jīng)驗(yàn)總結(jié)
你能輕易地收拾殘局����,然后從事件中恢復(fù)過(guò)來(lái)嗎?如果是�����,那么你正好在恢復(fù)照常營(yíng)業(yè)的路上����。某些情況下,如果被媒體報(bào)道了����,泥巴可能會(huì)糊住一會(huì),也會(huì)有要處理的數(shù)據(jù)保護(hù)調(diào)節(jié)器���。遵循其他引人矚目的數(shù)據(jù)泄露受害者的例子���,從你吸取到的經(jīng)驗(yàn)教訓(xùn)中變得更強(qiáng)�����,理解是什么出錯(cuò)和確保你有防止案件再發(fā)生的策略�。
