信息來源:企業(yè)網(wǎng)
鑒于數(shù)據(jù)外泄可以在任何時間發(fā)生在任何公司身上,提前準備一份行動計劃是最好的策略。
數(shù)據(jù)外泄不斷發(fā)生���。壞消息是�,記錄的數(shù)目和對客戶的影響的嚴重性沒有一點減少的跡象。
從重要的2007年HMRC(英國稅務海關總署)數(shù)據(jù)外泄���,到最近遭遇的TalkTalk和Vtech��,我們一再的看到����,不管多大的商業(yè)規(guī)?;虻匚唬魏稳硕伎赡芘龅綌?shù)據(jù)外泄��。
因此����,如果數(shù)據(jù)外泄可以隨時發(fā)生,擬定一份行動計劃是最好的應對策略���。Brian Vecci是Varonis的技術傳播者����。他建議花更多的時間來確保一旦有人進入�,他的行動就會被觀察和控制��,而不是把所有能量投入到建造非常高和強的圍墻上��。
Jay Abbot是Just Advanced Security Consulting的總經(jīng)理����。他說��,當數(shù)據(jù)外泄發(fā)生時����,大多數(shù)公司都無法檢測到,他們肯定能注意到的是那些攻擊者將竊取的成果公之于世的地方�����。
系統(tǒng)網(wǎng)絡安全協(xié)會推薦一個六點計劃��,作為處理事故的響應���。它包括準備、鑒別���、圍堵�����、根除��、修復和教訓總結(jié)�。在最近都柏林會議Irisscon上的討論中,來自IDT911的Paul Keane提供了一份事故響應步驟的指南��,包含:
數(shù)據(jù)風險評估管理和轉(zhuǎn)移風險開發(fā)應急響應計劃員工培訓平臺漏洞和滲透測試執(zhí)行應急響應計劃
Gavin Millard是歐洲Tenable Network Security的CTO�。他認為推薦步驟應該包括:
事故鑒別圍堵以確保外泄沒有造成更大的影響根除修復經(jīng)驗總結(jié)
Abbot說,不是遵循一個固定公式�,計劃幾乎總是提前制定的,但一定要包含一套基本操作:
建立正發(fā)生的事把必需的當事人集中到一起使事件可控減輕副作用管理外部消息傳送照常營業(yè)教訓總結(jié)改進
顯然���,軟技能和和技術能力的結(jié)合是需要的���。因為如果一次數(shù)據(jù)外泄發(fā)生,肯定存在一些技術能力的弱點?�,F(xiàn)在重點是創(chuàng)建更加安全的文化���。
Javvad Malik是AlienVault的安全提倡者���。他說���,任何好的應急響應方案應該包含如下3個關鍵步驟:
劃定資產(chǎn)的優(yōu)先次序。
捕捉基準�����。
理解:最重要的資產(chǎn)就是如果它落到壞人手中����,會嚴重損害你的商業(yè)利益。
他還推薦指導和記錄行動內(nèi)容��,發(fā)布定期升級�,因為應急響應團隊成員(尤其是IT以外的人)需要對自己的角色和責任有充足的指示、引導和指導����。
最后,與執(zhí)行高管們溝通���,分享你對公司當前安全態(tài)勢的分析����,回顧業(yè)界發(fā)展趨勢�,關心的關鍵領域,以及向高管們提出的改進建議����。
首要優(yōu)先考慮的是停止敏感數(shù)據(jù)的泄露,這件事要優(yōu)先于其他業(yè)務����,以確保獲取所有合適的資源來阻止任何更一步的信息損失。
因此���,技術修復最好的建議適合以下的共同主題:
識別圍堵根除軟技能適用于對員工進行各個級別的培訓溝通經(jīng)驗總結(jié)識別
理解發(fā)生了什么���,攻擊者怎樣進入的,或者數(shù)據(jù)怎么出去的����,并且確保你的數(shù)據(jù)庫沒有再泄露什么內(nèi)容。知道你是什么情況和態(tài)勢�����,且能從這種狀態(tài)開始----這是第一步�。
圍堵
攻擊者出去了嗎?也應該在應急響應開始階段確保沒有其他東西離開商業(yè)�?����;蛘?��,它是容易理解的一次性事故嗎?職員或部門人員已經(jīng)能鎖住該情況以確保他們理解什么出毛病和如何阻止它再次發(fā)生嗎��?
根除
處理問題并聚焦于去除和恢復受感染的系統(tǒng)�。系統(tǒng)網(wǎng)絡安全協(xié)會保證,通過做一份完整的系統(tǒng)硬盤驅(qū)動器的重置映像����,以及用反病毒軟件掃描受感染系統(tǒng)和文件等操作,可以去除受感染系統(tǒng)的惡意的和其他非法的內(nèi)容���。
員工培訓
談到軟技能�,防御的第一道防線是你的員工�,讓他們了解正在發(fā)生事情的最新情況,并且在關鍵點上采取行動�����。泄露是因為病毒軟件感染嗎?病毒軟件怎么進來的��?或者����,是因為某位員工的操作�����?下次可以避免這種操作嗎�����?不要只是盯著下面的員工�����,把董事會也拉進來��,并且保證整個企業(yè)正買進安全文化��。
溝通
隨著整個商業(yè)買進你的安全文化概念�,下一步是當提到外部溝通時,每人在同一排�����。你的IT政策應該已經(jīng)包含不準發(fā)微博或在公司瑣事上更新,并且在IT發(fā)布的時候你應該強調(diào)對沉默的需要��,以及強烈阻止任何可能產(chǎn)生更遠問題的評論���。想想“走漏風聲會沉船”�����。
經(jīng)驗總結(jié)
你能輕易地收拾殘局����,然后從事件中恢復過來嗎�����?如果是�,那么你正好在恢復照常營業(yè)的路上。某些情況下�,如果被媒體報道了,泥巴可能會糊住一會���,也會有要處理的數(shù)據(jù)保護調(diào)節(jié)器���。遵循其他引人矚目的數(shù)據(jù)泄露受害者的例子���,從你吸取到的經(jīng)驗教訓中變得更強,理解是什么出錯和確保你有防止案件再發(fā)生的策略��。
