介绍
数据泄露是当今企业安全中最糟糕的情况之一,这是有充分理由的。它会导致声誉问题、业务流程中断以及对不遵守日益严格的数据保护法律的处罚。不幸的是,这些事件正在稳步上升。即使是勒索软件攻击现在也可以被视为数据泄露,因为大多数敲诈团伙从公司网络中提取机密信息作为他们袭击的一部分。
这个安全噩梦有不同的催化剂。在大多数情况下,网络犯罪分子会从远程受损的公司服务器中检索专有数据。威胁也可能源于内部人员滥用访问权限并在您背后获取有价值的文件。有时,敏感数据会通过公司配置错误的应用程序或组件无意中泄露。场景各不相同,但它们都有一个共同点——结果可能是毁灭性的。
安然无恙的路线图
想象一下,您的组织正处于数据泄露的接收端。您有什么计划来补救这种情况、尽量减少影响并确保业务连续性?尽管没有一刀切的策略,但以下步骤对于取得积极成果至关重要。
防止进一步损坏
首先,您必须确保困境不会变得更糟,并且攻击者无法在您的网络中横向移动以获取比他们已经拥有的更多的数据。动员您的技术团队评估受影响的企业基础设施的范围。一旦您知道哪些设备已被利用,请将它们全部离线。重要的是,在进行取证分析之前不要关闭此类设备。
确保所有有权访问被渗透设备和系统的用户都会立即更新其凭据。服务帐户也是如此。如果您疏于执行此紧急措施,即使您发现并清除了有害软件,黑客仍可以在网络中站稳脚跟。归根结底,这使恢复工作徒劳无功。
考虑聘请一组独立的法医专家,他们将帮助您优先考虑您的响应步骤并促进收集和分析证据的过程。这些专业人员还可以寻找内部威胁的迹象,如果这一理论被证明是正确的,他们将有助于识别双重交易的员工。
您最初的待办事项清单上的另一件重要事情是删除错误发布的数据。如果此类信息由于管理员的失误而最终出现在您的网站上,请立即将其删除。请记住,搜索引擎会缓存网页上发布的内容,因此在您删除它之后,它可能会在一段时间内保持公开可用。联系这些服务并请求永久删除符合您的最大利益。如果您发现被盗数据的副本已发布在第三方资源上,请联系其所有者并要求他们将其删除。
采访发现该事件的团队成员或其他声称拥有更多相关信息的个人。记录这些人提供的所有零碎证据,并避免在调查结束前销毁这些数据。
缩小安全漏洞
请记住,只要您的数字基础设施存在启动原始漏洞的漏洞,它就很容易受到黑客攻击。因此,解决这些缺陷是挫败另一次渗透您网络的尝试的先决条件。
请记住,攻击者(利用初始漏洞)可能还添加了一些后门,以便即使在漏洞被修补后也能够重新进入……在某些情况下,最好从头开始重新安装服务器和应用程序从头开始并迁移数据。
菲利普·卡图格利
如果您的组织与托管服务提供商 (MSP) 合作以维持特定业务领域,请确保其网络不是黑客入侵的入口点。不幸的是,这种情况经常发生。这些公司在一定程度上可以访问多个客户的资产,这使他们成为多汁的目标。联系此类合作伙伴并检查他们最近是否经历过网络攻击。如果他们有,请修改他们的访问权限并验证他们是否处理了这些安全漏洞。
在构建网络时,您可能遵循了分段原则。它的前提是限制不同虚拟环境之间的互操作性,以便黑客在访问一台服务器或网站后无法轻易扩展其范围。但是,如果发生这种情况,您的网络分段可能需要进行彻底检查,以更好地隔离其不同层。
检查事件日志以找出在发生违规时谁在使用现在公开的数据。此外,分析此时谁有权访问信息,以及该访问权限对于该范围的用户是否必要。相应地更改权限。
要根据贵公司的日常运营估计入侵的严重性,请检查事件发生时数据加密是否到位。这改变了游戏规则,因为骗子无法从受密码保护的文件中获取任何信息(除非他们也可以访问加密密钥……)。此外,确定您是否有未受影响的备份。
制定全面的沟通策略
确保让所有相关方(从员工和客户到投资者和其他业务合作伙伴)了解违规情况。避免对发生的事情、泄漏的数据类型以及恢复过程的进展情况做出模棱两可或欺骗性的陈述。
此外,不要隐瞒可能有助于受影响个人保护自己免受身份盗用、有针对性的社会工程诈骗和其他滥用的重要方面。例如,如果犯罪分子在攻击后获得了您客户的社会安全号码,他们可能会冒充这些受害者注册各种服务并进行税务诈骗。话虽如此,您应该鼓励发现其数据被错误处理的个人向联邦贸易委员会 ( FTC ) 或您所在国家/地区的对应机构报告这些欺诈行为。
如果得到适当的通知,人们可以要求信用局在他们的信用报告中包含有关欺诈活动的警报,或者采取其他措施来防止这种不法行为。如果可能,您的组织应为这些客户提供一定期限的免费身份盗窃保护服务。这将帮助您重新获得信任,而这种信任往往首当其冲。
此外,联系可能受到影响的企业。例如,如果被盗的帐户信息包括您客户的信用卡详细信息和其他财务数据,那么您必须立即通知维护这些记录的机构,以便他们可以将其欺诈监控活动调整为潜在滥用的高风险。您代表任何其他业务实体处理的数据也是如此。
遵守法律规定
根据您公司所代表的行业,将您的违规响应与相应的法律要求保持一致。例如,如果您向欧盟居民提供服务,那么您的业务活动将受通用数据保护条例 (GDPR) 的约束。如果您的组织位于美国并在医疗保健部门开展业务,那么您必须遵守《健康保险流通与责任法案》(HIPAA)。确定适用法律的具体规定并认真遵守,以避免因违反这些规则而被罚款。
此外,确保在发现事件后立即通知执法部门。向当地警方报告违规行为,并告知他们身份盗窃的可能性。如果您所在地区的部门不具备调查网络攻击的必要能力,请联系最近的国家执法机构办公室,例如美国联邦调查局 (FBI) 或英国国家欺诈情报局 (NFIB) .
更新您的恢复计划
最后一步应该是审查您的流程和恢复计划。违规事件发生几个月后,您应该回顾一下您是如何应对它的,以及作为一个组织您本可以做得更好的地方。数据泄露是一个重大的对抗性事件,将其转化为学习和改进的机会很重要。您应该对您的安全状况进行全面审查(为什么不指定一个研究团队?),找出薄弱环节并采取必要的措施来防止未来发生任何事件。这种审查的一个常见发现是,员工缺乏充分应对黑客攻击的技能和知识——如果是这种情况,请制定一个培训计划,让每个人都跟上进度。
如果违规是由您的第三方供应商之一造成的,事情会变得更加棘手。但即使在这种情况下,也可以制定数据泄露后双方都遵循的计划并改善协调。
概括
当然,最好从一开始就防止发生数据泄露。预防包括:
- 快速有效地响应数据泄露至关重要。在需要之前制定计划至关重要。渗透测试和红队练习可以作为准备工作的一部分。
- 使您的软件保持最新是主动保护这些事件的支柱之一,阻止您的开发人员的秘密泄露也是如此。
- 另一种有效的技术是定期进行渗透测试。这种对攻击者活动的模拟将允许您评估您的检测能力(即您是否能够识别渗透测试团队执行的一些操作?)并为您提供对组织安全状况中薄弱环节的可操作洞察力。
- 请记住,网络安全教育至关重要。鼓励用户报告任何可疑活动(或他们所做的错误)非常重要。我们经常看到用户只是关闭窗口或继续其他活动,而不向 IT 安全团队报告事件。
如果遭到破坏,重要的是不要单独解决问题。与值得信赖、经验丰富的信息安全公司合作。您可能对您的基础设施有深入的了解,但经验丰富的信息安全团队拥有 处理漏洞的经验。信息安全团队不仅可以识别漏洞,还可以与您一起关闭漏洞。
如果发生最坏的情况,您必须知道该做什么以及与谁联系。上面的建议应该为您指明正确的方向。
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 2303805254@qq.com,本站将立刻删除。
