鉴于数据外泄可以在任何时间发生在任何公司身上,提前准备一份行动计划是最好的策略。
数据外泄不断发生。坏消息是,记录的数目和对客户的影响的严重性没有一点减少的迹象。
从重要的2007年HMRC(英国税务海关总署)数据外泄,到最近遭遇的TalkTalk和Vtech,我们一再的看到,不管多大的商业规模或地位,任何人都可能碰到数据外泄。
因此,如果数据外泄可以随时发生,拟定一份行动计划是最好的应对策略。Brian Vecci是Varonis的技术传播者。他建议花更多的时间来确保一旦有人进入,他的行动就会被观察和控制,而不是把所有能量投入到建造非常高和强的围墙上。
Jay Abbot是Just Advanced Security Consulting的总经理。他说,当数据外泄发生时,大多数公司都无法检测到,他们肯定能注意到的是那些攻击者将窃取的成果公之于世的地方。
系统网络安全协会推荐一个六点计划,作为处理事故的响应。它包括准备、鉴别、围堵、根除、修复和教训总结。在最近都柏林会议Irisscon上的讨论中,来自IDT911的Paul Keane提供了一份事故响应步骤的指南,包含:
- 数据风险评估
- 管理和转移风险
- 开发应急响应计划
- 员工培训
- 平台漏洞和渗透测试
- 执行应急响应计划
Gavin Millard是欧洲Tenable Network Security的CTO。他认为推荐步骤应该包括:
- 事故鉴别
- 围堵以确保外泄没有造成更大的影响
- 根除
- 修复
- 经验总结
Abbot说,不是遵循一个固定公式,计划几乎总是提前制定的,但一定要包含一套基本操作:
- 建立正发生的事
- 把必需的当事人集中到一起
- 使事件可控
- 减轻副作用
- 管理外部消息传送
- 照常营业
- 教训总结
- 改进
显然,软技能和和技术能力的结合是需要的。因为如果一次数据外泄发生,肯定存在一些技术能力的弱点。现在重点是创建更加安全的文化。
Javvad Malik是AlienVault的安全提倡者。他说,任何好的应急响应方案应该包含如下3个关键步骤:
划定资产的优先次序。
捕捉基准。
理解:最重要的资产就是如果它落到坏人手中,会严重损害你的商业利益。
他还推荐指导和记录行动内容,发布定期升级,因为应急响应团队成员(尤其是IT以外的人)需要对自己的角色和责任有充足的指示、引导和指导。
最后,与执行高管们沟通,分享你对公司当前安全态势的分析,回顾业界发展趋势,关心的关键领域,以及向高管们提出的改进建议。
首要优先考虑的是停止敏感数据的泄露,这件事要优先于其他业务,以确保获取所有合适的资源来阻止任何更一步的信息损失。
因此,技术修复最好的建议适合以下的共同主题:
- 识别
- 围堵
- 根除
- 软技能
- 适用于对员工进行各个级别的培训
- 沟通
- 经验总结
- 识别
理解发生了什么,攻击者怎样进入的,或者数据怎么出去的,并且确保你的数据库没有再泄露什么内容。知道你是什么情况和态势,且能从这种状态开始----这是第一步。
围堵
攻击者出去了吗?也应该在应急响应开始阶段确保没有其他东西离开商业。或者,它是容易理解的一次性事故吗?职员或部门人员已经能锁住该情况以确保他们理解什么出毛病和如何阻止它再次发生吗?
根除
处理问题并聚焦于去除和恢复受感染的系统。系统网络安全协会保证,通过做一份完整的系统硬盘驱动器的重置映像,以及用反病毒软件扫描受感染系统和文件等操作,可以去除受感染系统的恶意的和其他非法的内容。
员工培训
谈到软技能,防御的第一道防线是你的员工,让他们了解正在发生事情的最新情况,并且在关键点上采取行动。泄露是因为病毒软件感染吗?病毒软件怎么进来的?或者,是因为某位员工的操作?下次可以避免这种操作吗?不要只是盯着下面的员工,把董事会也拉进来,并且保证整个企业正买进安全文化。
沟通
随着整个商业买进你的安全文化概念,下一步是当提到外部沟通时,每人在同一排。你的IT政策应该已经包含不准发微博或在公司琐事上更新,并且在IT发布的时候你应该强调对沉默的需要,以及强烈阻止任何可能产生更远问题的评论。想想“走漏风声会沉船”。
经验总结
你能轻易地收拾残局,然后从事件中恢复过来吗?如果是,那么你正好在恢复照常营业的路上。某些情况下,如果被媒体报道了,泥巴可能会糊住一会,也会有要处理的数据保护调节器。遵循其他引人瞩目的数据泄露受害者的例子,从你吸取到的经验教训中变得更强,理解是什么出错和确保你有防止案件再发生的策略。