Merancang tindak balas pelanggaran anda

Pelanggaran data boleh menutup syarikat anda untuk jangka masa yang kritikal, kadang-kadang selama-lamanya; ia pasti akan meletakkan masa depan kewangan anda berisiko dan, dalam sesetengah kes, ia juga boleh mendarat anda di dalam penjara. Tetapi tidak ada yang perlu dilakukan kerana, jika anda merancang dengan betul, anda dan syarikat anda boleh pulih dan terus dalam perniagaan, kadang-kadang dalam beberapa minit. Pada akhirnya, semuanya datang untuk merancang.

Minggu lalu, kami membincangkan bagaimana untuk mempersiapkan pelanggaran data. Dengan mengandaikan bahawa anda melakukan itu sebelum pelanggaran anda berlaku, langkah seterusnya anda cukup mudah. Tetapi salah satu langkah kesediaan ialah membuat rancangan dan kemudian mengujinya. Dan, ya, itu akan mengambil sejumlah besar kerja.

Perbezaannya ialah perancangan awal yang dilakukan sebelum pelanggaran itu bertujuan untuk meminimumkan kerosakan. Selepas pelanggaran itu, pelan perlu memberi tumpuan kepada proses pemulihan dan menangani isu-isu selepas itu, dengan mengandaikan terdapat apa-apa. Ingat matlamat keseluruhan anda, sama seperti sebelum pelanggaran, adalah untuk meminimumkan kesan yang berlaku terhadap syarikat anda, pekerja anda, dan pelanggan anda.

Perancangan untuk Pemulihan

Perancangan pemulihan terdiri daripada dua kategori yang luas. Yang pertama adalah memperbaiki kerosakan yang disebabkan oleh pelanggaran dan memastikan ancaman itu sebenarnya dihapuskan. Yang kedua adalah menjaga risiko kewangan dan undang-undang yang mengiringi pelanggaran data. Setakat kesihatan organisasi anda akan datang, kedua-duanya sama pentingnya.

"Pembendungan adalah kunci dari segi pemulihan, " kata Sean Blenkhorn, Naib Presiden, Penyelesaian Kejuruteraan dan Khidmat Nasihat untuk penyedia perlindungan dan respons terurus eSentire. "Semakin cepat kita dapat mengesan ancaman, semakin baik kita dapat memasukkannya."

Blenkhorn berkata bahawa mengandungi ancaman boleh berbeza bergantung kepada jenis ancaman yang terlibat. Dalam kes ransomware, contohnya, ini mungkin bermaksud menggunakan platform perlindungan endpoint terurus anda untuk membantu mengasingkan malware bersama-sama dengan mana-mana jangkitan sekunder supaya ia tidak dapat menyebarkan, dan kemudian mengeluarkannya. Ia juga mungkin bermaksud melaksanakan strategi baru supaya pelanggaran di masa depan disekat, seperti melengkapkan perayauan dan penyiaran pengguna dengan akaun peribadi rangkaian peribadi maya (VPN).

Walau bagaimanapun, jenis ancaman lain mungkin memerlukan taktik yang berbeza. Misalnya, serangan yang mencari maklumat kewangan, harta intelek (IP), atau data lain dari perusahaan anda tidak akan dikendalikan dengan cara yang sama seperti serangan ransomware. Dalam kes tersebut, anda mungkin perlu mencari dan menghapuskan laluan kemasukan, dan anda perlu mencari cara untuk menghentikan perintah dan mengawal mesej. Ini, seterusnya, akan memerlukan anda memantau dan mengurus trafik rangkaian anda untuk mesej tersebut supaya anda dapat melihat di mana ia berasal dan di mana mereka menghantar data.

"Penyerang mempunyai kelebihan penggerak pertama, " kata Blenkhorn. "Anda perlu mencari anomali."

Anomali tersebut akan membawa anda ke sumber, biasanya pelayan, yang menyediakan akses atau yang menyediakan exfiltration. Sebaik sahaja anda mendapati bahawa, anda boleh mengalih keluar perisian hasad dan memulihkan pelayan. Walau bagaimanapun, Blenkhorn memberi amaran bahawa anda mungkin perlu imej semula pelayan untuk memastikan bahawa sebarang malware benar-benar hilang.

Langkah Pemulihan Pelanggaran

Blenkhorn berkata terdapat tiga perkara tambahan yang perlu diingat ketika merancang untuk pemulihan pelanggaran:

1. Pelanggaran itu tidak dapat dielakkan,
2. Teknologi sahaja tidak akan menyelesaikan masalah ini, dan
3. Anda perlu menganggap ia satu ancaman yang tidak pernah anda lihat sebelumnya.

Tetapi sebaik sahaja anda telah menghapuskan ancaman, anda hanya melakukan setengah pemulihan. Separuh lagi adalah melindungi perniagaan itu sendiri. Menurut Ari Vared, Pengarah Kanan Produk di CyberPolicy, penyedia insurans siber, ini bermakna menyediakan rakan kongsi pemulihan anda terlebih dahulu.

"Di sinilah mempunyai pelan pemulihan siber di tempatnya dapat menyelamatkan perniagaan, " kata Vared kepada PCMag dalam e-mel. "Ini bermakna memastikan pasukan undang-undang anda, pasukan forensik data, pasukan PR anda, dan kakitangan utama anda mengetahui terlebih dahulu apa yang perlu dilakukan apabila terdapat pelanggaran."

Langkah pertama di sini bermakna mengenal pasti rakan pemulihan anda terlebih dahulu, memaklumkan kepada mereka tentang rancangan anda, dan mengambil apa sahaja tindakan yang diperlukan untuk mengekalkan perkhidmatan mereka sekiranya berlaku pelanggaran. Kedengarannya seperti banyak beban pentadbiran, tetapi Vared menyenaraikan empat sebab penting yang membuat proses itu bernilai usaha:

1. Sekiranya terdapat keperluan untuk perjanjian tanpa pendedahan dan kerahsiaan, maka mereka boleh dipersetujui terlebih dahulu, bersama-sama dengan yuran dan syarat lain, supaya anda tidak kehilangan masa setelah cyberattack cuba merundingkan dengan vendor baru.
2. Jika anda mempunyai insurans siber, maka agensi anda mungkin mempunyai rakan kongsi tertentu yang sudah dikenal pasti. Dalam hal ini, anda perlu menggunakan sumber tersebut untuk memastikan kos dilindungi mengikut dasar.
3. Penyedia insurans siber anda mungkin mempunyai garis panduan untuk jumlah yang bersedia untuk meliputi aspek-aspek tertentu dan pemilik perniagaan kecil (SMB) yang kecil dan menengah akan ingin memastikan yuran penjual mereka berada dalam garis panduan tersebut.
4. Sesetengah syarikat insurans siber akan mempunyai rakan kongsi pemulihan yang diperlukan di dalam rumah, menjadikannya penyelesaian kunci untuk pemilik perniagaan, kerana hubungan tersebut sudah sedia ada dan perkhidmatan tersebut akan dilindungi secara automatik di bawah polisi ini.

Menangani Isu Hukum dan Forensik

Vared berkata bahawa pasukan undang-undang dan pasukan forensik anda adalah keutamaan yang tinggi selepas serangan. Pasukan forensik akan mengambil langkah pertama dalam pemulihan, seperti yang digariskan oleh Blenkhorn. Seperti namanya, pasukan ini berada di sana untuk mengetahui apa yang berlaku dan lebih penting lagi. Ini bukan untuk menyalahkan; ia adalah untuk mengenal pasti kelemahan yang membenarkan pelanggaran itu supaya anda boleh memasangkannya. Itulah perbezaan penting untuk dibuat dengan pekerja sebelum pasukan forensik tiba untuk mengelakkan rancakan yang tidak wajar atau bimbang.

Vared menyatakan bahawa pasukan undang-undang yang bertindak balas terhadap pelanggaran itu mungkin bukan orang yang sama yang mengendalikan tugas undang-undang tradisional untuk perniagaan anda. Sebaliknya, mereka akan menjadi kumpulan khusus yang berpengalaman dalam menangani serangan cyber. Pasukan ini boleh mempertahankan anda terhadap tindakan undang-undang yang berpunca daripada pelanggaran, menangani pengawal selia, atau mengendalikan rundingan dengan pencuri siber dan wang tebusan mereka.

Sementara itu, pasukan PR anda akan bekerjasama dengan pasukan undang-undang anda untuk mengendalikan keperluan pemberitahuan, berkomunikasi dengan pelanggan anda untuk menjelaskan pelanggaran dan tindak balas anda, dan mungkin juga menerangkan butiran yang sama kepada media.

Akhir sekali, apabila anda telah mengambil langkah-langkah yang diperlukan untuk pulih dari pelanggaran, anda perlu mengumpulkan kumpulan tersebut bersama-sama dengan eksekutif C peringkat dan mengadakan mesyuarat dan laporan selepas tindakan. Laporan selepas tindakan adalah penting untuk mempersiapkan organisasi anda untuk pelanggaran seterusnya dengan menentukan apa yang berlaku dengan betul, apa yang salah, dan apa yang boleh dilakukan untuk meningkatkan respons anda pada masa akan datang.

Menguji Rancangan Anda

• 6 Perkara yang Tidak Dapat Dilakukan Selepas Pelanggaran Data 6 Hal yang Tidak Dapat Dilakukan Selepas Pelanggaran Data
• Penyelarasan Data Dikompromi Rekod 4.5 Bilion Dalam Separuh Pertama 2018 Pelanggaran Data Dikompromi 4.5 Bilion Rekod Dalam Separuh Pertama 2018
• Cathay Pacific mendedahkan pelanggaran data yang menjejaskan penumpang 9.4M Cathay Pacific mendedahkan pelanggaran data yang memberi kesan kepada 9.4 juta penumpang

Semua ini mengandaikan bahawa pelan anda disusun dengan baik dan dilaksanakan dengan cekap sekiranya Bad Thing. Malangnya, itu bukanlah andaian yang selamat. Satu-satunya cara untuk memastikan bahawa pelan anda adalah berpotensi untuk berjaya apabila ia disiapkan. Pakar-pakar yang anda pakai yang menangani cyberattacks sebagai acara tetap dalam perniagaan mereka tidak akan memberi tentangan kepada anda untuk berlatih pelan anda-mereka sudah biasa dengan itu dan mungkin mengharapkannya. Tetapi kerana mereka orang luar, anda perlu pastikan mereka dijadualkan untuk latihan dan anda mungkin perlu membayar mereka untuk masa mereka. Ini bermakna penting untuk memasukkan anggaran ke dalam anggaran anda, bukan hanya satu kali tetapi secara teratur.

Betapa kerapkah asas itu bergantung pada bagaimana pekerja rumah anda bertindak balas terhadap ujian pertama anda. Ujian pertama anda hampir pasti akan gagal dalam beberapa atau mungkin semua aspek. Itu yang diharapkan kerana sambutan ini akan jauh lebih rumit dan membebankan untuk banyak daripada gerudi api sederhana. Apa yang perlu anda lakukan ialah mengukur tahap kegagalan itu dan menggunakannya sebagai garis dasar untuk menentukan sejauh mana dan sejauh mana anda perlu mengamalkan tindak balas anda. Ingat bahawa gerudi api ada untuk bencana yang kebanyakan perniagaan tidak akan pernah mengalami. Latihan cyberattack anda adalah untuk bencana yang tidak dapat dielakkan pada tahap tertentu.