Planificarea răspunsului la încălcări

O încălcare a datelor vă poate închide compania pentru o perioadă critică, uneori pentru totdeauna; cu siguranță vă poate pune viitorul financiar în pericol și, în unele cazuri, chiar vă poate ateriza în închisoare. Dar nimic din toate acestea nu trebuie să se întâmple, deoarece, dacă planifici corect, tu și compania dvs. vă puteți recupera și continua în afaceri, uneori în câteva minute. În cele din urmă, totul se rezumă la planificare.

Săptămâna trecută, am discutat cum să ne pregătim pentru o încălcare a datelor. Presupunând că ai făcut asta înainte de încălcarea ta, următorii pași sunt rezonabili. Dar unul dintre acești pași de pregătire a fost crearea unui plan și apoi testarea acestuia. Și, da, asta va lua o cantitate semnificativă de muncă.

Diferența este că planificarea în avans efectuată înainte de orice încălcare are ca scop minimizarea daunelor. După încălcare, planul trebuie să se concentreze asupra procesului de recuperare și abordarea problemelor ulterioare, presupunând că există. Amintiți-vă obiectivul dvs. general, la fel cum a fost înainte de încălcare, este de a reduce impactul pe care îl are încălcarea asupra companiei, angajaților și clienților dumneavoastră.

Planificare pentru recuperare

Planificarea recuperării constă din două mari categorii. Primul este remedierea daunelor cauzate de încălcare și asigurarea faptului că amenințarea este de fapt eliminată. Al doilea este să aibă grijă de riscurile financiare și legale care însoțesc o încălcare a datelor. În ceea ce privește sănătatea viitoare a organizației dvs., ambele sunt la fel de importante.

"Conținerea este esențială în ceea ce privește recuperarea", a declarat Sean Blenkhorn, vicepreședinte, Servicii de inginerie și consultanță pentru servicii de protecție gestionată și furnizor de răspuns eSentire. „Cu cât putem detecta mai rapid amenințarea, cu atât o putem conține mai bine.”

Blenkhorn a spus că conținerea unei amenințări poate diferi în funcție de ce fel de amenințare este implicată. În cazul ransomware-ului, de exemplu, poate însemna utilizarea platformei de protecție a efectului final gestionat pentru a ajuta la izolarea programului malware împreună cu infecțiile secundare, astfel încât să nu se poată răspândi și apoi să îl elimini. Poate însemna, de asemenea, implementarea de noi strategii, astfel încât viitoarele încălcări să fie blocate, cum ar fi echiparea utilizatorilor de roaming și telecomunicație cu conturi de rețea virtuală personală (VPN)

Cu toate acestea, alte tipuri de amenințări pot necesita diferite tactici. De exemplu, un atac care caută informații financiare, proprietate intelectuală (IP) sau alte date de la întreprinderea dvs. nu va fi tratat în același mod ca un atac ransomware. În aceste cazuri, este posibil să fie nevoie să găsiți și să eliminați calea de intrare și va trebui să găsiți o modalitate de a opri mesajele de comandă și control. Aceasta, la rândul său, va solicita să monitorizați și să gestionați traficul de rețea pentru acele mesaje, astfel încât să puteți vedea de unde provin și unde trimit date.

"Atacatorii au primul avantaj, " a spus Blenkhorn. „Trebuie să cauți anomalii”.

Aceste anomalii vă vor duce la resursă, de obicei un server, care oferă acces sau care oferă exfiltrare. După ce ați găsit acest lucru, puteți elimina malware și restaura serverul. Cu toate acestea, Blenkhorn avertizează că este posibil să fie nevoie să reimaginați serverul pentru a vă asigura că orice malware este într-adevăr dispărut.

Pași de recuperare a încălcării

Blenkhorn a spus că există trei lucruri suplimentare de reținut atunci când plănuiești o recuperare a încălcării:

1. Încălcarea este inevitabilă,
2. Tehnologia singură nu va rezolva problema și
3. Trebuie să presupui că este o amenințare pe care nu ai văzut-o niciodată.

Dar, după ce ați eliminat amenințarea, ați efectuat doar jumătate din recuperare. Cealaltă jumătate este protejarea afacerii în sine. Potrivit Ari Vared, director principal de produse la furnizorul de asigurări informatice CyberPolicy, aceasta înseamnă pregătirea în avans a partenerilor de recuperare.

"Acesta este locul în care un plan de recuperare cibernetică în vigoare poate să salveze afacerea", a spus Vared pentru PCMag într-un e-mail. „Asta înseamnă să te asiguri că echipa legală, o echipă de criminalistică a datelor, echipa ta de PR și membrii cheie ai personalului tău știu dinainte ce trebuie făcut ori de câte ori există o încălcare.”

Primul pas acolo înseamnă identificarea în prealabil a partenerilor dvs. de recuperare, informarea acestora despre planul dvs. și luarea oricăror acțiuni necesare pentru a-și păstra serviciile în caz de încălcare. Acest lucru pare a fi o povară administrativă, dar Vared a enumerat patru motive importante care fac ca procesul să merite efortul:

1. Dacă este nevoie de acorduri de dezvăluire și confidențialitate, atunci acestea pot fi convenite în avans, împreună cu comisioane și alți termeni, astfel încât să nu pierdeți timp după încercarea de cyberattack să încercați să negociați cu un nou furnizor.
2. Dacă aveți o asigurare cibernetică, agenția dvs. poate avea parteneri specifici deja identificați. În acest caz, veți dori să utilizați aceste resurse pentru a vă asigura că costurile sunt acoperite în conformitate cu politica.
3. Furnizorul dvs. de asigurare cibernetică poate avea orientări pentru suma pe care este dispus să o acopere pentru anumite aspecte, iar proprietarul întreprinderilor mici și mijlocii (SMB) va dori să se asigure că taxele de vânzători se încadrează în aceste orientări.
4. Unele companii de asigurări cibernetice vor avea partenerii de recuperare necesari în interior, ceea ce va fi o soluție la cheie pentru proprietarul afacerii, întrucât relațiile sunt deja în vigoare, iar serviciile vor fi acoperite în mod automat în baza acestei polițe.

Abordarea problemelor legale și criminalistice

Vared a spus că echipa dvs. legală și echipa criminalistică sunt prioritare după un atac. Echipa de criminalistică va face primii pași în recuperare, așa cum a subliniat Blenkhorn. După cum sugerează și numele, această echipă este acolo pentru a afla ce s-a întâmplat și, mai important, cum. Acest lucru nu este să atribuiți vina; este să identificați vulnerabilitatea care a permis încălcarea, astfel încât să o puteți conecta. Aceasta este o distincție importantă de făcut cu angajații înainte de sosirea echipei medico-legale, pentru a evita răzbunarea sau îngrijorarea excesivă.

Vared a menționat că echipa juridică care răspunde încălcării nu va fi probabil aceeași persoană care se ocupă de sarcinile legale tradiționale pentru afacerea dvs. Mai degrabă, vor fi un grup specializat, cu experiență în tratarea consecințelor atacurilor cibernetice. Această echipă vă poate apăra împotriva proceselor cauzate de încălcarea, tratarea autorităților de reglementare sau chiar tratarea negocierilor cu hoții cibernetici și răscumpărările acestora.

Între timp, echipa dvs. de PR va colabora cu echipa dvs. legală pentru a gestiona cerințele de notificare, va comunica clienților pentru a explica încălcarea și răspunsul dvs. și, eventual, chiar pentru a explica aceleași detalii pentru mass-media.

În cele din urmă, după ce ați făcut pașii necesari pentru a vă recupera din încălcare, va trebui să adunați acele echipe împreună cu directorii de nivel C și să aveți o reuniune și un raport după acțiune. Raportul după acțiune este esențial pentru pregătirea organizației pentru următoarea încălcare, determinând ce a mers corect, ce a mers greșit și ce s-ar putea face pentru a vă îmbunătăți răspunsul data viitoare.

Testarea planului tău

• 6 lucruri de făcut după o încălcare a datelor 6 lucruri de făcut după o încălcare a datelor
• Încălcări ale datelor Compromis de 4, 5 miliarde de înregistrări în prima jumătate a anului 2018 Încălcări ale datelor Compromis de 4, 5 miliarde de înregistrări în prima jumătate a anului 2018
• Cathay Pacific dezvăluie încălcarea datelor care afectează pasagerii 9.4M Cathay Pacific dezvăluie încălcarea datelor care afectează pasagerii 9.4M

Toate acestea presupun că planul dvs. a fost bine conceput și executat în mod competent în cazul unei lucruri rele. Din păcate, aceasta nu este niciodată o presupunere sigură. Singura modalitate de a fi rezonabil sigur că planul tău reprezintă orice șansă de succes este să îl practici odată ce este pregătit. Specialiștii pe care i-ați angajat care se ocupă de cyberattacks ca evenimente obișnuite în afacerea lor nu vă vor oferi prea multă rezistență în practicarea planului dvs. - sunt obișnuiți cu asta și probabil se așteaptă. Dar, din moment ce sunt străini, va trebui să vă asigurați că sunt programați pentru practică și probabil că va trebui să le plătiți pentru timpul lor. Acest lucru înseamnă că este important să se ia în considerare bugetarea dvs., nu doar o dată, ci regulat.

Cât de regulat este această bază depinde de modul în care angajații dvs. interni răspund la primul dvs. test. Primul test va eșua aproape sigur în unele aspecte sau, probabil, în toate aspectele. Acest lucru este de așteptat, deoarece acest răspuns va fi mult mai complex și mai împovărat pentru mulți decât un simplu exercițiu de incendiu. Ce trebuie să faceți este să măsurați gravitatea acelui eșec și să îl utilizați ca bază pentru a decide cât de des și în ce măsură trebuie să vă exersați răspunsul. Nu uitați că un exercițiu de incendiu este acolo pentru un dezastru pe care majoritatea firmelor nu îl vor experimenta niciodată. Forajul dvs. de cyberattack este pentru un dezastru care este practic inevitabil la un moment dat.