让我们以2012 RSA网络安全大会上,前FBI局长罗伯特·米勒的话作为开场白吧:
“我很确信,世界上只有两种公司:一种已经被黑,一种即将被黑。甚至二者正合为同一个类别:已经被黑且即将再被黑一次。”
很多安全专业人士也持有类似的评论:
“不是是否被黑的问题,而是何时被黑的问题。”
“不是你尚未发生数据泄露,只是你还没意识到自己的数据早已一泻千里而已。”
如今我们都承认,曾经的噩梦已变成了现实。事实无可辩驳,那么我们该怎样确保公司企业在最短的时间内做出最好的修复呢?
好吧,在响应数据泄露事件之前,你得先意识到有数据泄露发生了。然而,不幸的是,太多的公司企业只有事发数月之后,在被司法机构、媒体或在暗网上看到这些数据被售卖的人士通知之时,才会意识到自己已经被攻破了。
怎样检测数据泄露?
企业想要检测数据泄露,必须具备3个条件:有相关知识的人,受监管的策略和过程,以及正确的技术。缺乏这3个条件,就跟蒙上眼在上下班高峰时期行驶在5车道的高速公路上一样,距离升天只是时间问题。
有鉴于把小命玩完不在人生计划之列,我们还是来看一下数据泄露检测的这3驾马车吧。
人
不仅仅是安全团队需要网络安全培训。所有公司员工都必须具备识别基本的攻击指示器的能力,包括钓鱼邮件、非正常系统活动,以及IT部门发来的非预期凭证索取请求。
公司企业应当考虑实现一个覆盖全公司范围的网络安全培训项目,建立强有力的安全文化,培养员工对网络安全的认知,定义他们对潜在及真实安全事件的响应方式。
过程
对公司企业而言,维护自身数据泄露风险情况是十分重要的。应至少每年一次,审核所有公司数据,确定数据使用方式和保护方法。
另外附上其他一些面向过程的建议:
确定事件响应团队,确保他们完全理解自己的角色和责任;
确保安全策略和规程定期更新,保证它们跟上公司和技术变迁。弄个援引早已过时的过程或技术的古怪计划没有任何好处;
务必事先与法务和公关团队一起制定出良好的沟通计划。
技术
响应团队要有合适的技术工具来做好自己的工作。成功的安全事件响应,要求团队手握功能齐全的事件通知和管理工具集。
最后,如果不能运转良好,最好的人、过程和技术都没啥卵用。定期测试/实践是绝对必须的。
假设公司已在人、过程和技术上做出了投入。接下来便该考虑当不可避免的数据泄露发生时应该做些什么了。
怎样响应数据泄露?
数据泄露发生之后,通常问题会比答案多。其中一些应该自我问询的问题有:
系统受损程度如何?
破坏范围延伸到哪儿了?
被损坏或窃取的数据有哪些?
我能信任哪个系统?
影响评估需要多久?
应该通报哪些人?
怎样预防类似的事情再次发生?
要回答以上乃至更多问题,让我们先为恢复受损系统和公司信誉制定出一套有条理的章程。
数据泄露发生之后最该做的第一步,就是后退!
后退一步,深呼吸。别让当前的紧张情绪和压力迫使你陷入不由自主的下意识反应中。先评估发生了什么,哪些系统受到了影响,是最重要的。
一旦有机会评估当前状况,应先通过减少进一步损害的机会来稳定系统。这意味着移除或减少对产品环境的访问,变更产品凭证,或者冻结对产品做出任何修改。另外,别忘了考虑第三方系统、托管解决方案等等。
时刻谨记,你无法同时搞定所有事情。利用你的数据泄露风险情况帮助制定目标优先级。评估数据源,确保数据源受到足够的保护。监测事件进展,确保与公司管理一致。
随着修复进程开始加速,确保建立起可信参考点,以便能定义什么是“好”什么是“可疑”。黄金构建,或者其他供应源、可信备份和预生产系统,都是有效的起始点。
然后,收集系统状态信息,比如操作系统、应用、配置文件、用户信息和文件散列信息等,评估当前系统状态。将所收集的信息转移到一个不联网存储地,以备离线分析和后续的调查。
接下来,将每个系统与当初的部署进行对比。系统状态信息可以与其他源进行关联以获取更高的准确度。在风险和价值的基础上为你的发现定下优先级,开始从环境中隔离或移除可疑系统。
如果某个受损系统必须保持运行,你得实现一套强力控制措施来预防它感染或重复感染其他系统。
现在,我们可以开始分析可用数据来确定感染路径和原因了。
缘由找出,则可以开始从可信源上重建系统,重新在环境中部署可信系统了。基于分析结果,你可能会想进行额外的强化以防止重复感染。
随着可信系统重新部署到环境中,建立一套持续的监测策略来确保能检测出进一步的异常或不一致之处就显得特别重要了。你最不需要的东西,就是攻你不备,让你所有的努力付之一炬的异常因素了。
整个过程中,应该保持沟通顺畅。在内部,公司管理层应对进展知情。外部,要与法务和公关团队合作,确保主要客户、利益相关者和必要的*部门以正确的方式获悉事件进展。
当系统稳定下来,公司恢复正轨,别急着庆贺。先对公司的表现、成功、失败和教训进行一个详细的评估。确保计划和过程都经过了调整,必要的地方甚至重写了。另外,管理层和董事会那里也要提交一份报告,论功行赏。
本文转自d1net(转载)