Дом Бизнес Планирование реакции на нарушение

Планирование реакции на нарушение

Оглавление:

Видео: Настя и сборник весёлых историй (Ноябрь 2024)

Видео: Настя и сборник весёлых историй (Ноябрь 2024)
Anonim

Нарушение данных может закрыть вашу компанию на критический период времени, иногда навсегда; это, безусловно, может поставить под угрозу ваше финансовое будущее, а в некоторых случаях даже посадить вас в тюрьму. Но ничего этого не должно произойти, потому что, если вы планируете правильно, вы и ваша компания сможете восстановиться и продолжить свою деятельность, иногда в течение нескольких минут. В конечном итоге все сводится к планированию.

На прошлой неделе мы обсуждали, как подготовиться к взлому данных. Предполагая, что вы сделали это до того, как произошло нарушение, ваши следующие шаги достаточно просты. Но одним из этих шагов по готовности было создать план и затем проверить его. И да, это займет значительный объем работы.

Разница в том, что предварительное планирование, выполненное до любого нарушения, направлено на минимизацию ущерба. После нарушения план должен сосредоточиться на процессе восстановления и решении последующих проблем, при условии, что они есть. Помните, что ваша общая цель, как это было до нарушения, состоит в том, чтобы минимизировать влияние нарушения на вашу компанию, ваших сотрудников и ваших клиентов.

Планирование восстановления

Планирование восстановления состоит из двух широких категорий. Первый - это устранение ущерба, нанесенного нарушением, и обеспечение того, чтобы угроза была фактически устранена. Второе - забота о финансовых и юридических рисках, которые сопровождают нарушение данных. Что касается будущего здоровья вашей организации, то оба они одинаково важны.

«Сдерживание является ключевым с точки зрения восстановления», - сказал Шон Бленхорн, вице-президент по разработке решений и консультационным услугам для поставщика управляемой защиты и реагирования eSentire. «Чем быстрее мы сможем обнаружить угрозу, тем лучше мы сможем ее сдержать».

Бленхорн сказал, что сдерживание угрозы может отличаться в зависимости от того, какая угроза задействована. Например, в случае вымогателей это может означать использование вашей платформы защиты управляемых конечных точек, чтобы помочь изолировать вредоносное ПО вместе с любыми вторичными инфекциями, чтобы оно не могло распространиться, а затем удалить его. Это также может означать внедрение новых стратегий, позволяющих блокировать будущие нарушения, например, предоставление пользователям роуминга и удаленного доступа учетных записей личной виртуальной частной сети (VPN).

Однако для других типов угроз может потребоваться другая тактика. Например, атака, которая ищет финансовую информацию, интеллектуальную собственность (IP) или другие данные от вашего предприятия, не будет обрабатываться так же, как атака вымогателей. В этих случаях вам может понадобиться найти и устранить путь входа, а также вам нужно будет найти способ остановить команды и управляющие сообщения. Это, в свою очередь, потребует от вас отслеживания и управления сетевым трафиком для этих сообщений, чтобы вы могли видеть, откуда они отправляются и куда они отправляют данные.

«У злоумышленников есть преимущество первопроходца», - сказал Бленхорн. «Вы должны искать аномалии».

Эти аномалии приведут вас к ресурсу, обычно серверу, который предоставляет доступ или обеспечивает эксфильтрацию. Как только вы нашли это, вы можете удалить вредоносную программу и восстановить сервер. Тем не менее, Blenkhorn предупреждает, что вам может понадобиться повторно создать образ сервера, чтобы быть уверенным, что вредоносное ПО действительно исчезло.

Шаги по восстановлению

Бленхорн сказал, что при планировании восстановления после взлома следует помнить еще три вещи:

  1. Нарушение неизбежно,
  2. Технология сама по себе не решит проблему, и
  3. Вы должны предположить, что это угроза, которую вы никогда не видели раньше.

Но как только вы устранили угрозу, вы выполнили только половину восстановления. Другая половина защищает сам бизнес. По словам Ари Вареда, старшего директора по продукту в CyberPolicy, провайдера кибер-страхования, это означает предварительную подготовку партнеров по восстановлению.

«Именно здесь наличие плана кибер-восстановления может спасти бизнес», - сказал Варед в электронном письме PCMag. «Это означает, что вы должны быть уверены, что ваша юридическая команда, команда по криминалистике данных, ваша команда по связям с общественностью и ваши ключевые сотрудники заранее знают, что нужно делать в случае нарушения».

Первый шаг - это предварительная идентификация ваших партнеров по восстановлению, информирование их о вашем плане и принятие любых необходимых мер для сохранения их услуг в случае нарушения. Это звучит как большая административная нагрузка, но Варед перечислил четыре важные причины, по которым процесс стоит затраченных усилий:

  1. Если есть необходимость в соглашениях о неразглашении и конфиденциальности, то о них можно заранее договориться, а также о сборах и других условиях, чтобы вы не теряли время после кибератак, пытающихся договориться с новым поставщиком.
  2. Если у вас есть киберстрахование, возможно, в вашем агентстве уже определены конкретные партнеры. В этом случае вы захотите использовать эти ресурсы для обеспечения покрытия расходов в соответствии с политикой.
  3. У вашего провайдера киберстрахования могут быть рекомендации относительно суммы, которую он готов покрыть по определенным аспектам, и владелец малого и среднего бизнеса (SMB) захочет убедиться, что их сборы с поставщиков подпадают под эти рекомендации.
  4. У некоторых киберстраховых компаний будут необходимые партнеры по восстановлению, что делает это решение «под ключ» для владельца бизнеса, поскольку отношения уже установлены, и услуги будут автоматически покрываться полисом.

Решение юридических и криминалистических вопросов

Варед сказал, что ваша команда юристов и криминалисты имеют высокий приоритет после атаки. Команда криминалистов предпримет первые шаги в восстановлении, как обрисовал в общих чертах Бленхорн. Как следует из названия, эта команда собирается выяснить, что произошло и, что более важно, как. Это не назначать вину; это выявить уязвимость, которая допустила нарушение, чтобы вы могли подключить его. Это важное различие, которое необходимо проводить с сотрудниками до прибытия команды экспертов, чтобы избежать неоправданной злобы или беспокойства.

Варед отметил, что юристы, отвечающие на нарушение, вероятно, не будут теми же людьми, которые занимаются традиционными юридическими задачами для вашего бизнеса. Скорее, они будут специализированной группой с опытом борьбы с последствиями кибератак. Эта команда может защитить вас от судебных исков, связанных с нарушением, с регуляторами или даже с переговорами с кибер-ворами и их выкупом.

Тем временем, ваша PR-команда будет работать с вашей юридической командой, чтобы обработать требования уведомления, общаться с вашими клиентами, чтобы объяснить нарушение и ваш ответ, и, возможно, даже объяснить те же детали для средств массовой информации.

Наконец, после того, как вы предпримете шаги, необходимые для восстановления после взлома, вам нужно будет собрать эти команды вместе с руководителями уровня С и провести совещание и отчет по окончании мероприятия. Отчет после действий имеет решающее значение для подготовки вашей организации к следующему нарушению путем определения того, что пошло правильно, что пошло не так, и что можно сделать, чтобы улучшить ваш ответ в следующий раз.

Тестирование вашего плана

  • 6 вещей, которые нельзя делать после взлома данных 6 вещей, которые нельзя делать после взлома данных
  • Нарушение данных поставило под угрозу 4, 5 миллиарда записей в первой половине 2018 года Нарушение данных поставило под угрозу 4, 5 миллиарда записей в первой половине 2018 года
  • Cathay Pacific раскрывает нарушение данных, затрагивающее 9, 4 млн. Пассажиров Cathay Pacific раскрывает нарушение данных, затрагивающее 9, 4 млн. Пассажиров

Все это предполагает, что ваш план был хорошо продуман и грамотно выполнен в случае плохой вещи. К сожалению, это никогда не безопасное предположение. Единственный способ быть уверенным в том, что у вашего плана есть шанс на успех, - это практиковать его, как только он будет готов. Специалисты, которых вы привлекли, которые имеют дело с кибератаками как с регулярными событиями в своем бизнесе, не окажут вам большого сопротивления в реализации вашего плана - они привыкли к этому и, вероятно, ожидают его. Но поскольку они посторонние, вам нужно убедиться, что они запланированы на тренировку, и вам, вероятно, придется платить им за их время. Это означает, что важно учитывать это при составлении бюджета не только один раз, но и на регулярной основе.

Насколько регулярна эта основа, зависит от того, как ваши штатные сотрудники отреагируют на ваш первый тест. Ваш первый тест почти наверняка провалится в некоторых или, возможно, во всех аспектах. Этого и следовало ожидать, так как этот ответ будет гораздо более сложным и обременительным для многих, чем простая пожарная тренировка. Что вам нужно сделать, это измерить серьезность этого сбоя и использовать его в качестве основы для принятия решения о том, как часто и в какой степени вам нужно практиковать свой ответ. Помните, что пожарная тренировка - это катастрофа, с которой большинство предприятий никогда не столкнется. Ваша тренировка по кибератакам предназначена для катастрофы, которая практически неизбежна на каком-то этапе.

Планирование реакции на нарушение

Выбор редактора

Выбор редактора

Выбор редактора

Выбор редактора

Выбор редактора

Выбор редактора

Популярные категории

© Copyright russian.rovinstechnologies.com, 2024 Ноябрь | О сайте | Контакты | Политика конфиденциальности.