Obsah:
- Plánování obnovy
- Kroky zotavení z porušení
- Řešení právních a forenzních otázek
- Testování vašeho plánu
Video: I HAVE A FORTNITE SKIN!!! #ninjaskin (Listopad 2024)
Porušení dat může ukončit vaši společnost na kritickou dobu, někdy i navždy; Určitě to může ohrozit vaši finanční budoucnost a v některých případech vás dokonce může uvěznit. Nic z toho se však nemusí stát, protože pokud plánujete správně, můžete se vy a vaše společnost zotavit a pokračovat v podnikání, někdy během několika minut. Nakonec to všechno spadá do plánování.
Rozdíl je v tom, že předběžné plánování provedené před jakýmkoli porušením má minimalizovat poškození. Po porušení se plán musí soustředit na proces obnovy a řešení následných problémů, za předpokladu, že existují nějaké. Pamatujte, že vaším celkovým cílem, stejně jako tomu bylo před porušením, je minimalizovat dopad, který má porušení na vaši společnost, vaše zaměstnance a vaše zákazníky.
Plánování obnovy
Plánování obnovy se skládá ze dvou širokých kategorií. První z nich je oprava škod způsobených porušením a zajištění, že hrozba je skutečně odstraněna. Druhým je péče o finanční a právní rizika spojená s porušením údajů. Pokud jde o budoucí zdraví vaší organizace, obě jsou stejně důležité.
„Uznání je klíčové, pokud jde o zotavení, “ řekl Sean Blenkhorn, viceprezident, Solutions Engineering and Advisory Services pro spravovanou ochranu a poskytovatele odpovědí eSentire. "Čím rychleji dokážeme odhalit hrozbu, tím lépe ji můžeme zachytit."
Blenkhorn uvedl, že obsazení hrozby se může lišit v závislosti na druhu hrozby. Například v případě ransomwaru to může znamenat použití vaší spravované platformy pro ochranu koncových bodů, která pomůže izolovat malware spolu se sekundárními infekcemi, aby se nemohl šířit, a poté jej odstranit. Může to také znamenat implementaci nových strategií, aby byla blokována budoucí narušení, jako je vybavení uživatelů roamingu a telekomunikací uživateli účty virtuální virtuální privátní sítě (VPN).
Jiné typy hrozeb však mohou vyžadovat různé taktiky. Například útok, který hledá finanční informace, duševní vlastnictví (IP) nebo jiná data z vašeho podniku, nebude zpracován stejným způsobem jako útok ransomware. V takových případech budete možná muset najít a odstranit cestu vstupu a budete muset najít způsob, jak zastavit příkazové a řídicí zprávy. To bude zase vyžadovat, abyste monitorovali a spravovali síťový provoz těchto zpráv, abyste mohli vidět, odkud pocházejí a kde odesílají data.
„Útočníci mají výhodu prvního tahu, “ řekl Blenkhorn. "Musíte hledat anomálie."
Tyto anomálie vás zavedou ke zdroji, obvykle k serveru, který poskytuje přístup nebo zajišťuje exfiltraci. Jakmile to zjistíte, můžete malware odstranit a obnovit server. Blenkhorn však varuje, že budete možná muset znovu obrázek serveru, abyste se ujistili, že jakýkoli malware je opravdu pryč.
Kroky zotavení z porušení
Blenkhorn řekl, že existují tři další věci, které byste si měli pamatovat při plánování obnovy porušení:
- Porušení je nevyhnutelné,
- Technologie sama o sobě problém nevyřeší a
- Musíte předpokládat, že je to hrozba, kterou jste nikdy předtím neviděli.
Jakmile jste však tuto hrozbu odstranili, provedli jste pouze polovinu obnovy. Druhá polovina chrání samotné podnikání. Podle Ari Vareda, vrchního ředitele produktu u poskytovatele kybernetického pojištění CyberPolicy, to znamená, že si předem připravíte své partnery pro obnovu.
„To je místo, kde může mít počítačový plán obnovy zavedený podnik, “ řekl Vared společnosti PCMag v e-mailu. „To znamená zajistit, aby váš právní tým, tým forenzních dat, váš tým PR a vaši klíčoví zaměstnanci předem věděli, co je třeba udělat, kdykoli dojde k porušení.“
Prvním krokem v této oblasti je identifikace partnerů pro obnovení předem, informování o vašem plánu a provedení veškerých opatření nezbytných k zachování jejich služeb v případě porušení. Zní to jako hodně administrativní zátěže, ale Vared uvedl čtyři důležité důvody, které způsobují, že tento proces stojí za námahu:
- Pokud je třeba uzavřít dohody o mlčenlivosti a důvěrnosti, lze s nimi dohodnout předem, spolu s poplatky a dalšími podmínkami, aby nedošlo ke ztrátě času po kybernetickém útoku, který se snaží vyjednat s novým prodejcem.
- Pokud máte kybernetické pojištění, může mít vaše agentura již určit konkrétní partnery. V takovém případě budete chtít tyto zdroje použít k zajištění pokrytí nákladů v souladu s politikou.
- Váš poskytovatel internetového pojištění může mít pokyny pro částku, kterou je ochoten pokrýt v určitých aspektech, a malý majitel středního podnikání (SMB) bude chtít zajistit, aby jejich poplatky za dodavatele spadaly pod tyto pokyny.
- Některé kybernetické pojišťovny budou mít vlastní partnery pro zotavení interně, což z něj učiní řešení pro majitele firmy na klíč, protože vztahy již existují a služby budou automaticky kryty v rámci této politiky.
Řešení právních a forenzních otázek
Vared řekl, že váš právní tým a forenzní tým jsou po útoku vysokou prioritou. Forenzní tým podnikne první kroky k zotavení, jak nastíní Blenkhorn. Jak název napovídá, tento tým je tu, aby zjistil, co se stalo, a co je důležitější, jak. Toto není přiřazovat vinu; je to identifikace chyby zabezpečení, která porušení umožnila, abyste jej mohli připojit. To je důležité rozlišovat mezi zaměstnanci před příchodem forenzního týmu, aby se předešlo nepřiměřenému rancortu nebo starosti.
Vared poznamenal, že právní tým reagující na porušení pravděpodobně nebude stejnými lidmi, kteří se zabývají tradičními právními úkoly pro vaši firmu. Spíše to bude specializovaná skupina se zkušenostmi s řešením následků kybernetických útoků. Tento tým vás může ochránit před soudy vyplývajícími z porušení, jednání s regulačními orgány nebo dokonce při jednání s kybernetickými zloději a jejich výkupnými.
Mezitím bude váš tým PR spolupracovat s vaším právním týmem při vyřizování požadavků na oznámení, komunikaci se svými zákazníky s cílem vysvětlit porušení a vaši odpověď a případně dokonce vysvětlit stejné podrobnosti médiím.
Nakonec, jakmile podniknete kroky potřebné k zotavení z narušení, budete muset shromáždit tyto týmy společně s vedoucími pracovníky na úrovni C a mít schůzku a zprávu po akci. Zpráva o následných akcích je rozhodující pro přípravu vaší organizace na další porušení tím, že určí, co se stalo správně, co se pokazilo a co by se mohlo udělat pro zlepšení vaší reakce příště.
Testování vašeho plánu
- 6 věcí, které dělat po porušení dat 6 věcí, které dělat po porušení dat
- Narušení dat porušilo 4, 5 miliardy záznamů v první polovině roku 2018 Narušení dat narušilo 4, 5 miliardy záznamů v první polovině roku 2018
- Cathay Pacific zveřejňuje porušení dat ovlivňující 9, 4M cestující Cathay Pacific zveřejňuje porušení údajů ovlivňující 9, 4M cestující
To vše předpokládá, že váš plán byl dobře koncipován a proveden kompetentně v případě špatné věci. Bohužel to nikdy není bezpečný předpoklad. Jediným způsobem, jak si můžete být jisti, že váš plán má jakoukoli šanci na úspěch, je praktikovat ho, jakmile bude připraven. Specialisté, se kterými jste spolupracovali a kteří s kybernetickými útoky jednají jako s běžnými událostmi v jejich podnikání, vám nedovolí příliš praktikovat váš plán - jsou na to zvyklí a pravděpodobně to očekávají. Ale protože jsou to zvenčí, musíte se ujistit, že jsou naplánovány na trénink a pravděpodobně je budete muset zaplatit za jejich čas. To znamená, že je důležité to zohlednit při sestavování rozpočtu, a to nejen jednou, ale pravidelně.
Jak pravidelný je tento základ, závisí na tom, jak vaši interní zaměstnanci reagují na váš první test. Váš první test téměř určitě selže v některých nebo možná ve všech aspektech. To se dá očekávat, protože tato reakce bude pro mnohé mnohem složitější a náročnější než pouhá požární cvičení. Co musíte udělat, je změřit závažnost tohoto selhání a použít jej jako výchozí pro rozhodování o tom, jak často a do jaké míry je třeba procvičit vaši odpověď. Nezapomeňte, že při katastrofě existuje požární cvičení, které většina podniků nikdy nezažije. Vaše cvičení pro kybernetický útok je pro katastrofu, která je v určité fázi prakticky nevyhnutelná.
