Планиране на отговор за нарушение

Нарушаването на данните може да изключи вашата компания за критичен период от време, понякога завинаги; това със сигурност може да изложи финансовото ви бъдеще на риск и в някои случаи дори може да ви приземи в затвора. Но нищо от това не трябва да се случи, защото ако правилно планирате, вие и вашата компания можете да се възстановите и да продължите да работите, понякога в рамките на минути. В крайна сметка всичко се свежда до планирането.

Миналата седмица обсъдихме как да се подготвим за нарушаване на данните. Ако приемем, че сте направили това преди да се е случило нарушението ви, следващите ви стъпки са разумни. Но една от тези стъпки за подготовка беше да се създаде план и след това да се тества. И, да, това ще отнеме значително количество работа.

Разликата е, че предварително планирането, извършено преди всяко нарушение, има за цел да сведе до минимум щетите. След нарушението планът трябва да се съсредоточи върху процеса на възстановяване и справяне с последващи проблеми, като приемем, че има такива. Запомнете общата си цел, точно както беше преди нарушението, е да сведете до минимум влиянието, което нарушението оказва върху вашата компания, вашите служители и вашите клиенти.

Планиране за възстановяване

Планирането за възстановяване се състои от две широки категории. Първото е да се фиксират щетите, причинени от нарушението и да се гарантира, че заплахата е действително елиминирана. Втората е грижата за финансовите и правни рискове, които съпътстват нарушение на данните. Що се отнася до бъдещото здраве на вашата организация, и двете са еднакво важни.

„Задържането е ключово по отношение на възстановяването“, заяви Шон Бленхорн, вицепрезидент, Solutions Engineering и консултантски услуги за доставчик на управлявана защита и реагиране eSentire. „Колкото по-бързо можем да открием заплахата, толкова по-добре можем да я ограничим.“

Бленхорн каза, че съдържането на заплаха може да се различава в зависимост от какъв вид заплаха става дума. В случай на софтуер за откупи, например, това може да означава използването на вашата управлявана платформа за защита на крайната точка, за да помогнете за изолирането на зловредния софтуер заедно с всички вторични инфекции, така че да не може да се разпространи, и след това да го премахнете. Това може също да означава прилагането на нови стратегии, така че бъдещите нарушения да бъдат блокирани, като оборудване на роуминг и телекомуникационни потребители с лични акаунти на виртуална частна мрежа (VPN).

Въпреки това, други видове заплахи могат да изискват различни тактики. Например, атака, която търси финансова информация, интелектуална собственост (IP) или други данни от вашето предприятие, няма да бъде обработена по същия начин като атака за откуп. В тези случаи може да се наложи да намерите и премахнете пътя на влизане и ще трябва да намерите начин да спрете командните и контролните съобщения. Това от своя страна ще изисква да наблюдавате и управлявате мрежовия си трафик за тези съобщения, така че да можете да видите къде те произхождат и къде изпращат данни.

"Атакуващите имат първо предимство на хамалите", каза Бленхорн. "Трябва да търсите аномалии."

Тези аномалии ще ви отведат до ресурса, обикновено сървър, който предоставя достъп или осигурява ексфилтрация. След като установите това, можете да премахнете зловредния софтуер и да възстановите сървъра. Въпреки това, Blenkhorn предупреждава, че може да се наложи да преобразувате отново сървъра, за да сте сигурни, че някой злонамерен софтуер наистина няма.

Стъпки за възстановяване на нарушение

Бленхорн каза, че има три допълнителни неща, които трябва да запомните, когато планирате възстановяване при нарушение:

1. Нарушението е неизбежно,
2. Само технологията няма да реши проблема и
3. Трябва да приемете, че това е заплаха, която никога не сте виждали досега.

Но след като премахнете заплахата, сте извършили само половината от възстановяването. Другата половина защитава самия бизнес. Според Ари Варед, старши директор на продукта при доставчика на киберзастраховане CyberPolicy, това означава предварително да подготвите партньорите си за възстановяване.

„Ето тук създаването на план за възстановяване от кибер може да спаси бизнеса“, каза Vared пред PCMag в имейл. "Това означава да се уверите, че вашият правен екип, екип по криминалистика на данни, вашият PR екип и вашите ключови служители предварително знаят какво трябва да се направи, когато има нарушение."

Първата стъпка там означава предварително да идентифицирате партньорите си за възстановяване, да ги информирате за вашия план и да предприемете всички необходими действия, за да запазите услугите си в случай на нарушение. Това звучи като много административна тежест, но Vared изброи четири важни причини, поради които процесът си струва усилията:

1. Ако има нужда от споразумения за неразгласяване и конфиденциалност, тогава те могат да бъдат договорени предварително, заедно с такси и други условия, така че да не губите време след кибератака, която се опитва да договори с нов доставчик.
2. Ако имате киберзастраховка, може би вашата агенция вече има определени партньори. В този случай ще искате да използвате тези ресурси, за да гарантирате, че разходите са покрити в съответствие с правилата.
3. Вашият доставчик на киберзастраховане може да има указания за сумата, която е готов да покрие за определени аспекти, а собственикът на малкия и среден бизнес (SMB) ще иска да се увери, че таксите на техните доставчици попадат в тези указания.
4. Някои киберзастрахователни компании ще разполагат с необходимите партньори за възстановяване, което го прави готово решение за собственика на бизнеса, тъй като взаимоотношенията вече са налице и услугите автоматично ще бъдат обхванати от полицата.

Решаване на правни и криминалистични проблеми

Vared каза, че вашият правен екип и екипът по криминалистика са основен приоритет след атака. Екипът по криминалистика ще направи първите стъпки за възстановяване, както е очертано от Blenkhorn. Както подсказва името, този екип е там, за да разбере какво се е случило и по-важното - как. Това не е възлагане на вина; това е да се идентифицира уязвимостта, която позволи нарушението, за да можете да го включите. Това е важно разграничение, което трябва да направите със служителите преди пристигането на екипа по криминалистика, за да избегнете ненужно зло или притеснение.

Vared отбеляза, че правният екип, който реагира на нарушението, вероятно няма да бъдат същите хора, които се справят с традиционните правни задачи за вашия бизнес. По-скоро те ще бъдат специализирана група с опит в справянето с последствията от кибератаки. Този екип може да ви защити срещу съдебни дела, произтичащи от нарушението, работа с регулатори или дори водене на преговори с кибер-крадци и техните откупи.

Междувременно вашият PR екип ще работи с вашия правен екип за справяне с изискванията за уведомяване, ще комуникира с клиентите си, за да обясни нарушението и отговора ви и евентуално дори да обясни същите подробности на медиите.

И накрая, след като предприемете необходимите стъпки, за да се възстановите от нарушението, ще трябва да съберете тези екипи заедно с ръководителите на ниво С и да проведете среща и доклад за последващи действия. Докладът за последващи действия е от решаващо значение за подготовката на вашата организация за следващото нарушение, като определите какво се е объркало, какво се обърка и какво може да се направи, за да подобрите отговора си следващия път.

Тестване на вашия план

• 6 неща, които не трябва да се правят след нарушаване на данни 6 неща, които не трябва да се правят след нарушение на данните
• Нарушенията на данните са компрометирани 4, 5 милиарда записа през първата половина на 2018 г. Нарушенията на данните са компрометирани 4, 5 милиарда записа през първата половина на 2018 г.
• Cathay Pacific разкрива нарушаване на данни, засягащи 9.4M пътници Cathay Pacific разкрива нарушаване на данни, засягащи 9.4M пътници

Всичко това предполага, че планът ви е бил добре замислен и изпълнен компетентно в случай на лошо нещо. За съжаление, това никога не е сигурно предположение. Единственият начин да бъдете сигурни, че планът ви има всякакъв шанс за успех е да го практикувате, след като е подготвен. Специалистите, с които сте се ангажирали, които се занимават с кибератаки като редовни събития в техния бизнес, няма да ви окажат голяма съпротива да практикувате плана си - те са свикнали на това и вероятно го очакват. Но тъй като те са външни лица, ще трябва да се уверите, че са насрочени за тренировката и вероятно ще трябва да им платите за времето си. Това означава, че е важно да го вложите в бюджета си, не само веднъж, а редовно.

Колко редовна е тази основа зависи от това как вашите вътрешни служители реагират на първия ви тест. Първият ви тест почти сигурно ще се провали в някои или вероятно във всички аспекти. Това може да се очаква, тъй като този отговор ще бъде много по-сложен и обременителен за мнозина от обикновена пожарна тренировка. Това, което трябва да направите, е да измерите тежестта на този неуспех и да го използвате като основна линия за вземане на решение колко често и до каква степен е необходимо да практикувате отговора си. Не забравяйте, че пожарна тренировка е там за бедствие, което повечето фирми никога няма да преживеят. Вашата тренировка за кибератаки е за бедствие, което е практически неизбежно на някакъв етап.