想在数据泄露事件中幸存?你需要了解这些-阿里云开发者社区

开发者社区> 沉默术士> 正文

想在数据泄露事件中幸存?你需要了解这些

简介:
+关注继续查看

让我们以2012 RSA网络安全大会上,前FBI局长罗伯特·米勒的话作为开场白吧:

“我很确信,世界上只有两种公司:一种已经被黑,一种即将被黑。甚至二者正合为同一个类别:已经被黑且即将再被黑一次。”

很多安全专业人士也持有类似的评论:

“不是是否被黑的问题,而是何时被黑的问题。”

“不是你尚未发生数据泄露,只是你还没意识到自己的数据早已一泻千里而已。”

如今我们都承认,曾经的噩梦已变成了现实。事实无可辩驳,那么我们该怎样确保公司企业在最短的时间内做出最好的修复呢?

好吧,在响应数据泄露事件之前,你得先意识到有数据泄露发生了。然而,不幸的是,太多的公司企业只有事发数月之后,在被司法机构、媒体或在暗网上看到这些数据被售卖的人士通知之时,才会意识到自己已经被攻破了。

怎样检测数据泄露?

企业想要检测数据泄露,必须具备3个条件:有相关知识的人,受监管的策略和过程,以及正确的技术。缺乏这3个条件,就跟蒙上眼在上下班高峰时期行驶在5车道的高速公路上一样,距离升天只是时间问题。

有鉴于把小命玩完不在人生计划之列,我们还是来看一下数据泄露检测的这3驾马车吧。

不仅仅是安全团队需要网络安全培训。所有公司员工都必须具备识别基本的攻击指示器的能力,包括钓鱼邮件、非正常系统活动,以及IT部门发来的非预期凭证索取请求。

公司企业应当考虑实现一个覆盖全公司范围的网络安全培训项目,建立强有力的安全文化,培养员工对网络安全的认知,定义他们对潜在及真实安全事件的响应方式。

过程

对公司企业而言,维护自身数据泄露风险情况是十分重要的。应至少每年一次,审核所有公司数据,确定数据使用方式和保护方法。

另外附上其他一些面向过程的建议:

确定事件响应团队,确保他们完全理解自己的角色和责任;

确保安全策略和规程定期更新,保证它们跟上公司和技术变迁。弄个援引早已过时的过程或技术的古怪计划没有任何好处;

务必事先与法务和公关团队一起制定出良好的沟通计划。

技术

响应团队要有合适的技术工具来做好自己的工作。成功的安全事件响应,要求团队手握功能齐全的事件通知和管理工具集。

最后,如果不能运转良好,最好的人、过程和技术都没啥卵用。定期测试/实践是绝对必须的。

假设公司已在人、过程和技术上做出了投入。接下来便该考虑当不可避免的数据泄露发生时应该做些什么了。

怎样响应数据泄露?

数据泄露发生之后,通常问题会比答案多。其中一些应该自我问询的问题有:

系统受损程度如何?

破坏范围延伸到哪儿了?

被损坏或窃取的数据有哪些?

我能信任哪个系统?

影响评估需要多久?

应该通报哪些人?

怎样预防类似的事情再次发生?

要回答以上乃至更多问题,让我们先为恢复受损系统和公司信誉制定出一套有条理的章程。

数据泄露发生之后最该做的第一步,就是后退!

后退一步,深呼吸。别让当前的紧张情绪和压力迫使你陷入不由自主的下意识反应中。先评估发生了什么,哪些系统受到了影响,是最重要的。

一旦有机会评估当前状况,应先通过减少进一步损害的机会来稳定系统。这意味着移除或减少对产品环境的访问,变更产品凭证,或者冻结对产品做出任何修改。另外,别忘了考虑第三方系统、托管解决方案等等。

时刻谨记,你无法同时搞定所有事情。利用你的数据泄露风险情况帮助制定目标优先级。评估数据源,确保数据源受到足够的保护。监测事件进展,确保与公司管理一致。

随着修复进程开始加速,确保建立起可信参考点,以便能定义什么是“好”什么是“可疑”。黄金构建,或者其他供应源、可信备份和预生产系统,都是有效的起始点。

然后,收集系统状态信息,比如操作系统、应用、配置文件、用户信息和文件散列信息等,评估当前系统状态。将所收集的信息转移到一个不联网存储地,以备离线分析和后续的调查。

接下来,将每个系统与当初的部署进行对比。系统状态信息可以与其他源进行关联以获取更高的准确度。在风险和价值的基础上为你的发现定下优先级,开始从环境中隔离或移除可疑系统。

如果某个受损系统必须保持运行,你得实现一套强力控制措施来预防它感染或重复感染其他系统。

现在,我们可以开始分析可用数据来确定感染路径和原因了。

缘由找出,则可以开始从可信源上重建系统,重新在环境中部署可信系统了。基于分析结果,你可能会想进行额外的强化以防止重复感染。

随着可信系统重新部署到环境中,建立一套持续的监测策略来确保能检测出进一步的异常或不一致之处就显得特别重要了。你最不需要的东西,就是攻你不备,让你所有的努力付之一炬的异常因素了。

整个过程中,应该保持沟通顺畅。在内部,公司管理层应对进展知情。外部,要与法务和公关团队合作,确保主要客户、利益相关者和必要的政府部门以正确的方式获悉事件进展。

当系统稳定下来,公司恢复正轨,别急着庆贺。先对公司的表现、成功、失败和教训进行一个详细的评估。确保计划和过程都经过了调整,必要的地方甚至重写了。另外,管理层和董事会那里也要提交一份报告,论功行赏。
本文转自d1net(转载)

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
10061 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10882 0
DataV实战#2 - 无交互事件组件数据源查询时间变量传递技巧
对于类似翻牌器这样的带交互事件组件数据源查询时间变量传递,可以通过时间轴配置交互事件进行传递配置。但对于类似仪表盘、水位图、轮播饼图这样的无交互事件组件,该配置方式无法传入时间变量。 查询DataV官方文档无果,请教DataV专家@子墨, 找到了一个解决方式,记录如下,以供需要的同学参考。 该方案的使用数字翻牌器组件作为传递时间变量。 ## 配置数字翻牌器 第一步,配置数字翻牌
1503 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13874 0
最佳实践|数据泄漏事件频发的背后:企业如何才能保障数据安全?
众所周知,当前全球已逐渐进入数字化时代,数据已成为企业的核心生产要素,任何数据数据安全事件都是影响重大的。一旦出现数据安全事件,不仅对用户的使用体验和个人隐私带来威胁,且企业也可能面临重大损失及经营风险。数据安全防护已经日渐成为企业关注的重要诉求之一。 为帮助广大企业客户有效保护数据安全,阿里云数据库团队推出覆盖事前、事中及事后的全链路数据安全防护方案,并已服务了上万企业客户。
211 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
11888 0
阿里云ECS云服务器初始化设置教程方法
阿里云ECS云服务器初始化是指将云服务器系统恢复到最初状态的过程,阿里云的服务器初始化是通过更换系统盘来实现的,是免费的,阿里云百科网分享服务器初始化教程: 服务器初始化教程方法 本文的服务器初始化是指将ECS云服务器系统恢复到最初状态,服务器中的数据也会被清空,所以初始化之前一定要先备份好。
7360 0
+关注
5518
文章
253
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载