想在数据泄露事件中幸存?你需要了解这些

简介: 本文讲的是 想在数据泄露事件中幸存?你需要了解这些,让我们以2012 RSA网络安全大会上,前FBI局长罗伯特·米勒的话作为开场白吧:

本文讲的是 想在数据泄露事件中幸存?你需要了解这些,让我们以2012 RSA网络安全大会上,前FBI局长罗伯特·米勒的话作为开场白吧:

“我很确信,世界上只有两种公司:一种已经被黑,一种即将被黑。甚至二者正合为同一个类别:已经被黑且即将再被黑一次。”

image

很多安全专业人士也持有类似的评论:

“不是是否被黑的问题,而是何时被黑的问题。”

“不是你尚未发生数据泄露,只是你还没意识到自己的数据早已一泻千里而已。”

如今我们都承认,曾经的噩梦已变成了现实。事实无可辩驳,那么我们该怎样确保公司企业在最短的时间内做出最好的修复呢?

好吧,在响应数据泄露事件之前,你得先意识到有数据泄露发生了。然而,不幸的是,太多的公司企业只有事发数月之后,在被司法机构、媒体或在暗网上看到这些数据被售卖的人士通知之时,才会意识到自己已经被攻破了。

怎样检测数据泄露?

企业想要检测数据泄露,必须具备3个条件:有相关知识的人,受监管的策略和过程,以及正确的技术。缺乏这3个条件,就跟蒙上眼在上下班高峰时期行驶在5车道的高速公路上一样,距离升天只是时间问题。

有鉴于把小命玩完不在人生计划之列,我们还是来看一下数据泄露检测的这3驾马车吧。

不仅仅是安全团队需要网络安全培训。所有公司员工都必须具备识别基本的攻击指示器的能力,包括钓鱼邮件、非正常系统活动,以及IT部门发来的非预期凭证索取请求。

公司企业应当考虑实现一个覆盖全公司范围的网络安全培训项目,建立强有力的安全文化,培养员工对网络安全的认知,定义他们对潜在及真实安全事件的响应方式。

过程

对公司企业而言,维护自身数据泄露风险情况是十分重要的。应至少每年一次,审核所有公司数据,确定数据使用方式和保护方法。

另外附上其他一些面向过程的建议:

确定事件响应团队,确保他们完全理解自己的角色和责任;
确保安全策略和规程定期更新,保证它们跟上公司和技术变迁。弄个援引早已过时的过程或技术的古怪计划没有任何好处;
务必事先与法务和公关团队一起制定出良好的沟通计划。
技术

响应团队要有合适的技术工具来做好自己的工作。成功的安全事件响应,要求团队手握功能齐全的事件通知和管理工具集。

最后,如果不能运转良好,最好的人、过程和技术都没啥卵用。定期测试/实践是绝对必须的。

假设公司已在人、过程和技术上做出了投入。接下来便该考虑当不可避免的数据泄露发生时应该做些什么了。

怎样响应数据泄露?

数据泄露发生之后,通常问题会比答案多。其中一些应该自我问询的问题有:

系统受损程度如何?
破坏范围延伸到哪儿了?
被损坏或窃取的数据有哪些?
我能信任哪个系统?
影响评估需要多久?
应该通报哪些人?
怎样预防类似的事情再次发生?
要回答以上乃至更多问题,让我们先为恢复受损系统和公司信誉制定出一套有条理的章程。

数据泄露发生之后最该做的第一步,就是后退!

后退一步,深呼吸。别让当前的紧张情绪和压力迫使你陷入不由自主的下意识反应中。先评估发生了什么,哪些系统受到了影响,是最重要的。

一旦有机会评估当前状况,应先通过减少进一步损害的机会来稳定系统。这意味着移除或减少对产品环境的访问,变更产品凭证,或者冻结对产品做出任何修改。另外,别忘了考虑第三方系统、托管解决方案等等。

时刻谨记,你无法同时搞定所有事情。利用你的数据泄露风险情况帮助制定目标优先级。评估数据源,确保数据源受到足够的保护。监测事件进展,确保与公司管理一致。

随着修复进程开始加速,确保建立起可信参考点,以便能定义什么是“好”什么是“可疑”。黄金构建,或者其他供应源、可信备份和预生产系统,都是有效的起始点。

然后,收集系统状态信息,比如操作系统、应用、配置文件、用户信息和文件散列信息等,评估当前系统状态。将所收集的信息转移到一个不联网存储地,以备离线分析和后续的调查。

接下来,将每个系统与当初的部署进行对比。系统状态信息可以与其他源进行关联以获取更高的准确度。在风险和价值的基础上为你的发现定下优先级,开始从环境中隔离或移除可疑系统。

如果某个受损系统必须保持运行,你得实现一套强力控制措施来预防它感染或重复感染其他系统。

现在,我们可以开始分析可用数据来确定感染路径和原因了。

缘由找出,则可以开始从可信源上重建系统,重新在环境中部署可信系统了。基于分析结果,你可能会想进行额外的强化以防止重复感染。

随着可信系统重新部署到环境中,建立一套持续的监测策略来确保能检测出进一步的异常或不一致之处就显得特别重要了。你最不需要的东西,就是攻你不备,让你所有的努力付之一炬的异常因素了。

整个过程中,应该保持沟通顺畅。在内部,公司管理层应对进展知情。外部,要与法务和公关团队合作,确保主要客户、利益相关者和必要的政府部门以正确的方式获悉事件进展。

当系统稳定下来,公司恢复正轨,别急着庆贺。先对公司的表现、成功、失败和教训进行一个详细的评估。确保计划和过程都经过了调整,必要的地方甚至重写了。另外,管理层和董事会那里也要提交一份报告,论功行赏。

原文发布时间为:五月 25, 2016
本文作者:nana
本文来自云栖社区合作伙伴安全牛,了解相关信息可以关注安全牛。
原文链接:http://www.aqniu.com/industry/16198.html

相关文章
|
安全 网络安全 内存技术
网络安全——xss漏洞之最全事件函数汇总
还在为xss漏洞找不到而发愁?看看这篇最全xss攻击函数汇总在说
529 0
网络安全——xss漏洞之最全事件函数汇总
|
安全 Cloud Native 物联网
2020年勒索病毒事件盘点及未来发展趋势
在魔幻的2020年,从勒索病毒新面孔WannaRen火上热搜,到知名B站UP主被勒索后在线求助,可以看出勒索病毒依然是网络病毒中的“顶流”。
3049 0
2020年勒索病毒事件盘点及未来发展趋势
|
安全 NoSQL 关系型数据库
数据库勒索事件频发,应该如何确保不被入侵勒索?
从2016年12月份到2017年,互联网用户陆续遭受到不同类型数据的勒索事件,笔者统计了一下,大概至少有5中类型的针对数据的勒索事件: ElasticSearch勒索事件 MongoDB勒索事件 MySQL勒索事件 Redis勒索事件 PostgreSQL勒索事件 甚至还有针对Oracle的勒索事件…… 看起来只要是“裸奔”在互联网上的数据库,都未能幸免,成百上千个开放在公网的 MySQL 数据库被劫持,攻击者删除了数据库中的存储数据,并留下勒索信息,要求支付比特币以赎回数据。
4322 0
|
运维 安全 数据库
“数据门”事件频发 如何避免人为因素导致数据泄露?
前段时间,某酒店集团数据泄露引起轩然大波,泄露的数据中包含了用户姓名、手机号、邮箱、身份证号等多项信息。卖家对这个约5亿条数据打包出售价格为8比特币或520门罗币。
2139 0
|
运维 安全 NoSQL
2017年重要数据安全事件解读
2017云上安全发生了哪些大事件,盘点云数据安全事件,了解全球云安全趋势!
5045 0
|
安全 网络安全 CDN
安天针对“魔鼬”木马DDoS事件分析报告
本文讲的是安天针对“魔鼬”木马DDoS事件分析报告,2017年7月30日,安天安全研究与应急处理中心(Antiy CERT)的工程师发现一种具备拒绝服务(DDoS)攻击能力的新型木马。经初步分析,安天CERT工程师认为该木马属于一个新家族,并将其命名为“魔鼬”。
1601 0
|
安全 网络安全 区块链
CNNVD关于WannaCry勒索软件攻击事件的分析报告
本文讲的是CNNVD关于WannaCry勒索软件攻击事件的分析报告,一款名为“WannaCry”(也称WannaCrpt、WannaCrpt0r、Wcrypt、WCRY)的勒索软件在全球范围内爆发,造成极大影响。
2161 0
|
安全 数据库 数据安全/隐私保护