Planlegg bruddresponsen

Et datainnbrudd kan stenge selskapet ditt i en kritisk lang tid, noen ganger for alltid; det kan absolutt sette din økonomiske fremtid i fare, og i noen tilfeller kan den til og med lande deg i fengsel. Men ingenting av dette må skje fordi, hvis du planlegger riktig, kan du og din bedrift komme seg og fortsette i virksomheten, noen ganger i løpet av få minutter. Til syvende og sist kommer det hele til planlegging.

Forrige uke diskuterte vi hvordan vi kan forberede oss på et datainnbrudd. Forutsatt at du gjorde det før bruddet skjedde, er dine neste trinn rimelig enkle. Men et av disse beredskapstrinnene var å lage en plan og deretter teste den. Og ja, det vil ta en betydelig mengde arbeid.

Forskjellen er at den forhåndsplanleggingen som er gjort før brudd, er ment å minimere skaden. Etter bruddet, trenger planen å fokusere på utvinningsprosessen og håndtere problemer etter etterspillet, forutsatt at det er noen. Husk at det overordnede målet ditt, akkurat som det var før bruddet, er å minimere virkningen bruddet har på din bedrift, dine ansatte og dine kunder.

Planlegger for utvinning

Restitusjonsplanlegging består av to brede kategorier. Den første er å fikse skaden forårsaket av bruddet og sørge for at trusselen faktisk blir eliminert. Det andre er å ta vare på den økonomiske og juridiske risikoen som følger med et datainnbrudd. Så langt den fremtidige helsen til din organisasjon går, er begge deler like viktige.

"Inneholder er nøkkelen når det gjelder utvinning, " sa Sean Blenkhorn, visepresident, Solutions Engineering and Advisory Services for administrert beskyttelse og responsleverandør eSentire. "Jo raskere vi kan oppdage trusselen, jo bedre kan vi inneholde den."

Blenkhorn sa at det å inneholde en trussel kan variere avhengig av hva slags trussel det er snakk om. Når det gjelder ransomware, kan det for eksempel bety å bruke den administrerte endepunktbeskyttelsesplattformen for å isolere skadelig programvare sammen med eventuelle sekundære infeksjoner slik at den ikke kan spre seg, og deretter fjerne den. Det kan også bety å implementere nye strategier slik at fremtidige brudd blir blokkert, som å utstyre roaming og telekommunisere brukere med personlige virtuelle private nettverk (VPN) -kontoer.

Imidlertid kan andre typer trusler kreve forskjellige taktikker. Et angrep som søker økonomisk informasjon, immateriell eiendom (IP) eller andre data fra bedriften din, behandles for eksempel ikke på samme måte som et ransomware-angrep. I disse tilfellene kan det hende du må finne og eliminere innføringsveien, og du må finne en måte å stoppe kommandoen og kontrollmeldingene på. Dette vil igjen kreve at du overvåker og administrerer nettverkstrafikken for disse meldingene, slik at du kan se hvor de kommer fra og hvor de sender data.

"Angrepere har fordel av første flytter, " sa Blenkhorn. "Du må se etter anomalier."

Disse avvikene tar deg til ressursen, vanligvis en server, som gir tilgang eller som gir eksfiltrering. Når du har funnet det, kan du fjerne skadelig programvare og gjenopprette serveren. Blenkhorn advarer imidlertid om at du kanskje må ombilde serveren for å være sikker på at skadelig programvare virkelig er borte.

Trinn for gjenoppretting av brudd

Blenkhorn sa at det er ytterligere tre ting å huske på når du planlegger en gjenoppretting av brudd:

1. Bruddet er uunngåelig,
2. Teknologi alene skal ikke løse problemet, og
3. Du må anta at det er en trussel du aldri har sett før.

Men når du har eliminert trusselen, har du bare utført halve utvinningen. Den andre halvparten er å beskytte virksomheten selv. I følge Ari Vared, seniordirektør for produkt hos nettforsikringsleverandøren CyberPolicy, betyr dette å forberede utvinningspartnerne dine på forhånd.

"Det er her det å ha en plan for gjenoppretting av cyber kan redde virksomheten, " sa Vared til PCMag i en e-post. "Det betyr at du sørger for at det juridiske teamet ditt, et data-rettsmedisinske team, PR-teamet og nøkkelpersonalet på forhånd vet hva som må gjøres når det er brudd."

Det første trinnet der betyr å identifisere partnerne dine på forhånd, informere dem om planen din, og ta de tiltak som er nødvendige for å beholde deres tjenester i tilfelle brudd. Det høres ut som mye administrativ belastning, men Vared listet opp fire viktige grunner som gjør prosessen verdt innsatsen:

1. Hvis det er behov for avtaler om ikke-avsløring og konfidensialitet, kan de avtales på forhånd sammen med gebyrer og andre vilkår, slik at du ikke mister tid etter et nettangrep som prøver å forhandle med en ny leverandør.
2. Hvis du har nettforsikring, kan byrået ditt ha bestemte partnere som allerede er identifisert. I så fall vil du bruke disse ressursene for å sikre at kostnadene dekkes i henhold til policyen.
3. Nettleverandøren din kan ha retningslinjer for beløpet det er villig til å dekke for visse aspekter, og eieren av små og mellomstore bedrifter (SMB) vil være sikker på at leverandørgebyrene deres faller innenfor disse retningslinjene.
4. Noen cyberforsikringsselskaper vil ha de nødvendige utvinningspartnerne i huset, noe som gjør det til en nøkkelferdig løsning for bedriftseieren, ettersom forholdene allerede er på plass og tjenestene dekkes automatisk under policyen.

Adressering av juridiske og rettsmedisinske problemer

Vared sa at ditt juridiske team og rettsmedisinske team er høyt prioritert etter et angrep. Rettsmedisinske team vil ta de første trinnene i bedring, som skissert av Blenkhorn. Som navnet tilsier, er dette teamet der for å finne ut hva som skjedde og, enda viktigere, hvordan. Dette er ikke for å tildele skylden; Det er å identifisere sårbarheten som tillot bruddet, slik at du kan plugge det. Det er en viktig skille å gjøre med ansatte før kriminalteknologeteamet kommer for å unngå unødig rans eller bekymring.

Vared bemerket at det juridiske teamet som svarer på bruddet sannsynligvis ikke vil være de samme som håndterer tradisjonelle juridiske oppgaver for virksomheten din. Snarere vil de være en spesialisert gruppe med erfaring i å takle kjølvannet av nettangrep. Dette teamet kan forsvare deg mot søksmål som stammer fra bruddet, håndtere regulatorer eller til og med håndtere forhandlinger med cybertyver og deres løsepenger.

I mellomtiden vil PR-teamet ditt samarbeide med det juridiske teamet ditt for å håndtere varslingskrav, kommunisere til kundene dine for å forklare bruddet og svaret ditt, og muligens til og med forklare de samme detaljene til media.

Til slutt, når du har tatt de nødvendige skritt for å komme deg fra bruddet, må du samle teamene sammen med lederne på C-nivå og ha et møte og en rapport etter handlingen. Etterhandlingsrapporten er avgjørende for å klargjøre organisasjonen din for neste brudd ved å bestemme hva som gikk riktig, hva som gikk galt og hva som kan gjøres for å forbedre responsen din neste gang.

Testing av planen din

• 6 ting å ikke gjøre etter et dataovertredelse 6 ting å ikke gjøre etter et datainnbrudd
• Dataovertredelser kompromitterte 4, 5 milliarder poster i første halvår av 2018 Dataovertredelser kompromitterte 4, 5 milliarder poster i første halvår av 2018
• Cathay Pacific avslører dataovertredelse som berører 9.4M passasjerer Cathay Pacific avslører datafeil som påvirker 9.4M passasjerer

Alt dette forutsetter at planen din ble godt utformet og utført kompetent i tilfelle en dårlig ting. Dessverre er det aldri en sikker forutsetning. Den eneste måten å være rimelig sikker på at planen din er en sjanse for å lykkes er å øve på den når den er klar. Spesialistene du har ansatt som behandler cyberattacks som vanlige hendelser i deres virksomhet, vil ikke gi deg mye motstand mot å praktisere planen din - de er vant til det og forventer sannsynligvis det. Men siden de er utenforstående, må du sørge for at de er planlagt for øvelsen, og at du sannsynligvis må betale dem for tiden deres. Dette betyr at det er viktig å tenke på budsjetteringen, ikke bare en gang, men med jevne mellomrom.

Hvor regelmessig dette grunnlaget er, avhenger av hvordan de ansatte ansatte reagerer på din første test. Din første test vil nesten helt sikkert mislykkes i noen eller muligens alle aspekter. Det er å forvente, siden dette svaret vil være langt mer sammensatt og tyngende for mange enn en enkel brannøvelse. Det du trenger å gjøre er å måle alvorlighetsgraden av den feilen og bruke den som en grunnleggende linje for å bestemme hvor ofte og i hvilken grad du trenger å øve på svaret ditt. Husk at en brannøvelse er der for en katastrofe som de fleste bedrifter aldri vil oppleve. Cyberattack-boren din er for en katastrofe som er praktisk talt uunngåelig på et tidspunkt.