Pianificazione della risposta alla violazione

Una violazione dei dati può arrestare la tua azienda per un periodo di tempo critico, a volte per sempre; può certamente mettere a rischio il tuo futuro finanziario e, in alcuni casi, può persino farti finire in prigione. Ma nulla di tutto ciò deve accadere perché, se pianifichi correttamente, tu e la tua azienda potete recuperare e continuare l'attività, a volte in pochi minuti. Alla fine, tutto si riduce alla pianificazione.

La scorsa settimana, abbiamo discusso su come prepararsi per una violazione dei dati. Supponendo di averlo fatto prima che si verificasse la violazione, i passaggi successivi sono ragionevolmente semplici. Ma una di quelle fasi di preparazione è stata quella di creare un piano e quindi testarlo. E sì, ci vorrà una notevole quantità di lavoro.

La differenza è che la pianificazione anticipata effettuata prima di qualsiasi violazione è intesa a minimizzare il danno. Dopo la violazione, il piano deve concentrarsi sul processo di recupero e affrontare i problemi di conseguenze, supponendo che ce ne siano. Ricorda che il tuo obiettivo generale, proprio come prima della violazione, è di ridurre al minimo l'impatto che la violazione ha sulla tua azienda, sui tuoi dipendenti e sui tuoi clienti.

Pianificazione per il recupero

La pianificazione del recupero è composta da due grandi categorie. Il primo è riparare il danno causato dalla violazione e assicurarsi che la minaccia sia effettivamente eliminata. Il secondo si occupa dei rischi finanziari e legali che accompagnano una violazione dei dati. Per quanto riguarda la salute futura della tua organizzazione, entrambi sono ugualmente importanti.

"Il contenimento è fondamentale in termini di recupero", ha affermato Sean Blenkhorn, Vicepresidente, Ingegneria delle soluzioni e Servizi di consulenza per il fornitore di protezione gestita e risposta eSentire. "Più velocemente riusciamo a rilevare la minaccia, meglio possiamo contenerla."

Blenkhorn ha affermato che contenere una minaccia può differire in base al tipo di minaccia coinvolta. Nel caso del ransomware, ad esempio, può significare utilizzare la piattaforma di protezione dell'endpoint gestito per aiutare a isolare il malware insieme a eventuali infezioni secondarie in modo che non possa diffondersi e quindi rimuoverlo. Può anche significare implementare nuove strategie in modo da bloccare future violazioni, come dotare gli utenti di roaming e telelavoro con account di rete privata virtuale privata (VPN).

Tuttavia, altri tipi di minacce possono richiedere tattiche diverse. Ad esempio, un attacco alla ricerca di informazioni finanziarie, proprietà intellettuale (IP) o altri dati della tua azienda non sarà gestito allo stesso modo di un attacco ransomware. In questi casi, potrebbe essere necessario trovare ed eliminare il percorso di immissione e sarà necessario trovare un modo per interrompere il comando e controllare i messaggi. Questo, a sua volta, richiederà di monitorare e gestire il traffico di rete per quei messaggi in modo da poter vedere da dove provengono e dove stanno inviando i dati.

"Gli attaccanti hanno il vantaggio della prima mossa", ha detto Blenkhorn. "Devi cercare anomalie."

Queste anomalie ti porteranno alla risorsa, di solito un server, che fornisce accesso o che fornisce esfiltrazione. Una volta trovato questo, è possibile rimuovere il malware e ripristinare il server. Tuttavia, Blenkhorn avverte che potrebbe essere necessario riesaminare il server per essere sicuri che qualsiasi malware sia davvero sparito.

Passaggi per il recupero delle violazioni

Blenkhorn ha detto che ci sono altre tre cose da ricordare quando si pianifica un recupero delle violazioni:

1. La violazione è inevitabile,
2. La tecnologia da sola non risolverà il problema e
3. Devi presumere che sia una minaccia che non hai mai visto prima.

Ma una volta eliminata la minaccia, hai eseguito solo metà del recupero. L'altra metà sta proteggendo l'azienda stessa. Secondo Ari Vared, direttore senior del prodotto presso il fornitore di cyber assicurazioni CyberPolicy, ciò significa preparare in anticipo i partner di recupero.

"Qui è in atto un piano di recupero informatico in grado di salvare l'azienda", ha detto Vared a PCMag in una e-mail. "Ciò significa assicurarsi che il team legale, un team di analisi forense dei dati, il team PR e i membri chiave dello staff sappiano in anticipo cosa deve essere fatto ogni volta che si verifica una violazione."

Il primo passo consiste nell'identificare in anticipo i partner di recupero, informarli del piano e intraprendere tutte le azioni necessarie per conservare i loro servizi in caso di violazione. Sembra un sacco di oneri amministrativi, ma Vared ha elencato quattro motivi importanti che rendono il processo degno dello sforzo:

1. Se sono necessari accordi di non divulgazione e di riservatezza, questi possono essere concordati in anticipo, insieme a commissioni e altri termini, in modo da non perdere tempo dopo un attacco informatico che tenta di negoziare con un nuovo fornitore.
2. Se hai un'assicurazione informatica, la tua agenzia potrebbe avere già identificato partner specifici. In tal caso, ti consigliamo di utilizzare tali risorse per garantire che i costi siano coperti in base alla politica.
3. Il tuo fornitore di assicurazioni informatiche potrebbe disporre di linee guida per l'importo che è disposto a coprire per determinati aspetti e il proprietario di piccole e medie imprese (PMI) vorrà assicurarsi che le commissioni dei fornitori rientrino in tali linee guida.
4. Alcune compagnie di assicurazione informatica avranno internamente i necessari partner di recupero, rendendola una soluzione chiavi in ​​mano per il proprietario dell'azienda, poiché i rapporti sono già in atto e i servizi saranno automaticamente coperti dalla polizza.

Affrontare le questioni legali e forensi

Vared ha affermato che la tua squadra legale e quella forense sono una priorità assoluta dopo un attacco. Il team forense farà i primi passi nel recupero, come indicato da Blenkhorn. Come suggerisce il nome, questa squadra è lì per scoprire cosa è successo e, soprattutto, come. Non si tratta di assegnare la colpa; è identificare la vulnerabilità che ha permesso la violazione in modo da poterla collegare. Questa è una distinzione importante da fare con i dipendenti prima che arrivi il team forense per evitare indebiti rancori o preoccupazioni.

Vared ha osservato che il team legale che risponde alla violazione probabilmente non sarà la stessa persona che gestisce le attività legali tradizionali per la tua azienda. Piuttosto, saranno un gruppo specializzato con esperienza nell'affrontare le conseguenze degli attacchi informatici. Questa squadra potrebbe difenderti dalle azioni legali derivanti dalla violazione, dai rapporti con i regolatori o persino dalla trattativa con i cyber ladri e i loro riscatti.

Nel frattempo, il tuo team di PR collaborerà con il tuo team legale per gestire i requisiti di notifica, comunicare ai tuoi clienti per spiegare la violazione e la tua risposta e possibilmente anche spiegare gli stessi dettagli ai media.

Infine, una volta che hai preso le misure necessarie per recuperare dalla violazione, dovrai riunire quei team insieme ai dirigenti di livello C e tenere una riunione post-azione e riferire. Il report post-azione è fondamentale per preparare l'organizzazione alla prossima violazione determinando cosa è andato bene, cosa è andato storto e cosa si potrebbe fare per migliorare la risposta la prossima volta.

Testare il tuo piano

• 6 cose da non fare dopo una violazione dei dati 6 cose da non fare dopo una violazione dei dati
• Violazione dei dati compromessa 4, 5 miliardi di record nella prima metà del 2018 Violazione dei dati compromessa 4, 5 miliardi di record nella prima metà del 2018
• Cathay Pacific divulga la violazione dei dati che colpisce i passeggeri 9.4M Cathay Pacific divulga la violazione dei dati che colpisce i passeggeri 9.4M

Tutto ciò presuppone che il tuo piano sia stato ben concepito ed eseguito con competenza in caso di una brutta cosa. Sfortunatamente, questo non è mai un presupposto sicuro. L'unico modo per essere ragionevolmente certi che il tuo piano abbia qualche possibilità di successo è metterlo in pratica una volta preparato. Gli specialisti che hai assunto che si occupano di attacchi informatici come eventi regolari nelle loro attività non ti daranno molta resistenza all'esercizio del tuo piano: sono abituati a questo e probabilmente se lo aspettano. Ma dal momento che sono estranei, dovrai assicurarti che siano programmati per la pratica e probabilmente dovrai pagarli per il loro tempo. Ciò significa che è importante tenerlo presente nel tuo budget, non solo una volta ma su base regolare.

La regolarità di tale base dipende dal modo in cui i dipendenti interni rispondono al primo test. Il tuo primo test fallirà quasi sicuramente in alcuni o forse tutti gli aspetti. Questo è prevedibile poiché questa risposta sarà molto più complessa e onerosa per molti di una semplice esercitazione antincendio. Quello che devi fare è misurare la gravità di quell'errore e usarlo come base per decidere quanto spesso e in che misura devi mettere in pratica la tua risposta. Ricorda che un'esercitazione antincendio è lì per un disastro che la maggior parte delle aziende non sperimenterà mai. Il tuo trap di attacchi informatici è per un disastro che è praticamente inevitabile ad un certo punto.