讓我們以2012 RSA網(wǎng)絡(luò)安全大會(huì)上,前FBI局長(zhǎng)羅伯特·米勒的話作為開(kāi)場(chǎng)白吧:
“我很確信,世界上只有兩種公司:一種已經(jīng)被黑,一種即將被黑。甚至二者正合為同一個(gè)類(lèi)別:已經(jīng)被黑且即將再被黑一次。”
很多安全專(zhuān)業(yè)人士也持有類(lèi)似的評(píng)論:
“不是是否被黑的問(wèn)題,而是何時(shí)被黑的問(wèn)題。”
“不是你尚未發(fā)生數(shù)據(jù)泄露,只是你還沒(méi)意識(shí)到自己的數(shù)據(jù)早已一瀉千里而已。”
如今我們都承認(rèn),曾經(jīng)的噩夢(mèng)已變成了現(xiàn)實(shí)。事實(shí)無(wú)可辯駁,那么我們?cè)撛鯓哟_保公司企業(yè)在最短的時(shí)間內(nèi)做出最好的修復(fù)呢?
好吧,在響應(yīng)數(shù)據(jù)泄露事件之前,你得先意識(shí)到有數(shù)據(jù)泄露發(fā)生了。然而,不幸的是,太多的公司企業(yè)只有事發(fā)數(shù)月之后,在被司法機(jī)構(gòu)、媒體或在暗網(wǎng)上看到這些數(shù)據(jù)被售賣(mài)的人士通知之時(shí),才會(huì)意識(shí)到自己已經(jīng)被攻破了。
怎樣檢測(cè)數(shù)據(jù)泄露?
企業(yè)想要檢測(cè)數(shù)據(jù)泄露,必須具備3個(gè)條件:有相關(guān)知識(shí)的人,受監(jiān)管的策略和過(guò)程,以及正確的技術(shù)。缺乏這3個(gè)條件,就跟蒙上眼在上下班高峰時(shí)期行駛在5車(chē)道的高速公路上一樣,距離升天只是時(shí)間問(wèn)題。
有鑒于把小命玩完不在人生計(jì)劃之列,我們還是來(lái)看一下數(shù)據(jù)泄露檢測(cè)的這3駕馬車(chē)吧。
人
不僅僅是安全團(tuán)隊(duì)需要網(wǎng)絡(luò)安全培訓(xùn)。所有公司員工都必須具備識(shí)別基本的攻擊指示器的能力,包括釣魚(yú)郵件、非正常系統(tǒng)活動(dòng),以及IT部門(mén)發(fā)來(lái)的非預(yù)期憑證索取請(qǐng)求。
公司企業(yè)應(yīng)當(dāng)考慮實(shí)現(xiàn)一個(gè)覆蓋全公司范圍的網(wǎng)絡(luò)安全培訓(xùn)項(xiàng)目,建立強(qiáng)有力的安全文化,培養(yǎng)員工對(duì)網(wǎng)絡(luò)安全的認(rèn)知,定義他們對(duì)潛在及真實(shí)安全事件的響應(yīng)方式。
過(guò)程
對(duì)公司企業(yè)而言,維護(hù)自身數(shù)據(jù)泄露風(fēng)險(xiǎn)情況是十分重要的。應(yīng)至少每年一次,審核所有公司數(shù)據(jù),確定數(shù)據(jù)使用方式和保護(hù)方法。
另外附上其他一些面向過(guò)程的建議:
確定事件響應(yīng)團(tuán)隊(duì),確保他們完全理解自己的角色和責(zé)任;
確保安全策略和規(guī)程定期更新,保證它們跟上公司和技術(shù)變遷。弄個(gè)援引早已過(guò)時(shí)的過(guò)程或技術(shù)的古怪計(jì)劃沒(méi)有任何好處;
務(wù)必事先與法務(wù)和公關(guān)團(tuán)隊(duì)一起制定出良好的溝通計(jì)劃。
技術(shù)
響應(yīng)團(tuán)隊(duì)要有合適的技術(shù)工具來(lái)做好自己的工作。成功的安全事件響應(yīng),要求團(tuán)隊(duì)手握功能齊全的事件通知和管理工具集。
最后,如果不能運(yùn)轉(zhuǎn)良好,最好的人、過(guò)程和技術(shù)都沒(méi)啥卵用。定期測(cè)試/實(shí)踐是絕對(duì)必須的。
假設(shè)公司已在人、過(guò)程和技術(shù)上做出了投入。接下來(lái)便該考慮當(dāng)不可避免的數(shù)據(jù)泄露發(fā)生時(shí)應(yīng)該做些什么了。
怎樣響應(yīng)數(shù)據(jù)泄露?
數(shù)據(jù)泄露發(fā)生之后,通常問(wèn)題會(huì)比答案多。其中一些應(yīng)該自我問(wèn)詢的問(wèn)題有:
系統(tǒng)受損程度如何?
破壞范圍延伸到哪兒了?
被損壞或竊取的數(shù)據(jù)有哪些?
我能信任哪個(gè)系統(tǒng)?
影響評(píng)估需要多久?
應(yīng)該通報(bào)哪些人?
怎樣預(yù)防類(lèi)似的事情再次發(fā)生?
要回答以上乃至更多問(wèn)題,讓我們先為恢復(fù)受損系統(tǒng)和公司信譽(yù)制定出一套有條理的章程。
數(shù)據(jù)泄露發(fā)生之后最該做的第一步,就是后退!
后退一步,深呼吸。別讓當(dāng)前的緊張情緒和壓力迫使你陷入不由自主的下意識(shí)反應(yīng)中。先評(píng)估發(fā)生了什么,哪些系統(tǒng)受到了影響,是最重要的。
一旦有機(jī)會(huì)評(píng)估當(dāng)前狀況,應(yīng)先通過(guò)減少進(jìn)一步損害的機(jī)會(huì)來(lái)穩(wěn)定系統(tǒng)。這意味著移除或減少對(duì)產(chǎn)品環(huán)境的訪問(wèn),變更產(chǎn)品憑證,或者凍結(jié)對(duì)產(chǎn)品做出任何修改。另外,別忘了考慮第三方系統(tǒng)、托管解決方案等等。
時(shí)刻謹(jǐn)記,你無(wú)法同時(shí)搞定所有事情。利用你的數(shù)據(jù)泄露風(fēng)險(xiǎn)情況幫助制定目標(biāo)優(yōu)先級(jí)。評(píng)估數(shù)據(jù)源,確保數(shù)據(jù)源受到足夠的保護(hù)。監(jiān)測(cè)事件進(jìn)展,確保與公司管理一致。
隨著修復(fù)進(jìn)程開(kāi)始加速,確保建立起可信參考點(diǎn),以便能定義什么是“好”什么是“可疑”。黃金構(gòu)建,或者其他供應(yīng)源、可信備份和預(yù)生產(chǎn)系統(tǒng),都是有效的起始點(diǎn)。
然后,收集系統(tǒng)狀態(tài)信息,比如操作系統(tǒng)、應(yīng)用、配置文件、用戶信息和文件散列信息等,評(píng)估當(dāng)前系統(tǒng)狀態(tài)。將所收集的信息轉(zhuǎn)移到一個(gè)不聯(lián)網(wǎng)存儲(chǔ)地,以備離線分析和后續(xù)的調(diào)查。
接下來(lái),將每個(gè)系統(tǒng)與當(dāng)初的部署進(jìn)行對(duì)比。系統(tǒng)狀態(tài)信息可以與其他源進(jìn)行關(guān)聯(lián)以獲取更高的準(zhǔn)確度。在風(fēng)險(xiǎn)和價(jià)值的基礎(chǔ)上為你的發(fā)現(xiàn)定下優(yōu)先級(jí),開(kāi)始從環(huán)境中隔離或移除可疑系統(tǒng)。
如果某個(gè)受損系統(tǒng)必須保持運(yùn)行,你得實(shí)現(xiàn)一套強(qiáng)力控制措施來(lái)預(yù)防它感染或重復(fù)感染其他系統(tǒng)。
現(xiàn)在,我們可以開(kāi)始分析可用數(shù)據(jù)來(lái)確定感染路徑和原因了。
緣由找出,則可以開(kāi)始從可信源上重建系統(tǒng),重新在環(huán)境中部署可信系統(tǒng)了?;诜治鼋Y(jié)果,你可能會(huì)想進(jìn)行額外的強(qiáng)化以防止重復(fù)感染。
隨著可信系統(tǒng)重新部署到環(huán)境中,建立一套持續(xù)的監(jiān)測(cè)策略來(lái)確保能檢測(cè)出進(jìn)一步的異?;虿灰恢轮幘惋@得特別重要了。你最不需要的東西,就是攻你不備,讓你所有的努力付之一炬的異常因素了。
整個(gè)過(guò)程中,應(yīng)該保持溝通順暢。在內(nèi)部,公司管理層應(yīng)對(duì)進(jìn)展知情。外部,要與法務(wù)和公關(guān)團(tuán)隊(duì)合作,確保主要客戶、利益相關(guān)者和必要的政府部門(mén)以正確的方式獲悉事件進(jìn)展。
當(dāng)系統(tǒng)穩(wěn)定下來(lái),公司恢復(fù)正軌,別急著慶賀。先對(duì)公司的表現(xiàn)、成功、失敗和教訓(xùn)進(jìn)行一個(gè)詳細(xì)的評(píng)估。確保計(jì)劃和過(guò)程都經(jīng)過(guò)了調(diào)整,必要的地方甚至重寫(xiě)了。另外,管理層和董事會(huì)那里也要提交一份報(bào)告,論功行賞。