安全牛课堂 | 如何在60分钟内快速应对数据泄露
作者: 日期:2022年11月02日 阅:1,582

数据泄露会对企业的资产和声誉造成严重打击。然而如果处理得当,灾难也可以被化解。当企业遭遇数据泄露时,最重要的是在短时间快速响应并处置,充分的事前准备是缩短处理数据泄露事件的关键。在数据泄露发生之前准备好行动方案可以尽力将损失降低到最小。下面将探讨如何在发现数据泄露的60分钟内快速作出有效的事件响应。

如何在60分钟内快速应对数据泄露

与任何危机一样,数据泄露后需要迅速采取果断的行动。然而,大多数数据泄露在很长一段时间内都没有被发现。有数据显示,企业平均需要287天才能发现数据泄露。发现泄露所花的时间越长,对公司造成的损害就越大。因此,尽快发现泄露至关重要。

在此之前,不妨先了解一下企业常见的数据泄露类型,主要包括:

  • 未经授权的非法访问;
  • 被越权查看的机密数据
  • 将敏感数据错误发送给收件人
  • 重要数据存储设备被盗
  • 重要数据被篡改
  • 数据信息丧失可用性(比如勒索软件攻击)

了解常见的数据泄露类型之后,企业还需要了解常见的数据泄露特征,如果出现以下迹象,表明企业很可能遭到了数据泄露,需尽快与内部或第三方专家沟通,以确定风险因素或评估泄露风险。

  • 发现企业的机密信息在网上泄露
  • 发现有未经授权的企业网络下载记录
  • 发现有人打开了来源不明的邮件附件
  • 发现有异常的远程位置登录企业网络
  • 异常的时间段出现了来自标准账户和特权账户的活动
  • 发现企业的系统日志被篡改
  • 多起DDoS攻击让安全团队无暇顾及实际攻击

数据泄露应急处置的步骤

保持头脑冷静是做好安全事件应急响应的先决条件,一旦发现遇到数据泄露,可以采用以下列方式在60分钟内快速处理与响应:

•提醒员工

如果发现数据泄露切莫恐慌,尽快通知员工并向他们说明情况,指示他们在数据泄露后应如何应对,例如讲明如何与客户沟通、如何回应其他员工等。

•评估风险和优先级

确定数据泄露的根源,找出哪些数据受到了影响。首先,准确评估泄露的数据,切忌空泛,比如“我们所有的客户数据都面临风险”。其次,确定数据泄露给企业和客户带来的风险。如果风险过高,就需要停止业务运营,直到消除风险。

•遏制泄露

具体情况评估完成后,需要从系统中移除所有受影响的部件,包括受攻击影响的计算机、笔记本电脑、服务器或其他任何设备。从泄露的数据中寻找共同点。这可能表明数据泄露的单一来源,也可能表明泄露的单一方法。

•保护与泄露相关的物理区域

下一步是保护与泄露相关的物理区域,把它们封锁起来。在问题解决之前除了应急团队外,其他人员一概不得访问。此外,还可以询问取证分析专家和执法人员何时恢复正常操作。

•详细记录

务必要把与与数据泄露相关的一切记录下来:从最初发现泄露,到为处理泄露所采取的每一步。还应该保存与员工、客户或执法机构之间的通信记录。除了提供准确信息外,详细记录对于企业在提交报告时也大有帮助。

•防范进一步的数据泄露

最后,采取必要的措施以预防进一步的数据泄露。这包括移除含有安全漏洞的第三方软件。此外,彻查数据安全系统,找出任何潜在的安全漏洞,一旦发现立即处置。还应该查找任何已经泄露的数据,比如客户信息、财务记录或公司数据。采取必要措施将这些数据从网上删除。此外,即使在遏制数据泄露之后,也必须保持警惕。因为永远无法确定这是孤立的事件,还是一起针对企业的更广泛的恶意活动的一部分。

文章来源:安全牛编译整理


相关文章