数据泄露会对企业的资产和声誉造成严重打击。然而如果处理得当，灾难也可以被化解。当企业遭遇数据泄露时，最重要的是在短时间快速响应并处置，充分的事前准备是缩短处理数据泄露事件的关键。在数据泄露发生之前准备好行动方案可以尽力将损失降低到最小。下面将探讨如何在发现数据泄露的60分钟内快速作出有效的事件响应。

如何在60分钟内快速应对数据泄露

与任何危机一样，数据泄露后需要迅速采取果断的行动。然而，大多数数据泄露在很长一段时间内都没有被发现。有数据显示，企业平均需要287天才能发现数据泄露。发现泄露所花的时间越长，对公司造成的损害就越大。因此，尽快发现泄露至关重要。

在此之前，不妨先了解一下企业常见的数据泄露类型，主要包括：

• 未经授权的非法访问；
• 被越权查看的机密数据
• 将敏感数据错误发送给收件人
• 重要数据存储设备被盗
• 重要数据被篡改
• 数据信息丧失可用性（比如勒索软件攻击）

了解常见的数据泄露类型之后，企业还需要了解常见的数据泄露特征，如果出现以下迹象，表明企业很可能遭到了数据泄露，需尽快与内部或第三方专家沟通，以确定风险因素或评估泄露风险。

• 发现企业的机密信息在网上泄露
• 发现有未经授权的企业网络下载记录
• 发现有人打开了来源不明的邮件附件
• 发现有异常的远程位置登录企业网络
• 异常的时间段出现了来自标准账户和特权账户的活动
• 发现企业的系统日志被篡改
• 多起DDoS攻击让安全团队无暇顾及实际攻击

数据泄露应急处置的步骤

保持头脑冷静是做好安全事件应急响应的先决条件，一旦发现遇到数据泄露，可以采用以下列方式在60分钟内快速处理与响应：

•提醒员工

如果发现数据泄露切莫恐慌，尽快通知员工并向他们说明情况，指示他们在数据泄露后应如何应对，例如讲明如何与客户沟通、如何回应其他员工等。

•评估风险和优先级

确定数据泄露的根源，找出哪些数据受到了影响。首先，准确评估泄露的数据，切忌空泛，比如“我们所有的客户数据都面临风险”。其次，确定数据泄露给企业和客户带来的风险。如果风险过高，就需要停止业务运营，直到消除风险。

•遏制泄露

具体情况评估完成后，需要从系统中移除所有受影响的部件，包括受攻击影响的计算机、笔记本电脑、服务器或其他任何设备。从泄露的数据中寻找共同点。这可能表明数据泄露的单一来源，也可能表明泄露的单一方法。

•保护与泄露相关的物理区域

下一步是保护与泄露相关的物理区域，把它们封锁起来。在问题解决之前除了应急团队外，其他人员一概不得访问。此外，还可以询问取证分析专家和执法人员何时恢复正常操作。

•详细记录

务必要把与与数据泄露相关的一切记录下来：从最初发现泄露，到为处理泄露所采取的每一步。还应该保存与员工、客户或执法机构之间的通信记录。除了提供准确信息外，详细记录对于企业在提交报告时也大有帮助。

•防范进一步的数据泄露

最后，采取必要的措施以预防进一步的数据泄露。这包括移除含有安全漏洞的第三方软件。此外，彻查数据安全系统，找出任何潜在的安全漏洞，一旦发现立即处置。还应该查找任何已经泄露的数据，比如客户信息、财务记录或公司数据。采取必要措施将这些数据从网上删除。此外，即使在遏制数据泄露之后，也必须保持警惕。因为永远无法确定这是孤立的事件，还是一起针对企业的更广泛的恶意活动的一部分。

文章来源：安全牛编译整理