Planung Ihrer Reaktion auf Sicherheitsverletzungen

Ein Datenverstoß kann Ihr Unternehmen für einen kritischen Zeitraum, manchmal für immer, schließen. Es kann sicherlich Ihre finanzielle Zukunft gefährden und in einigen Fällen sogar zu Gefängnisstrafen führen. Aber all das muss nicht passieren, denn wenn Sie richtig planen, können Sie und Ihr Unternehmen sich erholen und Ihre Geschäfte fortsetzen, manchmal innerhalb von Minuten. Letztendlich kommt es auf die Planung an.

Letzte Woche haben wir darüber gesprochen, wie wir uns auf einen Datenverstoß vorbereiten können. Vorausgesetzt, Sie haben dies vor Ihrem Verstoß getan, sind Ihre nächsten Schritte recht einfach. Aber einer dieser Vorbereitungsschritte bestand darin, einen Plan zu erstellen und ihn dann zu testen. Und ja, das wird eine Menge Arbeit kosten.

Der Unterschied besteht darin, dass die vor einem Verstoß durchgeführte Vorausplanung den Schaden minimieren soll. Nach der Verletzung muss sich der Plan auf den Wiederherstellungsprozess konzentrieren und sich mit Nachwirkungen befassen, sofern es welche gibt. Denken Sie daran, dass es Ihr übergeordnetes Ziel ist, genau wie vor dem Verstoß, die Auswirkungen des Verstoßes auf Ihr Unternehmen, Ihre Mitarbeiter und Ihre Kunden zu minimieren.

Planung für die Wiederherstellung

Die Wiederherstellungsplanung besteht aus zwei großen Kategorien. Der erste besteht darin, den durch die Verletzung verursachten Schaden zu beheben und sicherzustellen, dass die Bedrohung tatsächlich beseitigt wird. Der zweite Aspekt betrifft die finanziellen und rechtlichen Risiken, die mit einem Datenverstoß einhergehen. Für die zukünftige Gesundheit Ihres Unternehmens sind beide gleich wichtig.

"Containment ist der Schlüssel zur Wiederherstellung", sagte Sean Blenkhorn, Vice President, Solutions Engineering und Advisory Services für den Managed Protection- und Response-Anbieter eSentire. "Je schneller wir die Bedrohung erkennen können, desto besser können wir sie eindämmen."

Blenkhorn sagte, dass das Enthalten einer Bedrohung je nach Art der Bedrohung unterschiedlich sein kann. Im Fall von Ransomware kann dies beispielsweise bedeuten, dass Sie Ihre verwaltete Endpoint Protection-Plattform verwenden, um die Malware zusammen mit sekundären Infektionen so zu isolieren, dass sie sich nicht ausbreiten kann, und diese dann zu entfernen. Dies kann auch bedeuten, dass neue Strategien implementiert werden, um zukünftige Verstöße zu verhindern, z. B. die Ausstattung von Roaming- und Telearbeitsbenutzern mit VPN-Konten (Personal Virtual Private Network).

Andere Arten von Bedrohungen erfordern jedoch möglicherweise andere Taktiken. Beispielsweise wird ein Angriff, bei dem finanzielle Informationen, geistiges Eigentum oder andere Daten von Ihrem Unternehmen abgefragt werden, nicht wie ein Ransomware-Angriff behandelt. In diesen Fällen müssen Sie möglicherweise den Eingabepfad suchen und entfernen und einen Weg finden, um die Befehls- und Steuermeldungen zu stoppen. Dies erfordert wiederum, dass Sie Ihren Netzwerkverkehr für diese Nachrichten überwachen und verwalten, damit Sie sehen können, woher sie stammen und wo sie Daten senden.

"Angreifer haben Vorreiter", sagte Blenkhorn. "Sie müssen nach Anomalien suchen."

Diese Anomalien führen Sie zu der Ressource, in der Regel einem Server, der den Zugriff oder die Exfiltration ermöglicht. Sobald Sie dies gefunden haben, können Sie die Malware entfernen und den Server wiederherstellen. Blenkhorn warnt jedoch davor, dass Sie möglicherweise ein Image des Servers neu erstellen müssen, um sicherzustellen, dass keine Malware mehr vorhanden ist.

Breach Recovery-Schritte

Blenkhorn sagte, dass es drei weitere Dinge gibt, die bei der Planung einer Wiederherstellung nach einem Verstoß zu beachten sind:

1. Die Verletzung ist unvermeidlich,
2. Technologie allein wird das Problem nicht lösen und
3. Sie müssen davon ausgehen, dass es sich um eine Bedrohung handelt, die Sie noch nie zuvor gesehen haben.

Aber wenn Sie die Bedrohung beseitigt haben, haben Sie nur die Hälfte der Wiederherstellung durchgeführt. Die andere Hälfte schützt das Geschäft selbst. Laut Ari Vared, Senior Director of Product bei CyberPolicy, bedeutet dies, dass Sie Ihre Recovery-Partner im Voraus vorbereiten.

"Hier kann ein Cyber-Recovery-Plan das Geschäft retten", teilte Vared PCMag in einer E-Mail mit. "Das heißt, Sie müssen sicherstellen, dass Ihr Rechtsteam, ein Datenforensikteam, Ihr PR-Team und Ihre wichtigsten Mitarbeiter im Voraus wissen, was bei einem Verstoß zu tun ist."

Der erste Schritt besteht darin, Ihre Wiederherstellungspartner im Voraus zu identifizieren, sie über Ihren Plan zu informieren und alle erforderlichen Maßnahmen zu ergreifen, um ihre Dienste im Falle eines Verstoßes beizubehalten. Das klingt nach einem hohen Verwaltungsaufwand, aber Vared hat vier wichtige Gründe aufgeführt, aus denen sich der Prozess lohnt:

1. Wenn Vertraulichkeits- und Vertraulichkeitsvereinbarungen erforderlich sind, können diese zusammen mit Gebühren und anderen Bedingungen im Voraus vereinbart werden, damit Sie nach einem Cyberangriff, der versucht, mit einem neuen Anbieter zu verhandeln, keine Zeit verlieren.
2. Wenn Sie eine Cyber-Versicherung haben, hat Ihre Agentur möglicherweise bereits bestimmte Partner identifiziert. In diesem Fall sollten Sie diese Ressourcen verwenden, um sicherzustellen, dass die Kosten gemäß der Richtlinie gedeckt sind.
3. Ihr Cyber-Versicherer hat möglicherweise Richtlinien für den Betrag, den er für bestimmte Aspekte abdecken möchte, und der Inhaber eines kleinen bis mittelständischen Unternehmens (SMB) möchte sicherstellen, dass seine Verkäufergebühren unter diese Richtlinien fallen.
4. Einige Cyberversicherungsunternehmen verfügen über die erforderlichen Wiederherstellungspartner im Unternehmen, was es zu einer schlüsselfertigen Lösung für den Geschäftsinhaber macht, da die Geschäftsbeziehungen bereits bestehen und die Dienstleistungen automatisch im Rahmen der Police abgedeckt werden.

Behandlung von rechtlichen und forensischen Problemen

Laut Vared haben Ihr Rechts- und Forensikteam nach einem Angriff eine hohe Priorität. Das Forensikteam wird die ersten Schritte zur Wiederherstellung unternehmen, wie von Blenkhorn skizziert. Wie der Name schon sagt, ist dieses Team da, um herauszufinden, was passiert ist und was noch wichtiger ist, wie. Dies ist nicht zu beschuldigen; Es geht darum, die Sicherheitsanfälligkeit zu identifizieren, die die Sicherheitsverletzung zugelassen hat, damit Sie sie beseitigen können. Dies ist eine wichtige Unterscheidung, die Sie mit Ihren Mitarbeitern treffen müssen, bevor das Forensikteam eintrifft, um unangemessenen Groll oder Unruhe zu vermeiden.

Vared merkte an, dass das Rechtsteam, das auf den Verstoß reagiert, wahrscheinlich nicht dasselbe sein wird, das für Ihr Unternehmen traditionelle rechtliche Aufgaben wahrnimmt. Vielmehr handelt es sich um eine spezialisierte Gruppe mit Erfahrung im Umgang mit den Folgen von Cyberangriffen. Dieses Team kann Sie gegen Klagen verteidigen, die sich aus dem Verstoß ergeben, gegen Regulierungsbehörden vorgehen oder sogar Verhandlungen mit Cyberdieben und deren Lösegeld führen.

In der Zwischenzeit wird Ihr PR-Team mit Ihrem Anwaltsteam zusammenarbeiten, um die Benachrichtigungsanforderungen zu bearbeiten, Ihren Kunden mitzuteilen, um den Verstoß und Ihre Reaktion zu erklären, und möglicherweise sogar den Medien dieselben Details zu erklären.

Sobald Sie die erforderlichen Schritte unternommen haben, um sich von der Sicherheitsverletzung zu erholen, müssen Sie diese Teams mit den Führungskräften auf C-Ebene zusammenbringen und ein After-Action-Meeting abhalten und darüber Bericht erstatten. Der Nachbearbeitungsbericht ist wichtig, um Ihre Organisation auf den nächsten Verstoß vorzubereiten, indem ermittelt wird, was richtig und was falsch gelaufen ist und was getan werden kann, um Ihre Reaktion beim nächsten Mal zu verbessern.

Testen Sie Ihren Plan

• 6 Dinge, die Sie nach einer Datenverletzung nicht tun sollten 6 Dinge, die Sie nach einer Datenverletzung nicht tun sollten
• Datenverletzungen haben im ersten Halbjahr 2018 4, 5 Milliarden Rekorde in Mitleidenschaft gezogen Datenverletzungen haben im ersten Halbjahr 2018 4, 5 Milliarden Rekorde in Mitleidenschaft gezogen
• Cathay Pacific legt Datenverletzung bei 9, 4 Millionen Passagieren offen Cathay Pacific legt Datenverletzung bei 9, 4 Millionen Passagieren offen

All dies setzt voraus, dass Ihr Plan für den Fall einer schlechten Sache gut durchdacht und kompetent ausgeführt wurde. Leider ist das nie eine sichere Annahme. Der einzige Weg, um einigermaßen sicher zu sein, dass Ihr Plan Erfolgschancen hat, besteht darin, ihn zu praktizieren, sobald er vorbereitet ist. Die von Ihnen beauftragten Spezialisten, die sich mit Cyberangriffen als regelmäßigen Ereignissen in ihrem Geschäft befassen, werden Ihnen nicht viel Widerstand gegen die Umsetzung Ihres Plans leisten - sie sind daran gewöhnt und werden es wahrscheinlich erwarten. Da es sich jedoch um Außenseiter handelt, müssen Sie sicherstellen, dass sie für das Training vorgesehen sind, und Sie müssen sie wahrscheinlich für ihre Zeit bezahlen. Das bedeutet, dass Sie dies nicht nur einmal, sondern regelmäßig in Ihr Budget einbeziehen müssen.

Wie regelmäßig diese Basis ist, hängt davon ab, wie Ihre internen Mitarbeiter auf Ihren ersten Test reagieren. Ihr erster Test wird mit ziemlicher Sicherheit in einigen oder möglicherweise allen Aspekten fehlschlagen. Dies ist zu erwarten, da diese Reaktion für viele weitaus komplexer und aufwändiger ist als eine einfache Brandschutzübung. Sie müssen lediglich den Schweregrad dieses Fehlers messen und ihn als Grundlage für die Entscheidung verwenden, wie oft und in welchem ​​Umfang Sie Ihre Reaktion üben müssen. Denken Sie daran, dass eine Feuerwehrübung für eine Katastrophe vorgesehen ist, die die meisten Unternehmen niemals erleben werden. Ihr Cyberattack-Drill ist für eine Katastrophe gedacht, die irgendwann praktisch unvermeidlich ist.