最近發(fā)生的一個(gè)信用機(jī)構(gòu)的違規(guī)事件更為嚴(yán)重�����,至少有1.43億人的個(gè)人資料落入了黑客之手。
批評(píng)人士指出�,這家公司在數(shù)據(jù)泄露五個(gè)多星期之后才發(fā)現(xiàn)違規(guī)行為,事件發(fā)生后建立一個(gè)違規(guī)通知網(wǎng)站��,要求用戶(hù)提供敏感信息�,而其配置如此糟糕,以至于OpenDNS將其當(dāng)作一個(gè)釣魚(yú)網(wǎng)站而屏蔽���。
這樣的錯(cuò)誤會(huì)影響企業(yè)的聲譽(yù)���,并會(huì)影響財(cái)務(wù)狀況���。
企業(yè)的高級(jí)管理人員必須為以下三件事進(jìn)行準(zhǔn)備,并避免出現(xiàn)這樣的問(wèn)題:通過(guò)高級(jí)管理層的支持確認(rèn)其重要性�����。與員工溝通�����。
創(chuàng)建安全策略企業(yè)必須創(chuàng)建一個(gè)全面的安全策略����,其中包括事件響應(yīng)計(jì)劃,以便企業(yè)隨時(shí)準(zhǔn)備在最壞情況發(fā)生時(shí)迅速做出反應(yīng)�。
安全策略是企業(yè)針對(duì)網(wǎng)絡(luò)攻擊者的第一道防線(xiàn),將概述保護(hù)系統(tǒng)和數(shù)據(jù)的過(guò)程�����。
它將人員和技術(shù)結(jié)合在一起����,確保員工和承包商懂得如何負(fù)責(zé)任地、安全地使用計(jì)算機(jī)系統(tǒng)。
這個(gè)策略通常包括可接受的加密�、可接受的應(yīng)用程序使用、密碼保護(hù)和數(shù)據(jù)傳輸?shù)阮?lèi)別�。
它也包含其他的不太明顯的細(xì)節(jié),如保持桌面清潔以及處理紙質(zhì)文件的過(guò)程(垃圾箱中沒(méi)有敏感文件)�。
有效的書(shū)面溝通和安全策略可以顯著降低違規(guī)事件的可能性,但對(duì)于網(wǎng)絡(luò)攻擊者來(lái)說(shuō)����,只需要成功一次就可以實(shí)現(xiàn)目標(biāo)�����。
如果網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)有效的方法��,并且企業(yè)遭遇了數(shù)據(jù)泄露���,那么第二道防線(xiàn)就會(huì)啟動(dòng):事件響應(yīng)計(jì)劃���。
事件響應(yīng)計(jì)劃是任何安全策略的重要組成部分。
正如企業(yè)確切地知道在緊急情況下應(yīng)該怎么做�����,以及如何在緊急情況下,事件響應(yīng)計(jì)劃使企業(yè)關(guān)鍵的工作人員通過(guò)必要的步驟遏制和消除網(wǎng)絡(luò)安全威脅����,從中斷中恢復(fù)并對(duì)損害進(jìn)行補(bǔ)救。
企業(yè)通過(guò)幾個(gè)權(quán)威指南來(lái)創(chuàng)建事件響應(yīng)計(jì)劃����。
在英國(guó),網(wǎng)絡(luò)安全非盈利機(jī)構(gòu)CREST公司發(fā)布了一份制定網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃的詳細(xì)指南��。
在美國(guó)�����,美國(guó)國(guó)家標(biāo)準(zhǔn)與技術(shù)研究院出版了一個(gè)很好的指導(dǎo)性文件����,涵蓋了這個(gè)過(guò)程中的幾個(gè)階段。
制定這些計(jì)劃的行業(yè)資源可能在那里���,但企業(yè)往往在準(zhǔn)備過(guò)程中的做法不盡人意���。“NTT全球安全風(fēng)險(xiǎn):價(jià)值報(bào)告”的報(bào)告中指出,只有48%的受訪(fǎng)者表示制定了事件響應(yīng)計(jì)劃��,其余的受訪(fǎng)者表示正處在實(shí)施或設(shè)計(jì)的不同階段。
10%的受訪(fǎng)者表示對(duì)事件響應(yīng)計(jì)劃的存在一無(wú)所知���,或者表示他們對(duì)此沒(méi)有準(zhǔn)備好�����。
確認(rèn)策略的重要性這些計(jì)劃非常重要�����,因?yàn)樗鼈兛梢允菇M織在數(shù)據(jù)泄露事件中擁有所有權(quán)以及承擔(dān)責(zé)任�。
將為企業(yè)帶來(lái)快速有效的恢復(fù)和緩慢痛苦恢復(fù)之間的區(qū)別��。
可以幫助企業(yè)進(jìn)行精心策劃的���、能夠勝任的回應(yīng),并避免混亂的下意識(shí)反應(yīng)讓客戶(hù)感到困惑和憤怒��。
安全策略需要經(jīng)驗(yàn)技巧和專(zhuān)業(yè)知識(shí)結(jié)合在一起����,但是除非高級(jí)管理人員對(duì)此關(guān)注,否則它是無(wú)用的���。
而企業(yè)的董事如果重視這一策略���,就會(huì)傳達(dá)給企業(yè)其他部門(mén)實(shí)施�����。
事件響應(yīng)是需要來(lái)自組織最高層多方面提供幫助多學(xué)科工作��。
當(dāng)企業(yè)遭遇違規(guī)事件時(shí)��,其反應(yīng)速度和決策權(quán)力是必不可少的��。
企業(yè)關(guān)鍵的團(tuán)隊(duì)成員必須有適當(dāng)?shù)臋?quán)力來(lái)完成任務(wù)���。
這在理論上聽(tīng)起來(lái)很好,但在實(shí)踐中并不會(huì)經(jīng)常發(fā)生����。
在NTT安全2017年風(fēng)險(xiǎn)價(jià)值報(bào)告中所調(diào)查的1350名國(guó)際非IT決策者中,有73%的受訪(fǎng)者認(rèn)為防止安全漏洞應(yīng)該是企業(yè)董事會(huì)議程上的一個(gè)常規(guī)項(xiàng)目�����。
事實(shí)上�����,只有56%的企業(yè)董事會(huì)成員經(jīng)常談?wù)撨@個(gè)問(wèn)題,而44%的公司還沒(méi)有實(shí)施完整的安全策略�����。
向員工傳達(dá)安全政策企業(yè)的首席信息安全官(CISO)如何確保事件響應(yīng)計(jì)劃成功?從溝通開(kāi)始��。
在實(shí)施這一計(jì)劃的企業(yè)中��,只有47%的受訪(fǎng)者了解其中的內(nèi)容����。
事件響應(yīng)團(tuán)隊(duì)理解計(jì)劃并準(zhǔn)備執(zhí)行。
企業(yè)擁有一個(gè)強(qiáng)大的安全策略和事件響應(yīng)計(jì)劃應(yīng)對(duì)網(wǎng)絡(luò)攻擊的良好基礎(chǔ)�,但它不僅僅是對(duì)自身的保護(hù)。
首席信息安全官必須使這些計(jì)劃和政策很好地結(jié)合起來(lái)����,形成一個(gè)滲透其公司文化的文件����。
而這將是其在2018年的一個(gè)很好的項(xiàng)目。
