一些數(shù)據(jù)泄露事件總是出現(xiàn)在新聞頭條中,也會引起人們的關(guān)注�。密蘇里州州長Mike Parson就一家報社報道中小學(xué)網(wǎng)站出現(xiàn)的安全漏洞舉行了一次新聞發(fā)布會,這引起了社交媒體的強(qiáng)烈反對����。因為他將曝光歸咎于發(fā)現(xiàn)公眾可訪問敏感數(shù)據(jù)的報社記者,而不是出現(xiàn)安全漏洞的網(wǎng)站����。
這件事讓安全專家想起了幾年前從幾位從事微軟安全問題通信工作人員那里獲得的經(jīng)驗和教訓(xùn)。微軟安全事件通常以各種細(xì)節(jié)出現(xiàn)在新聞中�����,但其安全通信團(tuán)隊通常對此保持沉默���。專家開始以為他們不了解面臨的安全問題���,但后來發(fā)現(xiàn)他們在等待后續(xù)解決方案�����,或者仍在調(diào)查一些事實����。
率先發(fā)布有關(guān)安全事件的消息通常意味著會出錯����,或者更糟糕的是,受害者不完全了解情況���,并提供通常無法輕易糾正的錯誤信息��。在這個全天候的新聞世界中����,在這個過程中過早地披露企業(yè)面臨的安全問題而帶來不必要的審查����。因此,企業(yè)在發(fā)布數(shù)據(jù)泄露事件的通知中應(yīng)該遵循中間立場�����,既不過早發(fā)布�,也不過晚發(fā)布。
企業(yè)明智的做法是制定如何應(yīng)對數(shù)據(jù)泄露事件的計劃��,以下是如何制定這一計劃的方法:
1.了解網(wǎng)絡(luò)保險公司的違規(guī)流程
企業(yè)在發(fā)生數(shù)據(jù)泄露事件之前需要聯(lián)系其網(wǎng)絡(luò)保險公司����,以了解保險公司在發(fā)生事件時希望遵循的流程。一旦懷疑存在違規(guī)行為���,他們應(yīng)該是企業(yè)首先聯(lián)系的人之一���。他們可能需要引入調(diào)查人員以更好地了解違規(guī)行為的性質(zhì)。保險公司也有自己的溝通專家����,他們將協(xié)助溝通過程或成為企業(yè)遭遇數(shù)據(jù)泄露事件的發(fā)言人。
2.制定溝通計劃
企業(yè)在確定發(fā)生違規(guī)事件時需要進(jìn)行溝通�����。可以起草需要展示的溝通模板����。確保關(guān)于企業(yè)的客戶在發(fā)生違規(guī)事件后的溝通清晰明確。企業(yè)遵循網(wǎng)絡(luò)保險提供商和律師關(guān)于在面向客戶的網(wǎng)站上進(jìn)行溝通和公共關(guān)系通知的指導(dǎo)���。一旦發(fā)生違規(guī)事件�����,需要監(jiān)控隨著情況的變化可能需要的后續(xù)溝通�����。
3.了解相關(guān)的違規(guī)通知指南和規(guī)定
如果是政府部門����,則需要遵循美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的違規(guī)披露和通知指南���。私營企業(yè)也需要建立類似的流程����。由于遭受勒索軟件重創(chuàng),美國的立法者開始采取行動確保更好的溝通和調(diào)查�����。最近推出的美國參議院第2666號法案要求對員工超過50人的企業(yè)報告勒索軟件支付有著嚴(yán)格的24小時限制�,例如�����,在發(fā)現(xiàn)危及��、可能危及或嚴(yán)重影響聯(lián)邦機(jī)構(gòu)或相關(guān)實體履行關(guān)鍵職能的勒索軟件操作后24小時內(nèi)�����,發(fā)現(xiàn)勒索軟件操作的聯(lián)邦機(jī)構(gòu)或相關(guān)實體應(yīng)提交勒索軟件通知���。
4.制定漏洞披露計劃
企業(yè)應(yīng)該提前審查的另一個流程是漏洞披露計劃����。隨著企業(yè)的更多信息被放置在網(wǎng)絡(luò)上�����,通常沒有更多的資源來全面審查和識別可能無意中部署的所有安全漏洞。
大企業(yè)通常有漏洞賞金計劃�����,為漏洞研究人員發(fā)現(xiàn)問題的行為支付報酬���,但大多數(shù)企業(yè)都沒有這樣的計劃��。有些公司依賴第三方漏洞賞金計劃�����,例如在安全研究人員和企業(yè)之間進(jìn)行協(xié)調(diào)的零日計劃���。
所有擁有面向客戶的網(wǎng)站或資產(chǎn)的企業(yè)都有而且應(yīng)該有一個允許公眾披露漏洞的流程。而security@的電子郵件別名通常被保留用于報告安全問題��,因此需要確保有一個既定的披露流程�����。
5.考慮滲透測試服務(wù)
企業(yè)通常有自己的門戶網(wǎng)站���,如果發(fā)生的數(shù)據(jù)泄露事件對企業(yè)產(chǎn)生重大影響����,需要考慮讓安全團(tuán)隊或聘請第三公司對運營環(huán)境進(jìn)行滲透測試。像Black Hills信息安全公司這樣的安全廠商長期以來一直使用滲透測試團(tuán)隊或安全紅隊來鞏固他們的安全防御�。Purple Teaming結(jié)合了攻擊和防御方法,以獲取更多關(guān)于網(wǎng)絡(luò)漏洞以及如何解決這些漏洞的知識����。
最重要的是�,企業(yè)需要審查處理安全問題和違規(guī)行為的流程,確保已經(jīng)建立適當(dāng)?shù)牧鞒虂硖幚磉`規(guī)行為�。企業(yè)需要知道的是,他們面臨的不是違規(guī)事件是否會發(fā)生�����,而是何時發(fā)生���。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
