التخطيط لرد خرقك

يمكن أن يؤدي خرق البيانات إلى إيقاف تشغيل شركتك لفترة زمنية حرجة ، إلى الأبد أحيانًا ؛ من المؤكد أنه يمكن أن يعرض مستقبلك المالي للخطر ، وفي بعض الحالات ، قد يهبط في السجن. ولكن لا يجب أن يحدث أي شيء لأنه إذا كنت تخطط بشكل صحيح ، يمكنك أنت وشركتك التعافي والاستمرار في العمل ، في بعض الأحيان في غضون دقائق. في النهاية ، كل شيء يتعلق بالتخطيط.

في الأسبوع الماضي ، ناقشنا كيفية الاستعداد لخرق البيانات. على افتراض أنك فعلت ذلك قبل حدوث خرقك ، فإن خطواتك التالية واضحة ومباشرة. لكن إحدى خطوات الاستعداد هذه كانت إعداد خطة ثم اختبارها. و ، نعم ، سوف يتطلب الأمر قدراً كبيراً من العمل.

الفرق هو أن التخطيط المسبق الذي تم قبل أي خرق يهدف إلى تقليل الضرر. بعد الخرق ، تحتاج الخطة إلى التركيز على عملية الاسترداد والتعامل مع مشكلات ما بعد ، على افتراض وجود أي منها. تذكر أن هدفك العام ، كما كان قبل الاختراق ، هو تقليل تأثير الخرق على شركتك وموظفيك وعملائك إلى الحد الأدنى.

التخطيط لاسترداد

يتكون تخطيط الاسترداد من فئتين عريضتين. الأول هو إصلاح الضرر الناجم عن الانتهاك والتأكد من التخلص الفعلي من التهديد. والثاني هو رعاية المخاطر المالية والقانونية التي تصاحب خرق البيانات. بقدر ما يذهب في المستقبل صحة مؤسستك ، وكلاهما لا يقل أهمية.

وقال شون بلينكورن ، نائب رئيس الحلول الهندسية والخدمات الاستشارية للحماية المدارة ومزود الاستجابة eSentire: "الاحتواء هو عنصر أساسي من حيث الاسترداد". "كلما تمكنا من اكتشاف التهديد بشكل أسرع ، كلما كان بوسعنا احتوائه".

وقال Blenkhorn أن احتواء التهديد يمكن أن يختلف تبعا لنوع التهديد الذي ينطوي عليه. في حالة رانسومواري ، على سبيل المثال ، قد يعني استخدام النظام الأساسي لحماية نقطة النهاية المدارة للمساعدة في عزل البرمجيات الخبيثة جنبا إلى جنب مع أي الالتهابات الثانوية بحيث لا يمكن أن ينتشر ، ثم إزالته. قد يعني أيضًا تنفيذ استراتيجيات جديدة بحيث يتم حظر الانتهاكات المستقبلية ، مثل تزويد مستخدمي التجوال والاتصال عن بُعد بحسابات الشبكة الخاصة الافتراضية الخاصة (VPN).

ومع ذلك ، قد تتطلب أنواع التهديدات الأخرى أساليب مختلفة. على سبيل المثال ، لن يتم التعامل مع أي هجوم يسعى للحصول على معلومات مالية أو ملكية فكرية (IP) أو بيانات أخرى من مؤسستك بنفس طريقة هجوم رانسومواري. في هذه الحالات ، قد تحتاج إلى العثور على مسار الإدخال والقضاء عليه ، وستحتاج إلى إيجاد طريقة لإيقاف رسائل الأوامر والتحكم. سيحتاج هذا بدوره إلى مراقبة حركة مرور الشبكة وإدارتها لتلك الرسائل حتى تتمكن من معرفة مكان نشأتها وأين ترسل البيانات.

وقال بلنكورن "المهاجمون لديهم ميزة المحرك الأولى." "عليك أن تبحث عن الشذوذ".

ستأخذك هذه الحالات الشاذة إلى المورد ، وعادة ما يكون خادمًا ، يوفر وصولًا أو يوفر تسهيلًا. بمجرد العثور على ذلك ، يمكنك إزالة البرامج الضارة واستعادة الخادم. ومع ذلك ، يحذر Blenkhorn من أنك قد تحتاج إلى إعادة صورة الخادم للتأكد من أن أي برامج ضارة قد ولت بالفعل.

خطوات الاسترداد

قال Blenkhorn أن هناك ثلاثة أشياء إضافية يجب تذكرها عند التخطيط لاسترداد الاستراحة:

1. الخرق أمر لا مفر منه ،
2. التكنولوجيا وحدها لن تحل المشكلة
3. عليك أن تفترض أنه تهديد لم تره من قبل.

ولكن بمجرد القضاء على التهديد ، قمت بإجراء نصف التعافي فقط. النصف الآخر هو حماية الأعمال نفسها. وفقًا لأري فاريد ، كبير مديري المنتجات في CyberPolicy ، مزود خدمات التأمين الإلكتروني ، فإن هذا يعني إعداد شركاء الاسترداد مسبقًا.

وقال فاريد لـ PCMag في رسالة بريد إلكتروني: "هذا هو المكان الذي يمكن أن توفر فيه خطة الاسترداد الإلكتروني مكان العمل". "هذا يعني التأكد من أن الفريق القانوني وفريق الطب الشرعي للبيانات وفريق العلاقات العامة الخاص بك والموظفون الرئيسيون لديك يعرفون مسبقاً ما يجب القيام به عندما يكون هناك خرق."

الخطوة الأولى هناك تعني تحديد شركاء الاسترداد مقدمًا وإبلاغهم بخطتك واتخاذ الإجراءات اللازمة للاحتفاظ بخدماتهم في حالة حدوث خرق. هذا يبدو كأنه عبء إداري كبير ، لكن فاريد ذكر أربعة أسباب مهمة تجعل العملية تستحق الجهد:

1. إذا كانت هناك حاجة إلى اتفاقيات عدم الإفصاح والسرية ، فيمكن الاتفاق على هذه الاتفاقات مقدمًا ، جنبًا إلى جنب مع الرسوم والشروط الأخرى ، بحيث لا تضيع وقتك بعد هجوم سيبراني يحاول التفاوض مع بائع جديد.
2. إذا كان لديك تأمين عبر الإنترنت ، فقد يكون لدى وكالتك شركاء معينون تم تحديدهم بالفعل. في هذه الحالة ، ستحتاج إلى استخدام هذه الموارد لضمان تغطية التكاليف وفقًا للسياسة.
3. قد يكون لدى مزود التأمين الإلكتروني الخاص بك إرشادات للمبلغ الذي يرغب في تغطيته بالنسبة لجوانب معينة ، ويريد مالك الشركات الصغيرة والمتوسطة الحجم (SMB) التأكد من أن رسوم بائعها تقع ضمن تلك الإرشادات.
4. ستتمتع بعض شركات التأمين عبر الإنترنت بشركاء الاسترداد الضروريين داخل الشركة ، مما يجعله حلاً جاهزًا لمالك الأعمال ، حيث إن العلاقات قائمة بالفعل وسيتم تغطية الخدمات تلقائيًا بموجب السياسة.

معالجة القضايا القانونية والطب الشرعي

قال فاريد إن الفريق القانوني وفريق الطب الشرعي يمثلان أولوية عالية بعد الهجوم. سيتخذ فريق الطب الشرعي الخطوات الأولى في التعافي ، كما حددها Blenkhorn. كما يوحي الاسم ، هذا الفريق موجود لمعرفة ما حدث ، والأهم من ذلك كيف. هذا ليس لتوجيه اللوم. تحديد الثغرة الأمنية التي سمحت للاختراق حتى تتمكن من توصيله. هذا تمييز مهم يجب القيام به مع الموظفين قبل وصول فريق الطب الشرعي لتجنب الضغينة أو القلق.

أشار فاريد إلى أن الفريق القانوني الذي يستجيب للانتهاك ربما لن يكون هو نفسه الأشخاص الذين يتولون المهام القانونية التقليدية لعملك. بدلاً من ذلك ، سيكونون مجموعة متخصصة لديهم خبرة في التعامل مع آثار الهجمات الإلكترونية. قد يدافع عنك هذا الفريق ضد الدعاوى القضائية الناشئة عن الاختراق ، أو التعامل مع المنظمين ، أو حتى التعامل مع المفاوضات مع لصوص الإنترنت وفديةهم.

وفي الوقت نفسه ، سيعمل فريق العلاقات العامة مع فريقك القانوني للتعامل مع متطلبات الإخطار ، والتواصل مع عملائك لشرح الخرق وردك ، وربما حتى شرح نفس التفاصيل لوسائل الإعلام.

أخيرًا ، بمجرد اتخاذ الخطوات اللازمة للتعافي من الاختراق ، ستحتاج إلى جمع هذه الفرق مع المديرين التنفيذيين على مستوى C والحصول على اجتماع بعد الإجراء والتقرير. يعد تقرير ما بعد الإجراء أمرًا ضروريًا لإعداد مؤسستك للاختراق التالي من خلال تحديد ما حدث بشكل صحيح ، وما الخطأ الذي حدث ، وما الذي يمكن عمله لتحسين ردك في المرة القادمة.

اختبار خطتك

• 6 أشياء لا تفعلها بعد خرق البيانات 6 أشياء لا تفعلها بعد خرق البيانات
• البيانات تنتهك 4.5 مليار سجل في النصف الأول من عام 2018 البيانات تنتهك 4.5 مليار سجل في النصف الأول من عام 2018
• كاثي باسيفيك تكشف عن خرق البيانات التي تؤثر على 9.4 مليون مسافر كاثي باسيفيك تكشف عن خرق البيانات التي تؤثر على 9.4 مليون مسافر

كل هذا يفترض أن خطتك تم تصميمها جيدًا وتنفيذها بكفاءة في حالة حدوث شيء سيء. لسوء الحظ ، هذا ليس افتراضًا آمنًا أبدًا. إن الطريقة الوحيدة للتيقن بشكل معقول من أن خطتك تقف أمام أي فرصة للنجاح هي أن تمارسها بمجرد إعدادها. لن يمنحك المتخصصون الذين تعاملت معهم والذين يتعاملون مع الهجمات الإلكترونية كأحداث منتظمة في أعمالهم مقاومة كبيرة لممارسة خطتك - لقد اعتادوا على ذلك ويتوقعون ذلك على الأرجح. ولكن نظرًا لأنهم غرباء ، فستحتاج إلى التأكد من جدولة هذه الممارسة ، وربما يتعين عليك دفعها مقابل وقتهم. هذا يعني أنه من المهم مراعاة ذلك في ميزانيتك ، ليس مرة واحدة فقط ولكن بشكل منتظم.

يعتمد مدى انتظام هذا الأساس على استجابة موظفيك الداخليين لاختبارك الأول. من شبه المؤكد أن الاختبار الأول سوف يفشل في بعض الجوانب أو ربما جميعها. هذا أمر متوقع لأن هذا الرد سيكون أكثر تعقيدًا وعبءًا بالنسبة للكثيرين بدلاً من تدريبات حريق بسيطة. ما عليك القيام به هو قياس شدة هذا الفشل واستخدامه كخط أساسي لتحديد عدد المرات وإلى أي مدى تحتاج إلى ممارسة ردك. تذكر أن تدريبات إطفاء الحرائق موجودة لكارثة لن تواجهها معظم الشركات. تمرين الهجوم الإلكتروني الخاص بك هو كارثة لا مفر منها عملياً في مرحلة ما.