数据中心经理、管理员和安全团队花费大量时间来加强其设施的安全性以防止违规。他们为什么不呢?安全性是每个数据中心的核心。如果您不能保护客户的数据并将他们的信息保密,那么您的生意就会大打折扣。那么,为什么主要关注的是预防性安全措施是有道理的。阻止违规行为每天都变得越来越重要。仅在 2015 年,就有 267 起公开报告的数据泄露事件。自 2005 年以来,数据泄露总数超过 5,300 起,影响了超过 9 亿条记录。
如何为发生数据泄露做准备
简而言之——数据泄露实际上是不可避免的,因此,除了预防之外,您还应该为可能发生的情况做好准备。虽然大多数公司认为他们已经为这样的事件做好了准备,但事实是,他们可能没有。2015 年,金融公司平均需要 98 天才能意识到其系统中发生了数据泄露。这种无知并不便宜——数据泄露的平均每日成本超过 21,000 美元。算一算,你看到的是 200 万美元——至少。
违规后重新调整焦点
违规发生后,您的重点必须转移。它不再是关于预防措施,而是关于反应性措施。有几个关键问题需要考虑:
- 将您的系统和服务器置于您的控制之下需要多长时间?
- 黑客是否能够访问他们获得的数据或是否已加密?
- 他们是否有权访问您的加密系统和相关密钥?
- 他们可以控制或访问其他外部或内部网络吗?
- 您必须做些什么来确保这不是持续的违规行为?
也许您的网络安全计划中最重要的一步是详细说明您在违规后将做什么。这是一个五步计划,可让您和您的企业做好准备并在发生攻击后恢复数据。
1.评估和遏制
在你做任何事情之前,你必须弄清楚发生了什么。黑客是怎么进来的?他们窃取了什么信息?谁受到了违规行为的影响?这需要直接与您的安全或 IT 团队合作。然后,快速工作以识别受影响的系统并尽可能最好地隔离它们。如果黑客是通过特定设备发生的,则将它们隔离。如果它当前影响多个门户或服务器,请改为隔离它们。
违规并不意味着您必须关闭。您可能需要让服务器或系统保持运行状态,以便收集适当的证据。花时间使用防火墙和其他工具阻止对这些系统的访问。有效地将它们从公共互联网上删除并消除所有公共访问权限。然后,如果您还没有,请开始删除授权用户,这样您就可以评估现有数据和信息,而不会有新的东西进出。这也将更容易找到和识别肇事者。
2.快速行动,毫不犹豫
一旦你意识到存在违规行为——或者甚至认为可能存在违规行为——就采取行动。很容易将时间线视为几小时或几天,但它更像是分钟和秒。通过适当的访问,黑客可以快速进出,因此速度至关重要。如果您认为存在违规行为,或者甚至有一点机会,那么就将这种情况视为肯定发生的事情。您等待采取行动的每一秒都是黑客可能用来提取更多信息或数据的另一秒。
3.通知您的客户和客户
一旦您知道发生了违规或攻击,请通知您的客户群。透明度非常重要,尤其是在涉及敏感数据和私人信息时。如果您对每个人都保密,这会导致更大的问题,您的客户可能会不高兴,他们一开始没有听到您的消息。组织在公开承认攻击后担心声誉不佳是很自然的,但您对情况的反应如何开放、迅速和准确将向每个人展示您的真实面目。你有组织和准备吗?您是否迅速做出反应并控制了局势?有没有让大家放心,把问题处理好?
4.寻求法律顾问
数据泄露和入侵并不像您想象的那么简单。可能会有完全超出您控制的法律后果。您需要支付赔偿金或罚款吗?涉及哪些方面,您需要与谁沟通?谁是真正的受害者?违规行为会对您的业务造成什么损害?Home Depot 仍在就 2014 年发生的一起重大销售点抢劫案进行诉讼。希望您在发生违规事件时有更好的措施,但如果有的话,您可能会处于中间阶段一个漫长而漫长的过程,你不能只是在地毯下扫过。如果是这种情况,您将需要适当的法律顾问和可靠的策略。
5.采取行动,防止再次发生攻击
当我们想象一个黑客时,我们通常会想象一个在他母亲的地下室里头戴连帽衫的人,但也可能是您组织内的某个人。根据英特尔今年的数据,58% 的违规行为来自企业内部。撤销管理权限或用户访问权限,直到您确定您的系统是安全的。我们并不是要你偏执并开始指责你的内部团队和员工,但要注意。进行调查以找出问题所在以及入侵是如何发生的,并确保它不再发生。这并不是说永远不会发生另一次违规行为,但您不希望重复攻击相同的攻击或违规行为,因为您第一次做得不够。