数据泄露正逐渐成为企业 IT 部门不得不正视的一个严酷现实;与此同时,企业也三申五令要求所有员工都应提高对安全问题的警惕性。然而,在将注意力放在如何阻止侵入者“闯进门来”的同时,企业也需确保内部设立了相应的响应战略,以便公司上下一起应对已经发生的数据泄露事件。
发现数据泄露后的几天到几周内是企业对此类事件做出响应的关键时期,但同时也是容易让外界对该企业产生负面情绪的敏感时期。发现数据泄露后,我们往往会有一种冲动,想要启用周详的日志记录功能或者是让服务器脱机,有时甚至还会试着去草率响应这个事件,却不知道自己可能会因此而不小心删掉重要的证据。事实上,采取这些行动往往会造成适得其反的效果,不仅影响取证工作,还有可能会加重问题的严重性。应对数据泄露的关键是了解需要采取的标准响应流程,之后再将这个流程与最佳做法相结合,撰写事件响应战术手册。
最为重要的步骤之一是从一开始就确保内部已经建立明确的通知流程,方便员工向 IT 部门报告公司内任何潜在的安全问题。通常,最先发现重大安全事件的并不是受影响的企业本身。企业往往是从执法机构、支付机构等业务合作伙伴,甚至是客户的反馈中得知自己存在安全问题,但是 CIO 要等很久才会知道这件事情,因为收到这一反馈信息的联系人可能并不知道具体的上报流程。
数据泄露后的 1 天至 1 周内:一旦 CIO、CISO 以及 IT 员工意识到发生数据泄露后,CISO 应实施一项由以下三部分组成的响应计划:指导 IT 部门保存证据并评估该数据泄露的规模和范围;与法务部门合作,确定需要向大众披露的内容;以及告知 CIO 和 CEO 需向股东汇报的有关此次事件的最新发展动态。
IT 安全人员应在第三方取证专家的协助下重点完成以下工作:着手调出事件日志和防火墙日志,清理过多的网络通信,寻找新的域帐户以及核查所有端点保护警报。而企业的系统管理员则应在可能受到此次泄露事件影响的服务器和数据库上启用预定的日志记录机制。这个机制可以帮助分析造成此次数据泄露的人员和原因,但是要多加演练如何明智启用该机制,这一点很重要,因为有些文件如果收集的数据太多就会快速增大。所以,应尽可能提前规定启用该机制的区域和流程并经常予以测试。
有时,IT 员工会出于好意在发现数据泄露的第一时间试着通过删除文件或者更改配置进行补救,但是这个做法是不正确的,因为在有些情况下这样做或许就意味着破坏了宝贵的证据。为了保留数据,我们不得更改或删除任何日志(例如,发生由 SQL 注入攻击导致的数据泄露时的 SQL 事务日志)。查看服务器日志可能会发现信息过于繁琐;不要急着在整个网络中启用日志记录,因为这些日志文件可能会很快填满系统,影响系统运行,进而导致更多问题。最好的做法就是把所有日志文件、错误日志或者防病毒报告看成是犯罪现场的证据,然后集中精力保留并分析这些证据。
数据泄露后的 1 周至 3 周内:IT 部门已经控制了数据泄露事件并且已经知道数据泄露的范围,此时就需要市场营销团队和法务团队开始着手向客户以及与本次事件相关的主要受众披露更多信息。披露信息时,应如实披露本次数据泄露事件的详情,但不应披露会引起恐慌的信息,包括造成本次数据泄露的原因或者是对象。之所以在披露信息中省去“对象”和“原因”信息,是为了避免影响正在进行的调查工作,或者是防止泄露潜在的漏洞利用信息,引来进一步攻击。
在美国各州之间以及州与联邦之间,披露法的具体内容不尽相同,因此,请详细咨询法务团队以免出现失误。同时,还请确保采用了最新版本的 Symantec Endpoint Protection,以最大程度保护数据安全。
需要注意的是,鉴于每个问题都有它自己的独特性,上述建议仅供参考,万万不可照搬照套。另外,需做好万全准备应对发生重大事件时会出现的后续情况,这毫无商量的余地。如果企业不制定事件响应方案和危机沟通计划来规定市场营销部、法务部以及 IT 部的经理职责,就会耽搁 IT 部好几天的行动时间。
发现数据泄露后的几个小时内,各部门间的协调工作至关重要;制定事件响应计划并按照战术手册办事则可避免将宝贵的时间浪费在漫无目的的猜测上。理想情况下,您可以在数据泄露发生前就制定好这些计划或手册,以免事到临头乱了阵脚。我曾遇到很多企业因响应/沟通计划非常不健全或根本没有制定这些计划而在发现数据泄露后又丢失了更宝贵的数据。虽然每个事件都不相同,但是如果企业严格遵守指导原则并制定战术手册来指导员工如何按事件类型做出响应,他们就可以在遇到这些事件时以更好的状态予以应对。