规划违规响应

数据泄露可能导致您的公司在关键时间内关闭，有时甚至永远关闭； 它肯定会给您的财务未来带来风险，在某些情况下，甚至可能使您入狱。 但这一切都没有发生，因为，如果您正确地计划，您和您的公司就可以恢复并继续开展业务，有时只需几分钟。 最终，这一切都取决于计划。

上周，我们讨论了如何为数据泄露做好准备。 假设您在违规事件发生之前已经做到了，那么接下来的步骤相当简单。 但是，这些准备步骤之一就是创建一个计划，然后对其进行测试。 是的，这将需要大量工作。

不同之处在于，在任何违规行为发生之前进行的预先计划旨在最大程度地减少损害。 发生违规后，该计划需要着重于恢复过程和处理后果问题（假设有任何问题）。 记住，就像泄密之前一样，您的总体目标是最大程度地减少泄密对您的公司，员工和客户的影响。

规划恢复

恢复计划包括两大类。 首先是修复由破坏造成的损害，并确保实际上消除了威胁。 第二个是照顾数据泄露带来的财务和法律风险。 就组织的未来健康而言，两者同等重要。

托管保护和响应提供商eSentire的解决方案工程和咨询服务副总裁Sean Blenkhorn表示：“遏制对于恢复至关重要。 “我们能够更快地检测到威胁，就可以更好地遏制它。”

布伦霍恩说，根据所涉及的威胁的种类，包含威胁的方式可能有所不同。 例如，就勒索软件而言，这可能意味着使用托管端点保护平台来帮助将恶意软件与任何继发感染隔离开，以使其无法传播，然后将其删除。 这也可能意味着实施新策略，以便阻止将来的违规行为，例如为漫游和远程办公用户配备个人虚拟专用网（VPN）帐户。

但是，其他类型的威胁可能需要不同的策略。 例如，从企业中寻求财务信息，知识产权（IP）或其他数据的攻击与勒索软件攻击的处理方式不同。 在这些情况下，您可能需要查找并消除输入路径，并且将需要找到一种方法来停止命令和控制消息。 反过来，这将要求您监视和管理这些消息的网络流量，以便您可以查看它们的起源和发送数据的位置。

布伦霍恩说：“攻击者具有先发优势。” “您必须寻找异常。”

这些异常会将您带到通常提供访问权限或正在提供渗透的资源（通常是服务器）。 一旦发现，就可以删除恶意软件并还原服务器。 但是，Blenkhorn警告说，您可能需要重新映像服务器，以确保所有恶意软件均已消失。

违规恢复步骤

Blenkhorn表示，计划进行漏洞恢复时还要记住三件事：

1. 违反是不可避免的，
2. 单靠技术并不能解决问题，而且
3. 您必须假设这是您从未见过的威胁。

但是，一旦消除了威胁，您就只能完成一半的恢复。 另一半是保护业务本身。 网络保险提供商Cyber​​Policy产品高级总监Ari Vared表示，这意味着需要提前准备恢复伙伴。

Vared在一封电子邮件中对PCMag表示：“在这里制定网络恢复计划可以节省业务。” “这意味着要确保您的法律团队，数据取证团队，公关团队和主要工作人员事先知道一旦发生违规该怎么办。”

第一步是要事先确定您的恢复伙伴，并向他们告知您的计划，并在发生违反事件时采取必要的措施以保留其服务。 这听起来像很多行政负担，但是Vared列出了使该过程值得付出努力的四个重要原因：

1. 如果需要保密协议和保密协议，则可以事先同意这些协议以及费用和其他条款，这样您就不会在网络攻击后尝试与新的供应商进行谈判而浪费时间。
2. 如果您拥有网络保险，那么您的代理商可能已经确定了特定的合作伙伴。 在这种情况下，您将需要使用这些资源来确保根据政策支付费用。
3. 您的网络保险提供商可能会针对某些方面制定愿意支付的金额准则，而中小型企业（SMB）所有者将希望确保其卖方费用在这些准则之内。
4. 一些网络保险公司将在内部拥有必要的恢复合作伙伴，这对于企业所有者来说是一个交钥匙的解决方案，因为这种关系已经建立并且服务将自动包含在该保单中。

解决法律和法证问题

瓦雷德说，遭受攻击后，您的法律团队和法证团队是当务之急。 如Blenkhorn所述，法医小组将采取第一步恢复行动。 顾名思义，这个团队在那里找出发生了什么，更重要的是如何发生的。 这不是要怪。 是为了确定允许违规的漏洞，以便您将其插入。 这是在取证小组到来之前与员工做出的重要区别，以避免过分的怨恨或担忧。

Vared指出，应对违规行为的法律团队可能与为您的企业处理传统法律任务的人不同。 相反，他们将是一个专业的团队，在处理网络攻击的后果方面经验丰富。 该团队可能会为您辩护，使其免于因违规，与监管机构打交道，甚至与网络窃贼及其赎金进行谈判而引起的诉讼。

同时，您的PR团队将与您的法律团队一起处理通知要求，与您的客户沟通以解释违规和您的回应，甚至可能向媒体解释相同的细节。

最后，一旦您采取了从漏洞中恢复的必要步骤，您将需要将这些团队与C级高管召集在一起，并举行一次事后会议并报告。 行动后报告对于确定组织哪些方面是正确的，什么地方是错误的以及下一步可以改善您的响应的措施，对于使您的组织为下一次违规做好准备至关重要。

测试计划

• 数据泄露后6件事不要做的事情数据泄露后6件事不要做的事情
• 2018年上半年数据泄露破坏了45亿条记录2018年上半年数据泄露破坏了45亿条记录
• 国泰航空披露影响940万乘客的数据泄露国泰航空披露影响940万乘客的数据泄露

所有这一切都假定您的计划在发生不良事件时能很好地构思和执行。 不幸的是，这绝不是一个安全的假设。 合理确定您的计划成功的唯一方法是在计划准备好后立即进行实践。 您所聘用的专家将网络攻击作为其业务中的常规事件进行处理，不会给您太大的阻力来实施您的计划，他们已经习惯了并且很可能会期望这样做。 但是，由于他们是局外人，因此您需要确保他们已安排好练习时间，并且可能需要为他们的时间付费。 这意味着重要的是，不仅要一次，而且要定期将其纳入预算。

该基础的定期性取决于您的内部员工如何响应您的第一次测试。 您的第一次测试几乎肯定会在某些或所有方面失败。 这是可以预期的，因为对于许多人来说，此响应将比简单的消防演习更加复杂和繁重。 您需要做的是测量该故障的严重程度，并将其用作确定执行响应的频率和程度的基准。 请记住，这里有一场防火演习，它是大多数企业永远都不会经历的灾难。 您的网络攻击演习是在某个阶段实际上是不可避免的灾难。