对数据泄露行为的缓慢或不当反应会使情况变得更糟。发现自己被黑客入侵后,请采取这些步骤来帮助控制损坏。
从电子书中:
“数据泄露本身是组织中可能发生的第二个最糟糕的事件;关于反应的沟通管理不善是最糟糕的。”这一观察结果来自Exabeam首席安全策略师史蒂夫·摩尔(Steve Moore),他追踪了犯罪和民族国家的对手,并带领历史上最大的医疗保健违规反应。摩尔补充说,包括审计,监管和诉讼支持在内的违规行为的时间可以持续几个月,而是数年。
我以前介绍了您可以为违规准备的5种方法,这可以帮助降低风险。但是,如果仍然发生这些预防措施,则仍会发生违规行为,但是,您应该在48小时内做八件事,以尽可能地管理和控制这种情况。
无论违规类型如何,这些步骤都应适用 - 无论是单个设备,一系列系统还是全公司的入侵。
冻结一切
将受影响的设备脱机,但不要将其关闭或进行任何更改。这里的目的是通过限制与受影响系统的沟通来阻止任何正在进行的活动,但不采取任何行动,可能会删除线索,污染证据或以其他方式无意间帮助攻击者。
对于虚拟机或其他系统,您可以快照,我建议您现在这样做,以便您在漏洞发生时具有录制的系统版本。您可以稍后以离线状态分析快照。
确保正在进行审计和伐木
确保现有的系统审核保持完整,并且已经运行将是确定违规范围并设计补救方法的最有用的步骤之一。如果审核已被禁用(例如,为了涵盖某人的步道),请在继续之前对其进行还原。它还将有助于确定是否仍在发生违规活动,并且何时可以安全地确定违规行为得以结束。