Mengidentifikasi Data yang Disusupi Bisa Menjadi Mimpi Buruk Logistik

Anda baru saja mengetahui bahwa jaringan perusahaan atau lingkungan cloud Anda telah dibobol. Apakah Anda tahu cara mengidentifikasi data mana yang disusupi dan di mana disimpan?

Meluncurkan penyelidikan pelanggaran umumnya mengharuskan Anda memiliki semacam titik awal, tetapi mengetahui bahwa titik awal tidak selalu memungkinkan. Terkadang Anda tidak mengetahui data atau aset fisik mana yang disusupi — hanya FBI yang baru saja menelepon untuk memberi tahu Anda bahwa data perusahaan Anda ditemukan di Web Gelap untuk dijual, kata Tyler Young, CISO di BigID, perusahaan keamanan yang berspesialisasi dalam privasi , kepatuhan, dan tata kelola.

Database sumber, aplikasi, server, atau repositori penyimpanan perlu ditentukan untuk memastikan tim forensik dapat menemukan potensi ancaman yang masih membayangi jaringan Anda.

John Benkert, salah satu pendiri dan CEO perusahaan keamanan data Cigent, merekomendasikan bahwa jika Anda tidak tahu persis data apa yang dilanggar, Anda mulai mengevaluasi sistem dan sumber daya yang paling penting bagi operasi organisasi atau berisi informasi yang paling sensitif. Berfokuslah pada sistem yang paling mungkin menjadi sasaran pelanggaran, seperti sistem dengan kerentanan yang diketahui atau kontrol keamanan yang lemah.

“Saat tim keamanan mencari data yang disusupi, mereka sering berfokus pada hal yang salah, seperti mencari tanda tangan atau indikator penyusupan yang diketahui,” kata Ani Chaudhuri, CEO Dasera. “Pendekatan ini bisa efektif untuk mendeteksi ancaman yang diketahui, tetapi kurang bermanfaat untuk menemukan ancaman baru atau tingkat lanjut yang tidak sesuai dengan pola yang diketahui. Sebaliknya, tim keamanan harus fokus pada pemahaman data organisasi dan bagaimana data tersebut diakses, digunakan, dan disimpan.”

Selalu Perbarui Pengetahuan untuk Mempertahankan Ketertelusuran

Young mengatakan pemahaman mendasar tentang aset Anda, termasuk sistem data, identitas, dan orang, akan membantu Anda bekerja mundur jika ada pelanggaran. Melalui penemuan dan klasifikasi data otomatis, organisasi dapat lebih memahami di mana data sensitif mereka berada dan siapa yang memiliki akses ke sana. Informasi ini kemudian dapat digunakan untuk mengidentifikasi dan memprioritaskan kontrol keamanan, seperti kontrol akses dan enkripsi, untuk melindungi data, catatnya.

Menghubungkan titik-titik antara sistem, orang, kontrol keamanan, dan aset lain yang dapat diidentifikasi memberikan remah roti pepatah kembali melalui pelanggaran data, dari data di Web Gelap ke tempat data awalnya berada di server perusahaan atau di awan.

Memiliki profil manajemen aset terkini, termasuk di mana data disimpan, data mana yang berada di repositori mana, dan inventaris lengkap topologi jaringan dan perangkat, sangat penting.

“CISO harus memiliki visibilitas lengkap ke dalam infrastruktur TI organisasi mereka, termasuk semua mesin virtual, sistem penyimpanan, dan titik akhir,” ujar Young.

Benkert Cigent mengidentifikasi beberapa kesalahan umum yang dilakukan organisasi saat menyelidiki pelanggaran:

• Gagal bertindak cepat. Waktu sangat penting dalam investigasi pelanggaran, dan penundaan dalam mengumpulkan data forensik memungkinkan penyerang menutupi jejak mereka, menghancurkan bukti, atau meningkatkan serangan mereka.
• Menimpa atau mengubah data. Perusahaan mungkin secara tidak sengaja menimpa atau memodifikasi data forensik dengan terus menggunakan sistem yang terpengaruh atau melakukan investigasi yang tidak terkendali.
• Kurang keahlian. Mengumpulkan dan menganalisis data forensik memerlukan keterampilan dan alat khusus, dan perusahaan mungkin tidak memiliki keahlian internal yang sesuai untuk melakukan tugas ini secara efektif.
• Tidak mempertimbangkan semua potensi sumber bukti. Perusahaan mungkin mengabaikan atau tidak sepenuhnya menyelidiki semua potensi sumber data forensik, seperti layanan cloud, perangkat seluler, atau media fisik.
• Tidak menyimpan data dengan cara yang sehat secara forensik. Untuk menjaga integritas bukti, penting untuk menggunakan metode yang baik secara forensik untuk akuisisi dan penyimpanan data. Agar sehat secara forensik, proses pengumpulan harus dapat dipertahankan dengan konsisten, dapat diulang, didokumentasikan dengan baik, dan diautentikasi.
• Tidak memiliki rencana respons insiden yang jelas. Rencana yang terdefinisi dengan baik dapat membantu memastikan bahwa semua data yang relevan dikumpulkan dan penyelidikan dilakukan dengan cara yang metodis dan efektif.

“Pemantauan berkelanjutan dan kemampuan deteksi risiko membantu organisasi mengidentifikasi perilaku anomali atau mencurigakan yang dapat mengindikasikan pelanggaran data,” catat Chaudhuri dari Dasera. Dengan memantau pola akses data dan perubahan pada data dan infrastruktur, organisasi dapat dengan cepat mendeteksi potensi ancaman dan mengingatkan tim keamanan untuk mengambil tindakan.

Pelanggaran PL Menghadirkan Keprihatinan Khusus

Pelanggaran lingkungan teknologi operasional (OT) sering memberikan tantangan tambahan pada tim forensik. Dengan jaringan TI tradisional, server dan perangkat titik akhir lainnya dapat dipindahkan secara fisik dan dibawa ke lab penegakan hukum untuk dianalisis. Tapi itu belum tentu terjadi di lingkungan OT, catat Marty Edwards, wakil CTO untuk OT/IoT di Tenable, anggota International Society of Automation (ISA) Global Cybersecurity Alliance (GCA), dan mantan direktur ISA.

Di lingkungan OT, data yang disusupi dapat ada di pengontrol perangkat yang disematkan dalam sistem infrastruktur penting, seperti instalasi pengolahan air atau jaringan listrik, yang tidak dapat diputuskan atau dimatikan tanpa memengaruhi ribuan orang.

Bahkan menyerahkan laptop mission-critical yang dikompromikan ke FBI mungkin memerlukan tim TI untuk menegosiasikan proses penggantian laptop untuk mempertahankan fungsi mission-critical daripada hanya memasukkannya ke dalam kantong bukti. Di mana Jaringan OT dan IT bertemu, serangan dunia maya yang umum, seperti ransomware, dapat menyebabkan penyelidikan forensik yang jauh lebih kompleks karena tingkat keamanan yang berbeda pada perangkat jaringan.

Salah satu kesulitannya adalah bahwa sistem OT menggunakan perangkat keras yang sangat disesuaikan dan terkadang berpemilik, dan protokolnya tidak dipublikasikan atau tersedia secara terbuka, catat Edwards.

“Dalam beberapa kasus, kami harus membuat alat kami sendiri, atau kami harus bermitra dengan pabrikan atau vendor untuk membawa alat pabrik mereka yang tidak mereka jual kepada siapa pun, tetapi mereka gunakan saat membuat produk, " dia berkata.

Kadang-kadang, alat perangkat lunak yang disesuaikan mungkin perlu dibuat khusus di lokasi karena alat forensik tradisional seringkali tidak berfungsi, kata Edwards.

• Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
• PlatoAiStream. Kecerdasan Data Web3. Pengetahuan Diperkuat. Akses Di Sini.
• Mencetak Masa Depan bersama Adryenn Ashley. Akses Di Sini.
• Beli dan Jual Saham di Perusahaan PRE-IPO dengan PREIPO®. Akses Di Sini.
• Sumber: https://www.darkreading.com/edge-articles/identifying-compromised-data-can-be-a-logistical-nightmare