Hai appena saputo che la tua rete aziendale o il tuo ambiente cloud è stato violato. Sai come identificare quali dati sono stati compromessi e dove sono stati archiviati?
L'avvio di un'indagine sulla violazione generalmente richiede di avere una sorta di punto di partenza, ma sapere che il punto di partenza non è sempre possibile. A volte non saprai quali dati o asset fisici sono stati compromessi, solo che l'FBI ha appena chiamato per dirti che i tuoi dati aziendali sono stati trovati sul Dark Web per la vendita, afferma Tyler Young, CISO di BigID, una società di sicurezza specializzata in privacy , conformità e governance.
Il database di origine, l'applicazione, il server o il repository di archiviazione devono essere determinati per garantire che il team forense possa scovare qualsiasi potenziale minaccia ancora incombente nella rete.
John Benkert, co-fondatore e CEO della società di sicurezza dei dati Cigent, raccomanda che se non sai esattamente quali dati sono stati violati, inizia a valutare i sistemi e le risorse che sono più critici per le operazioni dell'organizzazione o che contengono le informazioni più sensibili. Concentrati sui sistemi che hanno maggiori probabilità di essere oggetto di una violazione, ad esempio quelli con vulnerabilità note o controlli di sicurezza deboli.
"Quando i team di sicurezza sono alla ricerca di dati compromessi, spesso si concentrano sulle cose sbagliate, come la ricerca di firme note o indicatori di compromissione", afferma Ani Chaudhuri, CEO di Dasera. “Questo approccio può essere efficace per rilevare minacce note, ma è meno utile per individuare minacce nuove o avanzate che non corrispondono a schemi noti. Invece, i team di sicurezza dovrebbero concentrarsi sulla comprensione dei dati dell'organizzazione e su come vi si accede, li utilizza e li archivia".
Mantieni la conoscenza aggiornata per mantenere la tracciabilità
Young afferma che una comprensione fondamentale delle tue risorse, inclusi sistemi di dati, identità e persone, ti aiuterà a lavorare a ritroso in caso di violazione. Attraverso il rilevamento e la classificazione automatizzati dei dati, le organizzazioni possono capire meglio dove risiedono i loro dati sensibili e chi può accedervi. Queste informazioni possono quindi essere utilizzate per identificare e dare priorità ai controlli di sicurezza, come i controlli di accesso e la crittografia, per proteggere i dati, osserva.
Collegare i punti tra sistemi, persone, controlli di sicurezza e altre risorse identificabili fornisce le proverbiali briciole di pane attraverso la violazione dei dati, dai dati sul Dark Web a dove i dati risiedevano originariamente sui server aziendali o nel cloud.
È essenziale disporre di un profilo di gestione delle risorse aggiornato, che includa dove sono archiviati i dati, quali dati si trovano in quale repository e un inventario completo della topologia e dei dispositivi di rete.
"I CISO devono avere una visibilità completa dell'infrastruttura IT della propria organizzazione, comprese tutte le macchine virtuali, i sistemi di storage e gli endpoint", afferma Young.
Benkert di Cigent identifica alcuni errori comuni commessi dalle organizzazioni durante le indagini su una violazione:
- Non agire rapidamente. Il tempo è essenziale in un'indagine su una violazione e i ritardi nella raccolta dei dati forensi consentono agli aggressori di coprire le proprie tracce, distruggere le prove o intensificare il loro attacco.
- Sovrascrivere o modificare i dati. Le aziende potrebbero inavvertitamente sovrascrivere o modificare i dati forensi continuando a utilizzare i sistemi interessati o conducendo indagini incontrollate.
- Competenza carente. La raccolta e l'analisi dei dati forensi richiede competenze e strumenti specializzati e le aziende potrebbero non disporre delle competenze interne adeguate per svolgere queste attività in modo efficace.
- Non considerando tutte le potenziali fonti di prova. Le aziende potrebbero trascurare o non indagare a fondo su tutte le potenziali fonti di dati forensi, come ad esempio servizi cloud, dispositivi mobili o supporti fisici.
- Non preservare i dati in modo legale. Per mantenere l'integrità delle prove, è importante utilizzare metodi validi dal punto di vista forense per l'acquisizione e la conservazione dei dati. Per essere valido dal punto di vista forense, il processo di raccolta deve essere difendibile essendo coerente, ripetibile, ben documentato e autenticato.
- Non avere un chiaro piano di risposta agli incidenti. Un piano ben definito può aiutare a garantire che tutti i dati pertinenti vengano raccolti e che l'indagine sia condotta in modo metodico ed efficace.
"Le funzionalità di monitoraggio continuo e rilevamento dei rischi aiutano le organizzazioni a identificare comportamenti anomali o sospetti che potrebbero indicare una violazione dei dati", osserva Chaudhuri di Dasera. Monitorando i modelli di accesso ai dati e le modifiche ai dati e all'infrastruttura, le organizzazioni possono rilevare rapidamente potenziali minacce e avvisare i team di sicurezza affinché agiscano.
Le violazioni dell'OT presentano preoccupazioni particolari
Le violazioni degli ambienti della tecnologia operativa (OT) spesso pongono ulteriori sfide ai team forensi. Con una rete IT tradizionale, i server e altri dispositivi endpoint possono essere rimossi fisicamente e portati in un laboratorio delle forze dell'ordine per essere analizzati. Ma questo non è necessariamente il caso degli ambienti OT, osserva Marty Edwards, vice CTO per OT/IoT presso Tenable, membro della Global Cybersecurity Alliance (GCA) della International Society of Automation (ISA) ed ex direttore di ISA.
Negli ambienti OT, potrebbero esistere dati compromessi nei controller dei dispositivi incorporati in sistemi di infrastrutture critiche, come un impianto di trattamento dell'acqua o la rete elettrica, che non possono essere disconnessi o spenti senza influire su migliaia di persone.
Anche la consegna di un laptop mission-critical compromesso all'FBI potrebbe richiedere al team IT di negoziare il processo di sostituzione del laptop per preservare la sua funzione mission-critical piuttosto che limitarsi a metterlo in una borsa delle prove. Dove Le reti OT e IT convergono, i comuni attacchi informatici, come il ransomware, possono portare a indagini forensi molto più complesse a causa dei diversi livelli di sicurezza nei dispositivi di rete.
Una delle difficoltà è che i sistemi OT utilizzano hardware molto personalizzato e talvolta proprietario, e i protocolli non sono pubblicati o disponibili apertamente, osserva Edwards.
"In alcuni casi, abbiamo dovuto costruire i nostri strumenti, o abbiamo dovuto collaborare con il produttore o il venditore per portare nella loro fabbrica strumenti che non vendono a nessuno, ma che usano mentre stanno fabbricando il prodotto, " lui dice.
Occasionalmente, potrebbe essere necessario creare strumenti software personalizzati in loco poiché gli strumenti forensi tradizionali spesso non funzionerebbero, afferma Edwards.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoAiStream. Intelligenza dei dati Web3. Conoscenza amplificata. Accedi qui.
- Coniare il futuro con Adryenn Ashley. Accedi qui.
- Acquista e vendi azioni in società PRE-IPO con PREIPO®. Accedi qui.
- Fonte: https://www.darkreading.com/edge-articles/identifying-compromised-data-can-be-a-logistical-nightmare
- :ha
- :È
- :non
- :Dove
- 7
- a
- accesso
- accessibile
- acquisizione
- Legge
- Action
- aggiuntivo
- Avanzate
- che interessano
- Mettere in guardia
- Tutti
- alleanza
- consentire
- sempre
- an
- l'analisi
- ed
- e infrastruttura
- in qualsiasi
- Applicazioni
- approccio
- opportuno
- SONO
- AS
- attività
- gestione delle risorse
- Attività
- At
- attacco
- autenticato
- Automatizzata
- Automazione
- disponibile
- precedente
- Bags
- BE
- stato
- essendo
- Meglio
- fra
- violazione
- violazioni
- portare
- costruire
- ma
- by
- detto
- Materiale
- non può
- funzionalità
- Custodie
- casi
- ceo
- sfide
- Modifiche
- CISO
- classificazione
- pulire campo
- Cloud
- Co-fondatore
- Raccolta
- collezione
- Uncommon
- Aziende
- azienda
- completamento di una
- complesso
- conformità
- compromesso
- Compromissione
- condotto
- conduzione
- considerando
- coerente
- contenere
- continua
- continuo
- controlli
- Aziende
- potuto
- coprire
- critico
- Infrastruttura critica
- CTO
- Corrente
- Custom-built
- personalizzate
- attacchi informatici
- Cybersecurity
- Scuro
- Web Scuro
- dati
- l'accesso ai dati
- violazione di dati
- la sicurezza dei dati
- Banca Dati
- ritardi
- vice
- distruggere
- rivelazione
- determinato
- dispositivo
- dispositivi
- diverso
- le difficoltà
- Direttore
- scollegato
- scoperta
- do
- don
- dovuto
- Efficace
- in maniera efficace
- Elettrico
- incorporato
- crittografia
- endpoint
- applicazione
- garantire
- Ambiente
- ambienti
- errori
- essenza
- essential
- la valutazione
- prova
- di preciso
- esistere
- competenza
- fabbrica
- fbi
- ricerca
- Impresa
- Focus
- Nel
- Legale
- forense
- Ex
- essere trovato
- da
- completamente
- function
- fondamentale
- generalmente
- globali
- la governance
- Griglia
- ha avuto
- Hardware
- Avere
- avendo
- he
- Aiuto
- Come
- Tutorial
- HTTPS
- identifica
- identificare
- identificazione
- identità
- if
- importante
- in
- incidente
- risposta agli incidenti
- Compreso
- indicare
- informazioni
- Infrastruttura
- invece
- interezza
- Internazionale
- ai miglioramenti
- inventario
- indagare
- indagine
- Indagini
- È UN
- IT
- SUO
- jpg
- ad appena
- Sapere
- Conoscere
- conoscenze
- conosciuto
- laboratorio
- laptop
- Legge
- applicazione della legge
- portare
- imparato
- meno
- livelli
- probabile
- collocato
- cerca
- incombente
- macchine
- mantenere
- make
- gestione
- modo
- Costruttore
- consigliato per la
- Marty
- partita
- Media
- membro
- metodico
- metodi
- forza
- Mobile
- dispositivi mobili
- modificare
- monitoraggio
- Scopri di più
- maggior parte
- molti
- devono obbligatoriamente:
- necessariamente
- Bisogno
- esigenze
- Rete
- reti
- New
- Note
- of
- MENO
- di frequente
- on
- esclusivamente
- apertamente
- operativa
- Operazioni
- or
- organizzazione
- organizzazioni
- originariamente
- Altro
- nostro
- su
- ancora
- proprio
- partner
- modelli
- Persone
- Eseguire
- Fisico
- Fisicamente
- piano
- Platone
- Platone Data Intelligence
- PlatoneDati
- punto
- possibile
- potenziale
- presenti
- conservazione
- Dare priorità
- Privacy
- processi
- Prodotto
- Profilo
- proprio
- protegge
- protocolli
- fornisce
- pubblicato
- Mettendo
- rapidamente
- ransomware
- piuttosto
- RE
- raccomanda
- pertinente
- rimosso
- ripetibile
- deposito
- richiedere
- richiede
- Risorse
- risposta
- Rischio
- s
- vendita
- dice
- problemi di
- venda
- delicata
- Server
- dovrebbero
- firme
- site
- abilità
- Società
- Software
- alcuni
- Suono
- Fonte
- fonti
- la nostra speciale
- specializzata
- specializzata
- inizia a
- Di partenza
- Ancora
- conservazione
- memorizzati
- tale
- sospettoso
- SISTEMI DI TRATTAMENTO
- Fai
- mirata
- task
- team
- le squadre
- Tecnologia
- dire
- di
- che
- Il
- loro
- poi
- Là.
- Strumenti Bowman per analizzare le seguenti finiture:
- di
- cose
- questo
- quelli
- migliaia
- minaccia
- minacce
- Attraverso
- tempo
- a
- strumenti
- tradizionale
- trattamento
- Turned
- Svolta
- capire
- e una comprensione reciproca
- up-to-date
- uso
- utilizzato
- Ve
- venditore
- molto
- virtuale
- visibilità
- vulnerabilità
- Prima
- Water
- we
- sito web
- WELL
- ben definita
- Che
- quando
- quale
- while
- OMS
- volere
- con
- senza
- Ha vinto
- Lavora
- sarebbe
- Wrong
- Tu
- giovane
- Trasferimento da aeroporto a Sharm
- zefiro
