U heeft net vernomen dat uw bedrijfsnetwerk of cloudomgeving is geschonden. Weet u hoe u kunt identificeren welke gegevens zijn aangetast en waar deze zijn opgeslagen?
Het starten van een inbreukonderzoek vereist over het algemeen dat u een beginpunt heeft, maar dat beginpunt kennen is niet altijd mogelijk. Soms weet u niet welke gegevens of fysieke activa zijn aangetast - alleen dat de FBI u zojuist heeft gebeld om u te vertellen dat uw bedrijfsgegevens te koop zijn gevonden op het Dark Web, zegt Tyler Young, CISO bij BigID, een beveiligingsbedrijf dat gespecialiseerd is in privacy. , naleving en bestuur.
De brondatabase, applicatie, server of opslagrepository moet worden bepaald om ervoor te zorgen dat het forensisch team elke potentiรซle dreiging die nog steeds in uw netwerk opdoemt, kan opsporen.
John Benkert, mede-oprichter en CEO van gegevensbeveiligingsbedrijf Cigent, beveelt aan dat als u niet precies weet welke gegevens zijn geschonden, u begint met het evalueren van systemen en bronnen die het meest kritiek zijn voor de activiteiten van de organisatie of die de meest gevoelige informatie bevatten. Richt u op systemen die het meest waarschijnlijk het doelwit zijn van een inbreuk, zoals systemen met bekende kwetsbaarheden of zwakke beveiligingscontroles.
"Wanneer beveiligingsteams op zoek zijn naar gecompromitteerde gegevens, richten ze zich vaak op de verkeerde dingen, zoals het zoeken naar bekende handtekeningen of indicatoren van een compromis", zegt Ani Chaudhuri, CEO van Dasera. โDeze aanpak kan effectief zijn voor het detecteren van bekende bedreigingen, maar is minder handig voor het vinden van nieuwe of geavanceerde bedreigingen die niet overeenkomen met bekende patronen. In plaats daarvan moeten beveiligingsteams zich richten op het begrijpen van de gegevens van de organisatie en hoe deze worden geopend, gebruikt en opgeslagen.โ
Houd kennis actueel om de traceerbaarheid te behouden
Young zegt dat een fundamenteel begrip van je bedrijfsmiddelen, inclusief datasystemen, identiteiten en mensen, je zal helpen achteruit te werken als er een inbreuk is. Door geautomatiseerde gegevensontdekking en -classificatie kunnen organisaties beter begrijpen waar hun gevoelige gegevens zich bevinden en wie er toegang toe heeft. Deze informatie kan vervolgens worden gebruikt om beveiligingscontroles, zoals toegangscontroles en codering, te identificeren en te prioriteren om de gegevens te beschermen, merkt hij op.
Door de punten tussen systemen, mensen, beveiligingscontroles en andere identificeerbare bedrijfsmiddelen te verbinden, worden de spreekwoordelijke broodkruimels teruggevoerd door het datalek, van gegevens op het Dark Web tot waar de gegevens zich oorspronkelijk op de bedrijfsservers bevonden of in de wolk.
Het hebben van een up-to-date activabeheerprofiel, inclusief waar gegevens zijn opgeslagen, welke gegevens zich in welke repository bevinden, en een volledige inventarisatie van de netwerktopologie en apparaten, is essentieel.
"CISO's moeten volledig inzicht hebben in de IT-infrastructuur van hun organisatie, inclusief alle virtuele machines, opslagsystemen en endpoints", zegt Young.
Benkert van Cigent identificeert enkele veelvoorkomende fouten die organisaties maken bij het onderzoeken van een inbreuk:
- Niet snel handelen. Tijd is van cruciaal belang bij een inbreukonderzoek en vertragingen bij het verzamelen van forensische gegevens stellen aanvallers in staat hun sporen uit te wissen, bewijsmateriaal te vernietigen of hun aanval te escaleren.
- Gegevens overschrijven of wijzigen. Bedrijven kunnen per ongeluk forensische gegevens overschrijven of wijzigen door getroffen systemen te blijven gebruiken of ongecontroleerde onderzoeken uit te voeren.
- Gebrek aan deskundigheid. Het verzamelen en analyseren van forensische gegevens vereist gespecialiseerde vaardigheden en tools, en bedrijven hebben mogelijk niet de juiste expertise in huis om deze taken effectief uit te voeren.
- Niet alle mogelijke bronnen van bewijs in overweging nemen. Bedrijven kunnen alle potentiรซle bronnen van forensische gegevens over het hoofd zien of niet volledig onderzoeken, zoals cloud-diensten, mobiele apparaten of fysieke media.
- Gegevens niet op een forensisch verantwoorde manier bewaren. Om de integriteit van het bewijsmateriaal te behouden, is het belangrijk om forensisch verantwoorde methoden te gebruiken voor het verzamelen en bewaren van gegevens. Om forensisch verantwoord te zijn, moet het verzamelingsproces verdedigbaar zijn door consistent, herhaalbaar, goed gedocumenteerd en geverifieerd te zijn.
- Geen duidelijk incidentresponsplan hebben. Een goed gedefinieerd plan kan ervoor zorgen dat alle relevante gegevens worden verzameld en dat het onderzoek op een methodische en effectieve manier wordt uitgevoerd.
"Doorlopende monitoring en risicodetectiemogelijkheden helpen organisaties bij het identificeren van afwijkend of verdacht gedrag dat op een datalek zou kunnen duiden", merkt Chaudhuri van Dasera op. Door datatoegangspatronen en veranderingen in data en infrastructuur te monitoren, kunnen organisaties snel potentiรซle bedreigingen detecteren en beveiligingsteams waarschuwen om actie te ondernemen.
OT-overtredingen geven speciale zorgen
Schendingen van operationele technologie (OT)-omgevingen vormen vaak extra uitdagingen voor forensische teams. Met een traditioneel IT-netwerk kunnen servers en andere eindpuntapparaten fysiek worden verwijderd en naar een wetshandhavingslaboratorium worden gebracht om te worden geanalyseerd. Maar dat is niet noodzakelijkerwijs het geval in OT-omgevingen, merkt Marty Edwards op, plaatsvervangend CTO voor OT/IoT bij Tenable, lid van de International Society of Automation (ISA) Global Cybersecurity Alliance (GCA) en voormalig ISA-directeur.
In OT-omgevingen kunnen gecompromitteerde gegevens aanwezig zijn in apparaatcontrollers die zijn ingebed in kritieke infrastructuursystemen, zoals een waterzuiveringsinstallatie of het elektriciteitsnet, die niet kunnen worden losgekoppeld of uitgeschakeld zonder duizenden mensen te treffen.
Zelfs als een gecompromitteerde, bedrijfskritische laptop aan de FBI wordt overgedragen, kan het zijn dat het IT-team moet onderhandelen over het proces van vervanging van de laptop om zijn missiekritieke functie te behouden in plaats van hem alleen maar in een tas met bewijsmateriaal te stoppen. Waar OT- en IT-netwerken komen samen, kunnen gewone cyberaanvallen, zoals ransomware, leiden tot veel complexere forensische onderzoeken vanwege de verschillende beveiligingsniveaus van netwerkapparaten.
Een van de problemen is dat OT-systemen zeer aangepaste en soms bedrijfseigen hardware gebruiken en dat de protocollen niet openlijk worden gepubliceerd of beschikbaar zijn, merkt Edwards op.
"In sommige gevallen moesten we onze eigen tools bouwen, of moesten we samenwerken met de fabrikant of de verkoper om hun fabriekstools binnen te halen die ze aan niemand verkopen, maar die ze gebruiken terwijl ze het product maken, " hij zegt.
Af en toe moeten op maat gemaakte softwaretools op locatie worden gebouwd, omdat de traditionele forensische tools vaak niet werken, zegt Edwards.
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoAiStream. Web3 gegevensintelligentie. Kennis versterkt. Toegang hier.
- De toekomst slaan met Adryenn Ashley. Toegang hier.
- Koop en verkoop aandelen in PRE-IPO-bedrijven met PREIPOยฎ. Toegang hier.
- Bron: https://www.darkreading.com/edge-articles/identifying-compromised-data-can-be-a-logistical-nightmare
- : heeft
- :is
- :niet
- :waar
- 7
- a
- toegang
- geraadpleegde
- acquisitie
- Handelen
- Actie
- Extra
- vergevorderd
- die van invloed
- Alarm
- Alles
- bondgenootschap
- toelaten
- altijd
- an
- het analyseren van
- en
- en infrastructuur
- elke
- Aanvraag
- nadering
- passend
- ZIJN
- AS
- aanwinst
- vermogensbeheer
- Activa
- At
- aanvallen
- geverifieerd
- geautomatiseerde
- Automatisering
- Beschikbaar
- terug
- zak
- BE
- geweest
- wezen
- Betere
- tussen
- overtreding
- inbreuken
- brengen
- bouw
- maar
- by
- Dit betekent dat we onszelf en onze geliefden praktisch vergiftigen.
- CAN
- kan niet
- mogelijkheden
- geval
- gevallen
- ceo
- uitdagingen
- Wijzigingen
- CISO
- classificatie
- duidelijk
- Cloud
- Mede-oprichter
- Het verzamelen van
- Collectie
- Gemeen
- Bedrijven
- afstand
- compleet
- complex
- nakoming
- compromis
- Aangetast
- uitgevoerd
- uitvoeren
- aangezien
- consequent
- bevatten
- voortgezette
- doorlopend
- controles
- Bedrijfs-
- kon
- deksel
- kritisch
- Kritische infrastructuur
- CTO
- Actueel
- Custom-built
- aangepaste
- cyberaanvallen
- Cybersecurity
- Donker
- Dark Web
- gegevens
- toegang tot data
- datalek
- gegevensbeveiliging
- Database
- vertragingen
- plaatsvervanger
- vernietigen
- Opsporing
- vastbesloten
- apparaat
- systemen
- anders
- moeilijkheden
- Director
- losgekoppeld
- ontdekking
- do
- don
- twee
- effectief
- effectief
- Elektrisch
- ingebed
- encryptie
- Endpoint
- handhaving
- verzekeren
- Milieu
- omgevingen
- fouten
- essentie
- essentieel
- evalueren
- bewijzen
- precies
- bestaan
- expertise
- fabriek
- fbi
- het vinden van
- Stevig
- Focus
- Voor
- gerechtelijk
- forensisch onderzoek
- Voormalig
- gevonden
- oppompen van
- geheel
- functie
- fundamenteel
- algemeen
- Globaal
- bestuur
- Raster
- HAD
- Hardware
- Hebben
- met
- he
- hulp
- Hoe
- How To
- HTTPS
- identificeert
- identificeren
- het identificeren van
- identiteiten
- if
- belangrijk
- in
- incident
- incident reactie
- Inclusief
- aangeven
- indicatoren
- informatie
- Infrastructuur
- verkrijgen in plaats daarvan
- integriteit
- Internationale
- in
- inventaris
- onderzoeken
- onderzoek
- onderzoeken
- IS EEN
- IT
- HAAR
- jpg
- voor slechts
- blijven
- Weten
- kennis
- bekend
- laboratorium
- laptop
- Wet
- politie
- leiden
- geleerd
- minder
- niveaus
- Waarschijnlijk
- gelegen
- op zoek
- nevelbeeld
- Machines
- onderhouden
- maken
- management
- manier
- Fabrikant
- productie
- Marty
- Match
- Media
- lid
- methodisch
- methoden
- macht
- Mobile
- mobiele toestellen
- wijzigen
- Grensverkeer
- meer
- meest
- veel
- Dan moet je
- nodig
- Noodzaak
- behoeften
- netwerk
- netwerken
- New
- Opmerkingen
- of
- korting
- vaak
- on
- Slechts
- openlijk
- operationele
- Operations
- or
- organisatie
- organisaties
- oorspronkelijk
- Overige
- onze
- uit
- over
- het te bezitten.
- partner
- patronen
- Mensen
- Uitvoeren
- Fysiek
- fysiek
- plan
- Plato
- Plato gegevensintelligentie
- PlatoData
- punt
- mogelijk
- potentieel
- presenteren
- behoud
- prioriteren
- privacy
- Product
- Profiel
- gepatenteerd
- beschermen
- protocollen
- biedt
- gepubliceerde
- Putting
- snel
- ransomware
- liever
- RE
- beveelt
- relevante
- verwijderd
- herhaalbare
- bewaarplaats
- vereisen
- vereist
- Resources
- antwoord
- Risico
- s
- sale
- zegt
- veiligheid
- verkopen
- gevoelig
- Servers
- moet
- handtekeningen
- website
- vaardigheden
- Maatschappij
- Software
- sommige
- Geluid
- bron
- bronnen
- special
- gespecialiseerde
- specialiseert
- begin
- Start
- Still
- mediaopslag
- opgeslagen
- dergelijk
- verdacht
- Systems
- Nemen
- doelgerichte
- taken
- team
- teams
- Technologie
- vertellen
- neem contact
- dat
- De
- hun
- harte
- Er.
- Deze
- ze
- spullen
- dit
- die
- duizenden kosten
- bedreiging
- bedreigingen
- Door
- niet de tijd of
- naar
- tools
- traditioneel
- behandeling
- Gedraaid
- Draai
- begrijpen
- begrip
- up-to-date
- .
- gebruikt
- Ve
- verkoper
- zeer
- Virtueel
- zichtbaarheid
- kwetsbaarheden
- was
- Water
- we
- web
- GOED
- goed gedefinieerd
- Wat
- wanneer
- welke
- en
- WIE
- wil
- Met
- zonder
- Won
- Mijn werk
- zou
- Verkeerd
- You
- jong
- Your
- zephyrnet
