Выявление скомпрометированных данных может стать логистическим кошмаром

Вы только что узнали, что ваша корпоративная сеть или облачная среда были взломаны. Знаете ли вы, как определить, какие данные были скомпрометированы и где они были сохранены?

Для запуска расследования взлома обычно требуется, чтобы у вас была какая-то отправная точка, но знать эту отправную точку не всегда возможно. Иногда вы не будете знать, какие данные или физический актив были скомпрометированы — только то, что ФБР только что звонило вам, чтобы сообщить, что ваши корпоративные данные были найдены в Даркнете для продажи, — говорит Тайлер Янг, директор по информационной безопасности BigID, охранной фирмы, специализирующейся на конфиденциальности. , соответствие и управление.

Исходная база данных, приложение, сервер или репозиторий хранилища должны быть определены, чтобы команда криминалистов могла обнаружить любую потенциальную угрозу, которая все еще маячит в вашей сети.

Джон Бенкерт, соучредитель и генеральный директор компании по обеспечению безопасности данных Cigent, рекомендует, если вы точно не знаете, какие данные были взломаны, вы должны начать оценивать системы и ресурсы, которые наиболее важны для операций организации или содержат наиболее конфиденциальную информацию. Сосредоточьтесь на системах, которые с наибольшей вероятностью подверглись взлому, например, на системах с известными уязвимостями или слабыми средствами контроля безопасности.

«Когда команды безопасности ищут скомпрометированные данные, они часто сосредотачиваются на неправильных вещах, таких как поиск известных сигнатур или индикаторов компрометации», — говорит Ани Чаудхури, генеральный директор Dasera. «Этот подход может быть эффективен для обнаружения известных угроз, но он менее полезен для поиска новых или сложных угроз, которые не соответствуют известным шаблонам. Вместо этого группы безопасности должны сосредоточиться на понимании данных организации, а также на том, как к ним осуществляется доступ, как они используются и хранятся».

Поддерживайте актуальность знаний, чтобы обеспечить отслеживаемость

Янг говорит, что фундаментальное понимание ваших активов, включая системы данных, личности и людей, поможет вам работать в обратном направлении, если произойдет нарушение. Благодаря автоматическому обнаружению и классификации данных организации могут лучше понять, где находятся их конфиденциальные данные и кто имеет к ним доступ. Затем эту информацию можно использовать для идентификации и определения приоритетов элементов управления безопасностью, таких как контроль доступа и шифрование, для защиты данных, отмечает он.

Соединение точек между системами, людьми, элементами управления безопасностью и другими идентифицируемыми активами обеспечивает пресловутые хлебные крошки обратно через утечку данных, от данных в Даркнете до того, где данные изначально находились на корпоративных серверах или в облаке.

Крайне важно иметь актуальный профиль управления активами, в том числе информацию о том, где хранятся данные, какие данные находятся в каком репозитории, а также полный перечень топологии сети и устройств.

«CISO должны иметь полную информацию об ИТ-инфраструктуре своей организации, включая все виртуальные машины, системы хранения и конечные точки, — говорит Янг.

Бенкерт из Cigent выделяет некоторые распространенные ошибки, которые допускают организации при расследовании нарушений:

• Неспособность действовать быстро. Время имеет решающее значение в расследовании взлома, а задержки в сборе криминалистических данных позволяют злоумышленникам замести следы, уничтожить улики или усилить атаку.
• Перезапись или изменение данных. Компании могут непреднамеренно перезаписать или изменить криминалистические данные, продолжая использовать уязвимые системы или проводя неконтролируемые расследования.
• Отсутствие экспертизы. Для сбора и анализа криминалистических данных требуются специальные навыки и инструменты, и у компаний может не быть соответствующего внутреннего опыта для эффективного выполнения этих задач.
• Не рассматривая все потенциальные источники доказательств. Компании могут упускать из виду или не полностью исследовать все потенциальные источники криминалистических данных, такие как облачные сервисы, мобильные устройства или физические носители.
• Не сохранение данных криминалистически обоснованным образом. Чтобы сохранить целостность доказательств, важно использовать криминалистически обоснованные методы сбора и сохранения данных. Чтобы быть обоснованным с точки зрения судебной экспертизы, процесс сбора должен быть оправданным, будучи последовательным, воспроизводимым, хорошо задокументированным и аутентифицированным.
• Отсутствие четкого плана реагирования на инциденты. Четко определенный план может помочь обеспечить сбор всех необходимых данных и методичное и эффективное проведение расследования.

«Возможности непрерывного мониторинга и обнаружения рисков помогают организациям выявлять аномальное или подозрительное поведение, которое может указывать на утечку данных», — отмечает Чаудхури из Dasera. Отслеживая шаблоны доступа к данным и изменения в данных и инфраструктуре, организации могут быстро обнаруживать потенциальные угрозы и предупреждать службы безопасности о необходимости принятия мер.

Нарушения OT вызывают особую озабоченность

Нарушения среды операционных технологий (OT) часто создают дополнительные проблемы для криминалистических групп. В традиционной ИТ-сети серверы и другие конечные устройства могут быть физически удалены и доставлены в лабораторию правоохранительных органов для анализа. Но это не всегда так в средах OT, отмечает Марти Эдвардс, заместитель технического директора по OT/IoT в Tenable, член Глобального альянса кибербезопасности (GCA) Международного общества автоматизации (ISA) и бывший директор ISA.

В средах OT скомпрометированные данные могут находиться в контроллерах устройств, встроенных в критически важные системы инфраструктуры, такие как водоочистные сооружения или электросеть, которые нельзя отключить или отключить без ущерба для тысяч людей.

Даже передача скомпрометированного критически важного ноутбука ФБР может потребовать от ИТ-команды согласования процесса замены ноутбука, чтобы сохранить его критически важные функции, а не просто положить его в мешок для улик. Где Сети ОТ и ИТ объединяются, обычные кибератаки, такие как программы-вымогатели, могут привести к гораздо более сложным судебным расследованиям из-за разных уровней безопасности сетевых устройств.

Одна из трудностей заключается в том, что в системах OT используется специально настроенное, а иногда и проприетарное оборудование, а протоколы не публикуются открыто и не доступны, отмечает Эдвардс.

«В некоторых случаях нам приходилось создавать наши собственные инструменты или нам приходилось сотрудничать с производителем или поставщиком, чтобы принести их заводские инструменты, которые они никому не продают, но используют при производстве продукта. " он говорит.

По словам Эдвардса, время от времени может потребоваться создание специализированных программных инструментов на месте, поскольку традиционные инструменты судебной экспертизы часто не работают.

• SEO-контент и PR-распределение. Получите усиление сегодня.
• ПлатонАйСтрим. Анализ данных Web3. Расширение знаний. Доступ здесь.
• Чеканка будущего с Эдриенн Эшли. Доступ здесь.
• Покупайте и продавайте акции компаний PREIPO® с помощью PREIPO®. Доступ здесь.
• Источник: https://www.darkreading.com/edge-articles/identifying-compromised-data-can-be-a-logistical-nightmare