Du har precis fått reda på att ditt företagsnätverk eller molnmiljö har brutits. Vet du hur man identifierar vilken data som kompromettats och var den lagrades?
Att inleda en brottsutredning kräver i allmänhet att man har någon form av utgångspunkt, men att veta den utgångspunkten är inte alltid möjlig. Ibland vet du inte vilken data eller fysisk tillgång som kompromettats - bara att FBI precis ringde för att berätta att dina företagsdata hittades på Dark Web för försäljning, säger Tyler Young, CISO på BigID, ett säkerhetsföretag som specialiserat sig på integritet , efterlevnad och styrning.
Källdatabasen, applikationen, servern eller lagringsarkivet måste bestämmas för att säkerställa att det kriminaltekniska teamet kan lösa alla potentiella hot som fortfarande hotar i ditt nätverk.
John Benkert, medgrundare och vd för datasäkerhetsföretaget Cigent, rekommenderar att om du inte vet exakt vilken data som bröts in, börjar du utvärdera system och resurser som är mest kritiska för organisationens verksamhet eller innehåller den mest känsliga informationen. Fokusera på system som med största sannolikhet har utsatts för ett intrång, till exempel de med kända sårbarheter eller svaga säkerhetskontroller.
"När säkerhetsteam letar efter komprometterad data fokuserar de ofta på fel saker, som att leta efter kända signaturer eller indikatorer på kompromiss", säger Ani Chaudhuri, VD för Dasera. "Det här tillvägagångssättet kan vara effektivt för att upptäcka kända hot, men det är mindre användbart för att hitta nya eller avancerade hot som inte matchar kända mönster. Istället bör säkerhetsteam fokusera på att förstå organisationens data och hur den nås, används och lagras.”
Håll kunskapen aktuell för att upprätthålla spårbarhet
Young säger att en grundläggande förståelse för dina tillgångar, inklusive datasystem, identiteter och människor, hjälper dig att arbeta bakåt om det finns ett intrång. Genom automatisk dataupptäckt och klassificering kan organisationer bättre förstå var deras känsliga data finns och vem som har tillgång till den. Denna information kan sedan användas för att identifiera och prioritera säkerhetskontroller, såsom åtkomstkontroller och kryptering, för att skydda datan, noterar han.
Att koppla ihop prickarna mellan system, människor, säkerhetskontroller och andra identifierbara tillgångar ger de ökända brödsmulorna tillbaka genom dataintrånget, från data på Dark Web till där data ursprungligen fanns på företagets servrar eller i molnet.
Det är viktigt att ha en uppdaterad tillgångshanteringsprofil, inklusive var data lagras, vilken data som finns i vilket förråd och en fullständig inventering av nätverkstopologin och enheterna.
"CISO:er måste ha fullständig insyn i sin organisations IT-infrastruktur, inklusive alla virtuella maskiner, lagringssystem och slutpunkter", säger Young.
Cigents Benkert identifierar några vanliga fel som organisationer gör när de utreder ett intrång:
- Att inte agera snabbt. Tid är avgörande i en brottsutredning, och förseningar i insamlingen av kriminaltekniska data gör att angripare kan täcka sina spår, förstöra bevis eller eskalera sin attack.
- Skriva över eller ändra data. Företag kan av misstag skriva över eller modifiera kriminaltekniska data genom att fortsätta använda berörda system eller utföra okontrollerade undersökningar.
- Saknar expertis. Att samla in och analysera kriminaltekniska data kräver specialiserade färdigheter och verktyg, och företag kanske inte har lämplig intern expertis för att utföra dessa uppgifter effektivt.
- Inte beaktar alla potentiella beviskällor. Företag kan förbise eller inte helt undersöka alla potentiella källor till kriminaltekniska data, som t.ex molntjänster, mobila enheter eller fysiska medier.
- Att inte bevara data på ett rättsmedicinskt sunt sätt. För att upprätthålla bevisets integritet är det viktigt att använda rättsmedicinskt sunda metoder för datainsamling och bevarande. För att vara rättsmedicinskt sund måste insamlingsprocessen vara försvarbar genom att vara konsekvent, repeterbar, väldokumenterad och autentiserad.
- Att inte ha en tydlig incidenthanteringsplan. En väldefinierad plan kan hjälpa till att säkerställa att all relevant data samlas in och att utredningen genomförs på ett metodiskt och effektivt sätt.
"Kontinuerlig övervakning och riskdetektering hjälper organisationer att identifiera onormalt eller misstänkt beteende som kan tyda på ett dataintrång", konstaterar Daseras Chaudhuri. Genom att övervaka dataåtkomstmönster och ändringar av data och infrastruktur kan organisationer snabbt upptäcka potentiella hot och varna säkerhetsteam att vidta åtgärder.
OT-överträdelser Presenterar särskilda farhågor
Intrång i miljöer med operativ teknik (OT) innebär ofta ytterligare utmaningar för forensiska team. Med ett traditionellt IT-nätverk kan servrar och andra slutpunktsenheter fysiskt tas bort och föras till ett brottsbekämpande labb för att analyseras. Men det är inte nödvändigtvis fallet i OT-miljöer, konstaterar Marty Edwards, biträdande CTO för OT/IoT på Tenable, medlem av International Society of Automation (ISA) Global Cybersecurity Alliance (GCA), och tidigare ISA-direktör.
I OT-miljöer kan komprometterad data finnas i enhetskontroller inbäddade i kritiska infrastruktursystem, såsom ett vattenreningsverk eller elnätet, som inte kan kopplas bort eller stängas av utan att det påverkar tusentals människor.
Till och med överlämnande av en komprometterad, verksamhetskritisk bärbar dator till FBI kan kräva att IT-teamet förhandlar om processen att ersätta den bärbara datorn för att bevara dess verksamhetskritiska funktion snarare än att bara lägga den i en bevispåse. Var OT- och IT-nätverk konvergerar, kan vanliga cyberattacker, såsom ransomware, leda till mycket mer komplexa kriminaltekniska undersökningar på grund av de olika säkerhetsnivåerna i nätverksenheter.
En av svårigheterna är att OT-system använder mycket anpassad och ibland proprietär hårdvara, och protokollen är inte öppet publicerade eller tillgängliga, noterar Edwards.
"I vissa fall var vi tvungna att bygga våra egna verktyg, eller så var vi tvungna att samarbeta med tillverkaren eller leverantören för att ta in deras fabriksverktyg som de inte säljer till någon, men de använder medan de tillverkar produkten, " han säger.
Ibland kan skräddarsydda mjukvaruverktyg behöva skräddarsys på plats eftersom de traditionella kriminaltekniska verktygen ofta inte skulle fungera, säger Edwards.
- SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
- PlatoAiStream. Web3 Data Intelligence. Kunskap förstärkt. Tillgång här.
- Minting the Future med Adryenn Ashley. Tillgång här.
- Köp och sälj aktier i PRE-IPO-företag med PREIPO®. Tillgång här.
- Källa: https://www.darkreading.com/edge-articles/identifying-compromised-data-can-be-a-logistical-nightmare
- : har
- :är
- :inte
- :var
- 7
- a
- tillgång
- Accessed
- förvärv
- Agera
- Handling
- Annat
- avancerat
- påverkar
- Varna
- Alla
- Alliance
- tillåter
- alltid
- an
- analys
- och
- och infrastruktur
- vilken som helst
- Ansökan
- tillvägagångssätt
- lämpligt
- ÄR
- AS
- tillgång
- Kapitalförvaltning
- Tillgångar
- At
- attackera
- authenticated
- Automatiserad
- Automation
- tillgänglig
- tillbaka
- väska
- BE
- varit
- Där vi får lov att vara utan att konstant prestera,
- Bättre
- mellan
- brott
- överträdelser
- föra
- SLUTRESULTAT
- men
- by
- kallas
- KAN
- kan inte
- kapacitet
- Vid
- fall
- VD
- utmaningar
- Förändringar
- CISO
- klassificering
- klar
- cloud
- Medgrundare
- Samla
- samling
- Gemensam
- Företag
- företag
- fullborda
- komplex
- Efterlevnad
- kompromiss
- Äventyras
- genomfördes
- ledande
- med tanke på
- konsekvent
- innehålla
- fortsätter
- kontinuerlig
- kontroller
- Företag
- kunde
- täcka
- kritisk
- Kritisk infrastruktur
- CTO
- Aktuella
- Specialbyggda
- kundanpassad
- cyberattack
- Cybersäkerhet
- mörkt
- mörk Web
- datum
- datatillgång
- dataintrång
- datasäkerhet
- Databas
- fördröjningar
- biträdande
- förstöra
- Detektering
- bestämd
- anordning
- enheter
- olika
- svårigheter
- Direktör
- bortkopplad
- Upptäckten
- do
- donation
- grund
- Effektiv
- effektivt
- elektriska
- inbäddade
- kryptering
- Slutpunkt
- tillämpning
- säkerställa
- Miljö
- miljöer
- fel
- huvudsak
- väsentlig
- utvärdering
- bevis
- exakt
- existerar
- expertis
- fabrik
- FBI
- finna
- Firm
- Fokus
- För
- Forensic
- kriminalteknik
- Tidigare
- hittade
- från
- fullständigt
- fungera
- grundläggande
- allmänhet
- Välgörenhet
- styrning
- Rutnät
- hade
- hårdvara
- Har
- har
- he
- hjälpa
- Hur ser din drömresa ut
- How To
- HTTPS
- identifierar
- identifiera
- identifiera
- identiteter
- if
- med Esport
- in
- incident
- incidentrespons
- Inklusive
- indikerar
- indikatorer
- informationen
- Infrastruktur
- istället
- integritet
- Internationell
- in
- lager
- undersöka
- Undersökningen
- Undersökningar
- ISA
- IT
- DESS
- jpg
- bara
- Vet
- Menande
- kunskap
- känd
- lab
- laptop
- Lag
- brottsbekämpning
- leda
- lärt
- mindre
- nivåer
- sannolikt
- belägen
- du letar
- hotande
- Maskiner
- bibehålla
- göra
- ledning
- sätt
- Tillverkare
- Produktion
- Marty
- Match
- Media
- medlem
- metodisk
- metoder
- kanske
- Mobil
- Mobil enheter
- modifiera
- övervakning
- mer
- mest
- mycket
- måste
- nödvändigtvis
- Behöver
- behov
- nät
- nätverk
- Nya
- Anmärkningar
- of
- sänkt
- Ofta
- on
- endast
- öppet
- operativa
- Verksamhet
- or
- organisation
- organisationer
- ursprungligen
- Övriga
- vår
- ut
- över
- egen
- partnern
- mönster
- Personer
- Utföra
- fysisk
- Fysiskt
- Planen
- plato
- Platon Data Intelligence
- PlatonData
- Punkt
- möjlig
- potentiell
- presentera
- konservering
- Prioritera
- privatpolicy
- process
- Produkt
- Profil
- proprietary
- skydda
- protokoll
- ger
- publicerade
- sätta
- snabbt
- Ransomware
- snarare
- RE
- rekommenderar
- relevanta
- avlägsnas
- repeterbar
- Repository
- kräver
- Kräver
- Resurser
- respons
- Risk
- s
- Till Salu
- säger
- säkerhet
- sälja
- känslig
- Servrar
- skall
- signaturer
- webbplats
- färdigheter
- Samhället
- Mjukvara
- några
- ljud
- Källa
- Källor
- speciell
- specialiserad
- specialiserat
- starta
- Starta
- Fortfarande
- förvaring
- lagras
- sådana
- misstänksam
- System
- Ta
- riktade
- uppgifter
- grupp
- lag
- Teknologi
- tala
- än
- den där
- Smakämnen
- deras
- sedan
- Där.
- Dessa
- de
- saker
- detta
- de
- tusentals
- hot
- hot
- Genom
- tid
- till
- verktyg
- traditionell
- behandling
- vände
- Vrida
- förstå
- förståelse
- TIDSENLIG
- användning
- Begagnade
- Ve
- leverantör
- mycket
- Virtuell
- synlighet
- sårbarheter
- var
- Vatten
- we
- webb
- VÄL
- väldefinierad
- Vad
- när
- som
- medan
- VEM
- kommer
- med
- utan
- Vann
- Arbete
- skulle
- Fel
- Om er
- ung
- Din
- zephyrnet
