CISO 数据泄露幸存指南

在数据泄露中幸存下来 安全领导者提供现实世界加强违约预防的建议 和响应 与高管会面/违规概述 违约前的基本原则 发现违约 突破发现后的第一步 准备诉讼 寻找缺失的数据 长期违约后投资 ROI的问题 经验教训 没有公司愿意 通过这个但我们看到攻击仍在继续 而且-每个人的意识到这不是 如果，只是 When-andany 组织可能是 如果2020年教会了我们什么，那就是准备的重要性。常见的 不要说，“这不是你的公司是否会被攻破的问题，而是什么时候”甚至今天更真实。 大规模数据泄露在2020年飙升超过270%，造成的损失公司数十亿美元作为犯罪分子利用了大规模的增长 在业务进行在线。数据泄露的平均成本现在是 惊人的386万美元，医疗保健违规成本创历史新高713万美元。 因此，为了帮助您的公司在数据泄露中幸存下来，SpyCloud最近坐下来 有针对性的 。 -罗伊·梅林格, 前国歌CISO 拥有三位经验丰富的CxO-两位来自医疗保健行业，一位来自热情好客-谁成功地度过了最坏的情况：违反 暴露的客户数据。 通过这种坦率的探索，每位高管都提供了他们从中学到的教训与所有行业的安全领导者相关的每一步，包括： 每个公司都有哪些基本的安全工具和程序应该已经到位了 如何检测到漏洞 他们如何与公司领导层、董事会沟通董事、媒体、监管机构和客户 他们如何引导诉讼 他们进行了哪些类型的长期安全投资 违约后，以及他们如何将这些变化卖给领导层 C-suite罕见地窥视了现实世界数据泄露的整个生命周期 可以帮助您更好地准备自己的预防和应对计划。首先，让我们与三位高管会面，他们分享了他们的时间和经验教训。 会见高管/违反概述 罗伊·梅林格担任TheShieldGroup的管理合伙人，领导其网络安全咨询实践，专注于帮助组织改善其网络安全， 违反缓解和事件响应计划。他有超过三十年的成功 开发和建设行业领先的信息安全、数据保护和技术风险来自通用电气、SallieMae和Sabre等公司的管理计划。 2015年，罗伊担任Anthem的首席信息安全官，最大的健康美国的保险公司，当一个中国黑客组织窃取了 7880万客户和员工，包括姓名，出生日期，地址，电话 数字，电子邮件地址，收入数据和社会安全号码。到尘埃落定时 2017年，Anthem支付了1.15亿美元来解决一起集体诉讼-当时，最大的数据泄露解决历史上最多的健康记录被盗。然而，它的反应可以是 作为一个值得效仿的人，计划到位，允许公司，正如罗伊所说，“行船朝同一方向通过；不仅要解决违规行为，而且要处理 公众舆论，政治方面和即将到来的诉讼。” 哈里·D·福克斯目前是OakAdvisor集团的负责人，是一家专注于fiRM的战略咨询公司关于信息技术和医疗保健的交叉。从2011年到2018年，他服务 担任执行副总裁、首席信息官和共享服务执行官 CareFirst，一家价值90亿美元的非专业医疗保健公司，提供健康保险产品为马里兰州300多万个人和团体提供行政服务， 华盛顿特区和弗吉尼亚州。哈里还在KaiserPermanente担任过高级职位，考文垂医疗保健(现为Aetna)和普华永道，并在多个私营部门的董事会任职-支持的公司和非专业公司。 在担任CareFirst的CIO期间，Harry处理了2014年的违规行为，该违规行为影响了110万客户，源于与攻击者具有相同数字签名的网络钓鱼事件 谁妥协了Anthem。CareFirst相对幸运，因为被盗的数据不包括社会保障号码，信用卡数据或医疗信息，但它仍然暴露了名字，地址、出生日期和会员ID。 达米安·泰勒是计算机科学和信息安全专家，美国海军退休人员，目前担任美国邮政服务公司的高级IT专家 监察长。在他20多年的职业生涯中，达米安曾担任过多个IT安全职位在国防部内，重点关注国家安全、信息隐私、计算机 网络防御、渗透测试、合规、网络安全政策和战略制定。 当达米安成为兰德里的CISO时，他的60个品牌包括餐馆、酒店和 赌场，在线游戏和休斯顿火箭队，该公司了解到一起暴露的违规行为在350个地点的46个品牌中使用的信用卡数据。 我们为现场网络研讨会录制了对哈里和达米安的采访，你可以在这里观看点播；我们分别与Roy坐下来。所有三个采访都有为清晰和长度进行了编辑。 违约前基础知识 三位高管都同意，如果你的公司还没有被攻破-你的首要任务是专注于安全基础，它大致沿着三条轨道分解:你的人为风险， 您的基础设施风险，以及您的第三方风险。Roy指出，许多攻击都是机会主义的因此，关键是要检查基本的阻止和解决机制是否到位。 罗伊:我把它比作人身安全。有人在街区走来走去检查门把手，或穿过停车场检查门把手。如果您的 家被锁起来了，你的车被锁起来了，你阻止了自己成为 受害者。坏演员会搬到下一所房子或下一辆车。但是，如果你的基本的网络是不安全的，如果你没有做基本的，那么马上 蝙蝠，他们找到了一个简单的目标。 这些基础包括： 您是否有补丁程序管理流程，以及您是否及时打补丁举止? 您是否定期进行漏洞扫描，而不仅仅是每年一次或每6个月一次？您是在扫描DMZ还是也在扫描面向客户的 应用程序? 您是否正在对应用程序进行代码扫描？ 您是否在不断扫描内部服务器、数据库和端点？每季度一次还是一个月一次？ 您是否有可以保证的服务器加固方法或程序 每个服务器都有正确的安全工具，打补丁，等等？有人吗审计这? 管理员使用安全密码吗？其他员工呢？客户？是你遵循NIST指南吗？ NIST或国家标准与技术研究所提供网络安全指南有兴趣与联邦政府做生意的公司必须遵守， 和许多私人公司自愿遵循。但正如达米安指出的，它可以对于预算较小的公司来说，这是不可能的。 达米安:当我是国防部的CISO时，我们使用了NIST框架。 这是我进入兰德里的想法，使用NIST。但这不是强制性的，而且可以采取相对较大的员工和持续的努力。所以我选择了一个名为CIS-互联网安全中心。他们列出了前20名安全控制， 分解成层。在顶层first之后，然后是第二和第三。如果你的组织有一个不成熟的安全态势，这就是我要开始的地方。 涵盖基础知识 变得更难，因为你组织成长； 服务器越多，更多基础设施你拥有的越多 dišcult它可以是。 -罗伊·梅林格 对于NIST指南的高优先级组件，例如密码安全,你也可以看看安全供应商，可以方便地对齐，而不需要增加人员。 虽然通过专注于安全基础可以减轻许多潜在的人为错误， 员工通常仍然是最薄弱的环节。令人惊讶的是，事实证明，年度安全仅靠培训是不够的。 哈利：CareFirst的每位员工都必须接受安全教育，并且 网络钓鱼电子邮件培训是其中的一部分，但不幸的是，这是一年一次exercise.Wethoughtweweremakingtherightinvestments,butwelearnedinthe过程，他们是不够的。 罗伊:我认为你可以通过专注于基础知识来减轻很多人为错误，但是人为错误继续导致问题。例如，Misconfigurations。那里 已经有很多不幸的漏洞，其中一个系统可能是安全的，但是他们进行了软件升级，忘了重新打开安全控制。而且 突然，攻击者退出了URL一点点，他们有管理员访问权限一个应用程序。 虽然某些行业，如银行和医疗保健，需要有第三方风险评估到位，每家公司都应该有一个目录服务计划 直接或间接获取信息的提供者。这应包括审计的权利。 哈利：我们可能与大约150家公司，各种合作伙伴共享数据。你永远不知道违规将在哪里发生。你不能只指出finger， 你必须能够同时沟通和承担责任， 因为这是你的供应商，你选择的供应商。但与此同时，你必须把因为你不想被起诉. 达米安:当我们与供应商谈判初始合同或后续续订时，如果他们提供安全服务，我试图确保一些风险可以作为CISO，你有供应商进来推销，他们都声称 好吧，如果你是最好的，你至少需要对这笔钱负责 We’respendingwithyou.Now,thatdoesn’talwayswork;sometimesit’sdiculttoget 过去的法律。但另一种方法是确保供应商清楚地告诉你他们保护你分享的任何数据. 罗伊:在Anthem和其他地方，我已经与供应商实施了安全附录通过法律部门，概述预防措施:我们有权 审计你，如果有违规行为，你必须合作。我认为这是表格的赌注确保与您做生意的任何人都有健全的安全计划。 同样关键的是根据某种类型的风险公式评估您的第三方，以及经常访问。 发现违反 在Anthem和CareFirst的案例中，黑客从spearfishing开始，这是一种复杂的，有针对性的攻击将恶意软件部署到公司的系统中。 CareFirst发现大约70名特权提升的员工被网络钓鱼攻击 电子邮件，哈里的团队检测到并关闭了它-但不是在一个员工之前，一个系统管理员，单击通过。 在兰德里的违约案件中，虽然法医调查从未能够确定 原因，达米安认为这很可能是一封网络钓鱼电子邮件。而恶意的国家行为者是医疗保健公司违规行为的幕后黑手，兰德里案件中的罪犯很可能是 受fi财务利益和公司处理的数百万信用卡号的激励每一天。 达米安:在我担任兰德里的CISO职位大约两个月后，我们开始收到客户关于信用卡欺诈的投诉，我们有一些 我们销售点环境中奇怪的网络问题。我们雇佣了第三方；他们做了一个法医调查，并能够整理事件的摘要和时间表。 我们知道员工点击 通过-实时 -我们认为我们已经关闭 发生了什么，但是软件是这样的 快速下载并遍历 与她的网络凭据， 我们错过了. ——哈里·福克斯 对于CareFirst和Anthem，数据展示是简短的，但攻击者一直在里面很长一段时间，监控系统。这个休眠期似乎是一个共性 在许多违规行为中。 罗伊:罪犯实际上是通过许多途径进入室内的，并留下了许多他们处于休眠状态，然后当我们开始关闭攻击媒介时，他们尝试重新打开一些旧的休眠“门户”或“窗口”(我们是 成功发现）。很明显，他们一直在做作业。 第一步违反发现之后 对于这三家公司来说，召集团队来处理 breachwascritical.Thatmeantgatheringinternalexpertstofocusonthetechnicalissues- 清理系统，激活灾难恢复计划，将某些网址列入黑名单，加速网络细分，审查所有政策和程序-以及 业务方团队致力于法律、政策和沟通问题。 能够反应迅速, 有一个准备计划，知道 你的什么 通信 工具正在前进是-那是 非常关键。 -罗伊·梅林格 罗伊:Anthem的关键部分（以及我向其他公司推荐的内容）是有一个正式的违规响应程序。光有数据是不够的 恢复或灾难恢复计划。如果 你在一个高度监管的行业，如银行或医疗保健。 达米安:Landry's是一家大型PCI商店，因此我们对此有报告要求。我们还聘请了专门研究IT安全和漏洞的第三方法律团队。 他们与我们的法律团队合作，帮助我们应对这些要求。我们也加强了我们的呼叫中心，以接受越来越多的呼叫者，我们有一个计划帮助个人客户。 虽然技术和业务团队并行工作，但他们也必须共同努力帮助将技术问题转化为每组利益相关者的消息传递，包括客户、媒体和监管机构。 哈利：了解实际发生的事情是复杂和技术性的，而且 当时并不清楚，所以我们不断地吸收我们正在学习的东西。我们 努力把这个故事翻译成简单的英语，并确保我们的首席执行官理解它他处理了所有的媒体，还有我和首席法律顾问 坐在房间里，以增加颜色，如果有必要。 罗伊:如果你不控制通信，有人会为你控制它。 这三家公司在建造飞机的同时，都必须基本上对飞机进行调查-fi计算出如何向适当的人传达他们所知道的信息，即使他们还不知道所有的事实 audiences.Theyalsofounditwascriticaltofactorsindigitalcommunicationspaceslikesocialmedia