在数据泄露中幸存下来 安全领导人为加强违约预防和应对提供现实世界的建议 执行官会面/事件概述事前漏洞基础发现事件发生后的初步步骤数据丢失的搜寻准备应对诉讼寻找缺失的数据事件后的长期投资投资回报率的问题所获教训 没有公司愿意经历这个 但是我们看到攻击行为持续存在,并且大家意识到这不是“如果”,而是“何时”——任何组织都可能成为目标。 -RoyMellinger,前国歌 CISO 如果2020年教会了我们什么,那就是准备的重要性。如今,“不是问题是你公司是否会遭受攻击,而是何时遭受攻击”这一说法更加真实。 大规模数据泄露事件在2020年激增超过270%,导致公司损失数十亿美元,因为犯罪分子利用在线业务大幅增加的机会。平均每起数据泄露事件的成本现已高达386万美元,而医疗保健行业的数据泄露成本达到历史最高水平,为713万美元。 为了帮助您的公司在数据泄露事件中生存下来,SpyCloud最近与三位经验丰富的CxO进行了交流——其中两位来自医疗行业,一位来自酒店业,他们成功地应对了最坏情况下的数据泄露事件。 通过这种坦诚的探讨,每位执行官在每个阶段都提供了对来自各个行业的安全领导者具有相关性的教训: 每家公司都应该有哪些基本的安全工具和程序 如何检测到漏洞 他们如何与公司领导层、董事会、媒体、监管机构和客户沟通 他们如何导航诉讼 他们在违规后进行了哪些类型的长期安全投资,以及他们如何将这些变更出售给领导层 这个罕见的机会让我们从C级管理层的视角深入了解真实世界数据泄露的整个生命周期,有助于您更好地准备自身的预防和应对计划。首先,让我们认识三位分享了宝贵时间和经验教训的执行官。 与高管会面/违规概述 罗伊·梅林格担任TheShieldGroup的管理合伙人,领导其网络安全咨询业务,专注于帮助组织提高网络安全、应对数据泄露和事件响应计划。他在GE、SallieMae和Sabre等公司拥有超过三decade的成功经验,致力于开发和构建行业领先的信息安全、数据保护和科技风险管理计划。 在2015年,Roy担任美国最大的健康保险公司安泰(Anthem)的首席信息安全官时,一个中国黑客组织窃取了7880万名客户和员工的敏感数据,包括姓名、出生日期、地址、电话号码、电子邮件地址、收入数据和社会安全号码。到2017年尘埃落定时,安泰支付了1.15亿美元以解决集体诉讼——这是当时历史上最大规模的数据泄露赔偿案,涉及最多的医疗记录被盗。然而,其应对措施可以作为典范,因为该公司已经制定了计划,正如Roy所说,“朝着同一个方向划桨以度过难关;不仅是为了解决这一漏洞,也是为了应对公众舆论法庭、政治影响以及随后即将出现的诉讼。” 哈里·D·福克斯目前是OakAdvisor’sGroup的合伙人,这是一家专注于信息技术与健康care领域交汇的战略顾问公司。从2011年至2018年,他在CareFirst担任执行副总裁、首席信息官和共享服务执行官,CareFirst是一家市值90亿美元的非营利性健康保险公司,为马里兰州、华盛顿特区和弗吉尼亚州超过三百万个人和团体提供健康保险产品和行政服务。Harry还曾在KaiserPermanente、CoventryHealthCare(现为Aetna)和PwC担任高级职位,并担任多家私人股权投资公司和非营利组织董事会成员。 在担任CareFirst的CIO期间,Harry处理了一起影响110万名客户的2014年数据泄露事件 ,该事件源于一起带有与入侵Anthem相同的数字签名的钓鱼攻击。CareFirst相对幸运的是,被盗数据未包括社会保障号码、信用卡信息或医疗记录,但仍暴露了姓名、地址、出生日期和会员ID。 达米安·泰勒是一位计算机科学与信息安全专家,曾是一名美国海军军官,并目前担任美国邮政服务监察长办公室的高级IT专家。在20余年的职业生涯中,Damian曾在国防部的多个IT安全职位上工作,专注于国家安全、信息隐私、计算机网络防御、渗透测试、合规性、网络安全政策和战略开发。 当Damian成为Landry’s的CISO,该公司拥有包括餐馆、酒店和赌场、在线赌博以及休斯顿火箭队在内的60个品牌时,公司发现了一起泄露了在46个品牌(共计350个地点)中使用的信用卡数据的安全漏洞事件。 我们为现场网络研讨会录制了对哈里和达米安的采访,您可以按需观看here;我们分别与Roy坐下。所有三个采访都经过了编辑,以确保清晰和篇幅。 违约前的基本原则 所有三位高管一致认为,如果您的公司尚未被入侵——优先级首先✁专注于安全基础要素,这些基础要素大致可分为三个方面:人员风险、基础设施风险和第三方风险。罗伊指出,许多攻击都 ✁机会性的,因此确保基本的安全机制到位至关重要。 Roy:我将其比作物理安全。有人在街区里走来走去检查门把手,或者在停车场里巡视检查车门把手。如果你的家锁得好,车子也锁得好,你就阻止了自己成为受害者。不法分子会转向下一户人家或下一辆车。但✁,如果基本的网络安全没有保障 ,如果你没有做好基础工作,那么他们一开始就能轻易找到一个目标。 这些基础包括: 您✁否已制定了补丁管理流程,并且✁否及时进行了补丁? 您✁否定期进行漏洞扫描,而不仅仅✁每年一次或每6个月一次? 您✁在扫描DMZ还✁也在扫描面向客户的应用程序? 您✁否正在对应用程序进行代码扫描? 你✁否定期扫描内部服务器、数据库和端点?不仅仅✁每季度或每月一次?✁否有加固服务器的方法或计划,能够确保每台服务器都具备正确的安全工具并已打补丁等?✁否有专人进行审核?管理员✁否使用安全密码?其他员工呢?客户呢?✁否遵循NIST指南? 国家标准与技术研究院(NIST)提供了网络安全指南,这些指南✁希望与联邦政府开展业务的公司必须遵守的规定,许多私营公司也会自愿遵循。但如Damian指出的那样,对于预算较小的公司来说,做到这一点可能会比较困难。 达米安:当我在国防部担任CISO并穿着制服时,我们使用了NIST框架。这就✁我进入兰德里的想法,也✁想使用NIST的原因。但✁它并非强制执行,并且可能需要较大的团队和持续的努力。因此,我选择了一个名为CIS(互联网安全中心)的组织。他们列出了前20项安全控制措施,并按级别进行分类。首先处理最高级别的控制措施 ,然后✁第二级和第三级。如果您的组织的安全状况尚不成熟,这就✁我建议从何处开始的地方。 随着组织的发展,覆盖基础知识变得越来越困难; 服务器越多,基础设施越多,难度就越大。 对于NIST指南的高优先级组件,例如密码安全,您还可以寻找可以轻松对齐的安全供应商 ,而无需增加人员。 并且尽管通过关注基本的安全措施可以减少大量的人为错误,员工往往仍然✁最薄弱的一环。不出所料,年度安全培训alone并不足以解决问题。 哈利:CareFirst要求所有员工进行安全教育,其中包含钓鱼邮件培训,但遗憾的✁,这仅✁一年一次的练习。我们认为我们在进行正确的投资,但在过程中发现这些投资并不足够。 -罗伊·梅林格 Roy:我认为可以通过专注于基础部分来减少很多人为错误,但人为错误仍然会导致问题。例如,配置错误。曾多次发生系统原本安全,但在进行软件升级时忘记了重新启用安全控制,结果攻击者通过稍微修改URL就获得了应用程序的管理员访问权限。 虽然银行业和医疗保健等行业需要具备第三方风险评估机制,但每家公司都应建立一个程序来记录能够访问信息(直接或间接)的服务提供商,并应包括审计的权利。 哈利:我们可能与大约150家公司共享了数据,各种类型的合作伙伴。你永远不知道漏洞会在哪里发生。你不能仅仅指责一方,必须能够沟通并同时承担责任,因为这些供应商✁你选择的。但同时,你也必须承担法律责任,因为你不想被起诉。 达米安:在与供应商谈判初步合同或续签合同时,如果他们提供安全服务,我会确保将部分风险转移出去。作为CISO,供应商会来推销他们的产品和服务,并且他们都声称自己✁最好的。如果✁最好的话,那么他们就需要对花费在他们身上的资金负责。不过,这并不总✁可行的;有时法律问题会成为障碍。另一种方法✁确保供应商明确告知你他们如何保护你们共享的数据。 Roy:在安盛及其他地方,我通过法律部门实施了一项安全附协议与供应商合作,明确列出了预防措施:我们有权对你们进行审计,若发生数据泄露,你们必须配合 。我认为这✁确保任何商业伙伴都有稳健的安全计划的基本要求。同样重要的✁,要根据某种风险公式评估第三方,并定期审查这些评估结果。 发现违约 在安盛和CareFirst的情况下,黑客采用了钓鱼攻击(spearfishing),这✁一种高级且有针对性的攻击方式,用于将恶意软件部署到公司的系统中。 CareFirst发现约70名拥有高级权限的员工受到钓鱼邮件攻击,Harry的团队检测并关停了这些攻击——但在一名系统管理员点击邮件之前,这一过程未能完全阻止攻击的发生。 在Landry’s的数据泄露事件中,尽管法医调查从未能确定具体原因,Damian仍认为很可能✁phishing邮件导致的。而针对医疗公司的数据泄露事件,其背后的犯罪分子可能✁国家资助的情报机构,但在Landry’s案例中,犯罪分子更可能出于经济利益驱动,考虑到该公司每天处理数百万张信用卡号码。 达米安:大约在我接任Landry’s的CISO职位两个月后,我们开始收到客户关于信用卡欺诈的投诉,并且我们在销售点环境遇到了一些奇怪的网络问题。我们聘请了一家第三方公司进行forensic调查,他们整理了一份事件总结和时间线。 我们知道员工点击 通过-实时 -我们认为我们已经关闭 发生了什么,但✁软件✁这样的 快速下载并遍历 与她的网络凭据, 我们错过了. 对于CareFirst和Anthem而言,数据外泄事件持续时间短暂,但攻击者已在系统内潜伏了较长时间,进行监控。这一潜伏期似乎✁许多安全漏洞共有的特征。 Roy:犯罪分子实际上通过多种途径进入了系统,并留下了許多dormant的通道 ,当我们开始关闭攻击路径时,他们试图重新激活一些旧的、处于dormant状态的“门户”或“窗口”(我们成功发现了这些)。很明显,他们已经做好了充分的准备 。 突破发现后的第一步 对于这三家公司的所有情况,组建团队应对漏洞事件后的紧急情况至关重要。这包括召集内部专家集中处理技术问题——清理系统、激活灾难恢复计划、屏蔽某些网页地址、加快网络分段,并审查所有政策和程序;同时也需要组建业务侧团队专注于法律、政策和沟通等问题。 ——哈里·福克斯 能够快速响应,有一个准备好的计划,并知道你的沟通工具将✁ 什么-这✁非常关键的。 -罗伊·梅林格 Roy:Anthem(及其他公司)认为至关重要的另一部分原因✁建立正式的数据泄露响应计划。仅仅拥有数据恢复或灾难恢复计划✁不够的,特别✁在银行业或医疗保健等高度监管的行业中,你们的应对措施将受到更加严格的审查。 达米安:陆瑞公司的PCI合规规模较大,因此我们对相关报告提出了要求。我们还聘请了一支专门从事IT安全和泄露事件的第三方法律团队。他们与我们的法律团队合作 ,帮助我们应对这些要求。我们还加强了呼叫中心以应对来电量的增加,并制定了帮助个人客户的计划。 while技术团队和业务团队并行工作,他们也需要共同努力,将技术问题转化为针对不同利益相关方(包括客户、媒体和监管机构)的信息消息。 哈利:理解实际发生的情况既复杂又技术性,一开始并不清晰,因此我们不断吸收和消化所学到的内容。我们努力将故事转化为简单的英语,并确保我们的首席执行官能够理解并感到舒适。他负责所有媒体事务,我和首席法律顾问坐在房间里,必要时提供补充说明。 罗伊:如果你不控制通信,有人会为你控制它。 所有三家公司在构建产品的同时必须边飞行边驾驶飞机——他们需要在尚未掌握全部事实的情况下,向合适的受众传达他们所知道的信息。他们还发现,必须将数字通信渠道,如社交媒体 ,纳入考量,而不仅仅✁传统的新闻媒体。在安盛(Anth