一些数据泄露总是出现在头条新闻中,并引起人们的注意。密苏里州州长迈克·帕森(MikeParson)召开新闻发布会,讨论一家报纸报道中小学网站存在安全漏洞,引发社交媒体强烈反对。因为他将曝光归咎于一名发现公众可以访问敏感数据的报纸记者,而不是一个存在安全漏洞的网站。这起事件让安全专家想起了几年前从几位微软安全通信人员那里吸取的经验和教训。微软安全事件经常出现在新闻中,包含各种细节,但其安全通信团队通常对此保持沉默。专家们最初认为他们不了解他们面临的安全问题,但后来发现他们正在等待后续解决方案,或者仍在调查一些事实。最先知道安全事件的消息通常意味着事情出了问题,或者更糟的是,受害者没有充分了解情况并提供通常无法轻易纠正的错误信息。在这个全天候24/7的新闻世界中,过早披露企业面临的安全问题会带来不必要的审查。因此,公司在发布数据泄露通知时应该采取中间立场,既不能过早发布,也不能过晚发布。对于企业来说,制定一个如何应对数据泄露的计划是明智的,下面是如何做到这一点:1.了解网络保险公司的泄露流程企业需要在数据泄露发生之前联系他们的网络保险公司,以了解报道公司希望在发生事故时遵循的流程。当怀疑存在违规行为时,他们应该是企业联系的第一批人之一。他们可能需要聘请调查人员以更好地了解违规行为的性质。保险公司也有自己的通信专家,他们将协助通信过程或在发生数据泄露时担任业务发言人。2.制定沟通计划。企业在确定发生违规时需要进行沟通。可以起草需要展示的沟通模板。确保在数据泄露后与您企业客户的沟通清晰具体。企业遵循网络保险提供商和律师关于面向客户网站上的通信和公共关系通知的指导。一旦发生违规行为,就需要监控情况变化时可能需要的后续通信。3.了解相关的违规通知指南和规定如果您是政府部门,则需要遵循美国国家标准技术研究院(NIST)的违规披露和通知指南。私营公司也需要建立类似的流程。受到勒索软件的攻击,美国立法者正在采取行动以确保更好的沟通和调查。最近出台的美国参议院第2666号法案要求员工超过50人的企业报告勒索软件付款的时间有严格的24小时限制,例如,在发现勒索软件危害、可能危害或严重损害联邦关键职能的性能之后机构或相关实体在操作后24小时内,发现勒索软件操作的联邦机构或相关实体应提交勒索软件通知。4.制定漏洞披露计划企业应该提前审查的另一个过程是漏洞披露计划。随着越来越多的企业信息被放置在网络上,通常没有更多的资源可用于全面审查和识别可能无意中部署的所有安全漏洞。大公司通常有漏洞赏金计划,支付漏洞研究人员发现问题的费用,但大多数公司没有。一些公司依赖第三方漏洞赏金计划,例如在安全研究人员和企业之间进行协调的零日计划。所有拥有面向客户的网站或财产的企业都有并且应该有一个允许公开披露漏洞的流程。security@电子邮件别名通常用于报告安全问题,因此请确保有一个既定的披露流程。5.考虑渗透测试服务公司通常都有自己的门户,如果数据泄露对公司影响较大,可以考虑请安全团队或聘请第三方公司对运行环境进行渗透测试。像BlackHillsInformationSecurity这样的安全供应商长期以来一直使用渗透测试团队或安全红队来加强他们的安全防御。PurpleTeaming结合了攻击和防御方法,以获取有关网络漏洞以及如何解决这些漏洞的更多知识。最重要的是,组织需要审查其处理安全问题和违规行为的流程,以确保采用适当的流程来处理违规行为。企业需要知道的是,他们面临的不是是否会发生数据泄露,而是何时发生。
