Lista de verificação de segurança de rede após uma violação de dados

Não importa quanto esforço você coloque em seu plano de segurança de rede, algo tão simples quanto uma atualização do sistema pode introduzir uma vulnerabilidade que os hackers podem explorar. Você faz o seu melhor, mas uma violação ainda pode acontecer. Caso isso ocorra, esteja preparado com uma lista de verificação de segurança de rede e um plano de resposta a violações.

A natureza da violação e seu negócio devem ditar o escopo e o conteúdo do seu plano de resposta. Embora cada violação de dados possa ser única, algumas outras têm uma semelhança básica, portanto, leve esse contexto histórico em consideração antes de criar seu plano.

Após uma violação, sua lista de verificação de segurança de rede deve incluir uma variedade de objetivos que podem envolver várias organizações internas e externas. Você pode considerar ter um "plano de planos", onde cada plano de nível inferior se concentra em um aspecto diferente da violação. Ao adotar uma abordagem granular, você poderá responder mais rapidamente. Vamos examinar algumas das diferentes respostas que você pode ter.

Resposta tática. Primeiro, você precisa descobrir como impedir que a violação cause mais danos. Se a violação for focada, como uma senha de administrador comprometida, a alteração de senhas poderá interromper o problema. Considere, no entanto, o que fazer se a violação for mais generalizada ou, na pior das hipóteses, se você souber que o sistema está comprometido, mas não como ou onde. Você pode ter que colocar alguns ou todos os seus sistemas offline até poder determinar a origem da violação?

Antes de ocorrer uma violação, discuta as possíveis violações e seus níveis de resposta apropriados. Sua equipe de segurança de rede deve identificar as ações que podem ser executadas imediatamente que não exigem aprovação prévia. Por exemplo, os administradores de segurança devem poder desligar imediatamente todas as redes de convidados em seu escritório. Essas redes geralmente são uma cortesia e não uma necessidade comercial, e é possível que a violação tenha emanado —ou esteja ativamente em andamento— de um dispositivo convidado não gerenciado.

Você pode querer desabilitar temporariamente recursos importantes, mas não essenciais, para tentar isolar a violação ou, no mínimo, reduzir o número de aplicativos ou dispositivos internos que o hacker pode atingir. Essa abordagem varia significativamente entre as empresas, mas você deseja ter essa análise e esse plano em vigor muito antes de uma violação.

Resposta forense. A violação, por definição, é um crime. E, por razões de segurança e aplicação da lei, você precisa preservar as evidências. Assim, você deve ter um plano forense como parte de sua lista de verificação de segurança de rede.

Considere pelo menos dois cenários: Primeiro, a violação ainda está em andamento; segundo, a violação foi interrompida. No primeiro, você quer garantir que está gerando evidências; no último, você deseja garantir que as evidências sejam preservadas.

O registro de auditoria está disponível em quase todos os sistemas de TI. Normalmente, a configuração padrão rastreará eventos importantes. Mas, para evitar que o software de registro gere grandes quantidades de dados, ele não registrará todos os eventos detalhados. No entanto, para uma violação em andamento, você pode querer informações mais detalhadas.

Em seu plano pós-violação, você deve documentar quais sistemas têm opções de registro detalhadas e como habilitá-las em tempo real. Procurar um tutorial sobre log de auditoria não é algo que você deseja fazer quando ocorre uma violação.

Se a violação foi interrompida, você precisa obter os logs que você e os investigadores precisariam analisar após o fato. Alguns logs do sistema têm limitações de tamanho e, quando cheios, apenas gravam sobre os dados existentes. Como uma gravação de voo em uma aeronave, esses logs estão interessados ​​apenas na atividade mais recente.

Com demasiada frequência, as violações não são descobertas imediatamente. Nesses casos, um log que reescreve muito rapidamente pode obliterar dados importantes. Verifique os principais logs do sistema para determinar por quanto tempo eles manterão um registro histórico. Alguns sistemas manterão um histórico permanente gerando arquivos de arquivo periodicamente.

O armazenamento é barato, portanto, você pode considerar alterar as configurações em todos os logs envolventes para obter um período mais longo para revisar o comportamento da rede.

Notificação legal e governamental. Uma violação pode ter implicações legais e de conformidade significativas. Assim, sua lista de verificação de segurança de rede deve incluir disposições detalhando como as autoridades apropriadas são notificadas. Na maioria das empresas, isso envolveria o departamento jurídico, que notificaria e interagiria com as agências de cumprimento da lei e do governo.

Ajuda a ser proativo. Se, digamos, você tiver dados que se enquadram na HIPAA, certifique-se de coordenar seu plano de resposta com o departamento jurídico para entender as etapas específicas necessárias para atender às demandas feitas pelas agências de fiscalização relevantes.

Esteja ciente também de que, mesmo que sua empresa esteja sediada nos EUA, você pode ter obrigações do GDPR da União Europeia a cumprir se lidar com dados da zona do euro.

Olhe para fora para obter ajuda de resposta a violações. Opiniões e recomendações são abundantes sobre como responder a violações –com uma grande quantidade de informações disponíveis publicamente. Aproveite esses recursos ao compilar sua lista de verificação de segurança de rede. Travellers Insurance, Experian e muitos outros têm informações em seus sites que fornecem seus insights. Use todos esses recursos, tirando pedaços de cada um que se apliquem aos seus ambientes e necessidades.

Por fim, verifique se sua empresa faz parte do número crescente de empresas com uma apólice de seguro cibernético. Embora essas políticas possam ajudar sua empresa a se recuperar de qualquer perda financeira, elas também podem afetar sua estratégia de resposta a violações –e nem sempre positivamente. Isso porque uma empresa de seguro cibernético pode ditar como você responde a violações e exigir uma interação significativa em tempo real com sua equipe à medida que os eventos se desenrolam.