企业发现数据泄露威胁时如何应对

By Jeffrey - 资深IT经理人，IT运营和安全顾问，历任多家知名跨国企业包括麦肯锡大中华区、通用电气公司、壳牌石油、英美烟草等公司IT总经理

 

疫情的爆发使得很多企业采用远程办公或者混合办公模式，在线办公的增多使得网络犯罪也渐渐猖獗。有报告称，与上一年相比，2021 年对企业网络的网络攻击增加了 50%，企业平均每周遭受 925 次攻击。

当然，并非每次攻击都会得逞，即使有人能设法进入企业系统，也并不总是导致数据泄露。但企业需要为这种可能性做好准备。

每个企业都应该有一个数据泄露响应计划，但在构建这个计划时，如果没有专业人士的帮助，可能很难知道从哪里开始

数据泄露的危害很大，并且这种威胁正在不断增加，无论企业规模如何，都应该做好最坏的打算，同时通过良好的防范手段确保这种情况不会发生在你的身上。

但无论防范如何严密，潜在的数据泄露仍然随时可能出现，一旦企业发现或者存疑数据存在泄露，您的企业应该怎么做？

数据泄露响应计划：从哪里开始

首先，任何类型的安全响应都需要有针对性的调查，这意味着要解决五个问题：什么人、发生了什么事、何时发生的、在哪里发生以及为什么会发生？

第一步是确定目标是发生了什么事。哪些数据或内部资源泄露了，以及是如何发生的。是外部人员在起作用，还是非恶意的内部人员被卷入其中？很多时候，尽管防范严密，但人为错误确实会发生。

根据对“五个问题”的分析，可以确定需要什么程度的反应。在这个早期阶段，还应该问自己，是否真的能够在没有外部帮助的情况下完成调查。如果有任何疑问或不清楚怎么开始，请不要犹豫，立即外部专业顾问的帮助，从小企业到大企业都一直在这样做。

在考虑上述五个问题的同时，您还应该尽快进行四个针对数据泄露的行动：保持冷静，确认，遏制和沟通。

数据泄露响应计划：保持冷静

第一步并不总是像听起来那么简单。恐慌无助于遏制已经发生的数据泄露事件，人为的错误总是存在，这是可以理解的。没有什么比企业遭受网络安全事件甚至发生泄露更糟糕的了。专业顾问的秘诀是提前制定的泄露事件响应计划。提前制定的计划将大大减少恢复的影响和时间，同时也可以极大地帮助下一个行动-确认。

数据泄露响应计划：确认和验证

确认和验证是数据泄露检测和响应中最困难的部分。例如，如果企业检测到分布式拒绝服务（DDoS）攻击，需要了解这是否是攻击的全部，或者它仅仅是开始，更险恶的攻击还会随之而来。这通常是攻击者泄露数据的前兆，但只有网络安全专业人员知道在DDos攻击发生时寻找数据泄露的可能性，而不是仅仅应对当下的攻击，这需要具有非常丰富经验的专业人士帮助。

数据泄露响应计划：遏制威胁

在发生数据泄露的情况下，当务之急是止损并限制威胁行为者造成更多伤害的能力。如果你怀疑攻击者仍然存在于你的系统中，建议立即采取措施拒绝他们访问他们可以用来对付你的东西。当然，对于不同的攻击场景和业务运营，具体情况会有所不同，但您可以考虑临时措施，例如：

• 限制公司设备和外部网络之间的访问
• 暂停云和面向外部的服务之间的访问
• 禁用易受攻击和暴露的域和电子邮件帐户
• 隔离受感染的节点设备

遏制还可以包括：禁用或更改用户凭据；阻止特定IP地址；进行备份，存储闪照并冻结当前系统以进行进一步分析以及运行反恶意软件扫描。

所有这些听起来都像是一个大战役，这种行动的步骤是应该提前计划好并演练过的，这样每个人就可以在需要时明白自己的角色并快速采取行动。中小企业可能会有自己的计划，但如果可能的话，通常值得聘请外部专家来帮助您制定事件响应计划，相信专业人士，而不是临时抱佛脚。

数据泄露响应计划：沟通是关键

承认您的公司被黑客入侵可能是艰难的一步。安全漏洞可能会动摇客户和投资者的信心，损害您的声誉，并导致质疑领导团队的能力。

但是，隐瞒事件不是一种好的选择。事实上，如果黑客攻击导致数据被破坏、丢失或被发生未经授权的访问，按照法律法规，企业需要立即向网安机构上报，如果是上市公司，向监管机构以及向大众披露信息也是必要的。

报告网络泄露行为时，需要确认存在风险的数据类型以及可能受影响的个人。企业有责任准确共享此信息。

如果寻求网络事件响应专家的帮助，请确保他们在数据保护方面具有相关的法律专业知识，并且他们有能力代表客户与监管机构沟通。在某些情况下，这可能会影响监管机构的处罚力度，甚至是否处罚的标准。

企业向网安机构报告网络攻击可以协助警方抓捕和起诉网络犯罪团伙，避免更多后续针对你企业的攻击，也防止其他企业成为相同攻击的受害者。

一旦通知了相关当局和监管机构，企业接下来需要与自己的IT供应商商取得联系。IT服务提供商可以通过取证和弥补漏洞来帮助处理事件。这一点也很重要。

一旦完成，就该通知您的客户了 - 许多企业会犹豫不决。对于任何公司来说，披露数据泄露无疑是一项痛苦的任务，但客户对试图尽可能透明的公司反应良好。如果客户怀疑存在故意隐瞒，企业的声誉损害可能会严重得多。企业担心，如果他们认为他们有违规行为，他们会失去客户，然而，现实情况是，处理得当的违规响应可以增强客户的信心。

即使您一开始不知道所有细节，让客户了解已经发生并正在调查违规行为也至关重要。最好对发生的事情保持透明，以及对您的客户可能产生的影响，而不是试图隐瞒事实，失去信任。

如何应对隐私数据泄露

很多情况下，数据泄露不单单是商业数据，可能也包括个人隐私泄露。有很多隐私泄露不是网络安全事件，而可能只是错误地配置了云存储，使敏感信息意外公开，或者员工可能不小心将敏感信息通过电子邮件发送给了错误的收件方。尽管同样严重，但像这样的情况更容易处理。

未经授权或不适当的信息披露或盗窃可以以多种方式发生，包括安装使用恶意软件、网络钓鱼攻击或人为错误，如果发生机密泄露，企业需要快速确定丢失或被盗的内容，采用哪些技术控制措施以及何时到位，例如访问控制，静态或传输中的加密或复杂的密码策略，以降低风险。

数据或资产的完整性和可靠性威胁通常涉及资产配置中的破坏或人为错误，根据威胁的方式，重点可能更多地放在数据恢复上，这就是为什么推荐使用备份和数据克隆。

最后还有可用性错误，即“无法访问或破坏数据或资产”。通常，这种类型的事件可能是由勒索软件或拒绝服务等引起的。在应对这样的违规行为时，第一步是弄清楚黑客是如何进入的，有什么数据被破坏、访问或转移了——然后如何使用修补或其他威胁检测软件，从而将数据从破坏中恢复。”

亡羊补牢

一旦解决了泄露事件的直接后果，企业应该立即开始着眼于亡羊补牢，努力阻止同样的事情再次发生。如果可能，尽快寻找并雇佣IT安全专家，进行全面的安全审计，应该能够发现威胁的根本原因，以及其他潜在的安全问题，而这些问题如果不立即处理，在不远的将来可能会变得非常棘手。

没有比事件发生后更好的时间来推动改进，这也是审查企业的事件响应计划并对其进行更新的最好时机。企业管理者应该默默自问，IT安全事件响应计划对你有用吗，可以改进吗？最好在IT安全专家的协助下，聘请外部渗透测试公司来详细分析企业网络和系统的弱点并建议应该优先考虑哪些方面的改进。

有一件事是肯定的。随着黑客技术变得越来越先进，传统的IT安全知识和预防策略对中小企业来说已经不够了。中小企业需要通过外部专业人员来形成预测、预防、检测和应对潜在威胁的能力。