[Transcription du webcast] Seulement une question de temps ? De la découverte de violations de données aux réponses aux incidents défendables

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Note de l'éditeur : Le 17 février 2021, HayStackID a partagé une webémission éducative destinée à informer et à mettre à jour les professionnels du droit et de la découverte de données sur la façon dont les organisations devraient être prêtes à répondre aux incidents liés à la cybercriminalité après une violation de données. Bien que la présentation complète enregistrée soit disponible pour consultation à la demande, pour votre commodité, une transcription de la présentation ainsi qu'une copie (PDF) des diapositives de présentation sont à votre disposition.

Juste une question de temps ? De la découverte de violations de données aux réponses aux incidents défendables

Dans cette présentation d'experts, les experts de la réponse aux incidents de cybersécurité, de la découverte juridique et de la protection de la vie privée expliquent comment les entreprises doivent être prêtes à répondre à un incident lié à la cybersécurité tout en acquérant des informations sur les technologies de pointe de découverte de données et les services éprouvés d'examen des documents pour soutenir la détection. , les processus d'identification, d'examen et de notification requis par la loi après des violations et des divulgations sensibles liées aux données.

Points saillants de la webdiffusion :

+ Réponse aux incidents : aperçu des services et quand s'engager pour les utiliser

+ Identifier les données sensibles après la violation par l'évaluation d'impact : établissement de la portée et réduction des risques

+ Découverte post-brèche : HayStackID ReviewRight Protect™ Services de révision de documents et facilitateurs technologiques pour prendre en charge l'isolement, le classement et l'organisation des PII/PHII relatifs aux entités violées

+ Rapports de notification et de divulgation : obligations, meilleures pratiques et méthodes de rationalisation de la notification et de la divulgation des entités

Experts présentateurs :

+ Michael Sarlo, ENCE, CBE, CCLO, RCA, CCPA - Michael est directeur de l'innovation et président des services d'investigation mondiaux pour HayStackID

+ John Wilson, ACE, AME, CBE - En tant que CISO et président de la criminalistique chez HayStackID, John est un légiste certifié, un détective privé agréé et un vétéran informatique avec plus de deux décennies d'expérience.

+ Jenny Hamilton, JD - En tant qu'avocate générale adjointe pour Global Discovery and Privacy chez HayStackID, Jenny est l'ancienne directrice de l'équipe Global Evidence de John Deere.

+ John Brewer - En tant que scientifique principal des données, John est responsable des services technologiques avancés pour HayStackID.

Transcription de présentation

Introduction

Bonjour, et j'espère que vous passerez une excellente semaine. Je m'appelle Rob Robinson. Au nom de toute l'équipe de HayStackID, je tiens à vous remercier d'avoir assisté à la présentation et à la discussion d'aujourd'hui intitulée « Only a Matter of Time ? De la découverte de violations de données aux réponses aux incidents défendables ». La webémission d'aujourd'hui fait partie de la série éducative mensuelle de Haystack menée sur le réseau BrightTalk et conçue pour garantir que les auditeurs sont prêts de manière proactive à atteindre leurs objectifs de cybersécurité, de criminalistique informatique et de révision juridique eDiscovery. Nos présentateurs experts de la webémission d'aujourd'hui comprennent quatre des experts les plus importants du secteur en matière de données et de découverte juridique, avec une vaste expérience dans la prise en charge de tous les types d'audits et d'enquêtes.

La première introduction que j'aimerais faire est celle de Michael Sarlo. Mike est directeur de l'innovation et président de Global Investigations chez HayStackID. À ce titre, Michael facilite l'innovation et les opérations liées à la cybersécurité, à la criminalistique numérique et à la découverte électronique, tant aux États-Unis qu'à l'étranger. Michael est également un chef de file dans le développement et la conception de processus, de protocoles et de services pour prendre en charge la découverte et les examens post-violation de données centrés sur la cybersécurité.

Deuxièmement, j'aimerais vous présenter John Brewer. En tant que scientifique en chef des données pour HayStackID, M. Brewer est responsable des services technologiques avancés de l'entreprise, pilotant le développement et l'application d'analyses de données, d'outils et de technologies pour identifier, organiser et prioriser les informations afin de prendre en charge les décisions basées sur les données.

Ensuite, j'aimerais vous présenter John Wilson. En tant que directeur de la sécurité de l'information et président de la police légale chez HayStackID, M. Wilson est l'un des plus grands experts en matière de confidentialité, de sécurité et de médecine légale informatique dans le domaine de la découverte électronique. Il est également légiste certifié, détective privé agréé et vétéran des technologies de l'information avec plus de deux décennies d'expérience de travail avec le gouvernement américain dans des entreprises publiques et privées.

Enfin, mais certainement pas des moindres, j'aimerais vous présenter Jenny Hamilton. Maintenant, Jenny a rejoint HayStackID en 2020 en tant qu'avocate générale adjointe pour Global Discovery and Privacy. Elle a rejoint HayStackID après 14 ans à diriger le développement des opérations eDiscovery de John Deere, où elle a dirigé l'équipe Global Evidence.

Bienvenue, tout le monde. Nous enregistrerons la présentation d'aujourd'hui en vue d'un visionnement futur, et une copie du matériel de présentation sera disponible pour tous les participants. Vous pouvez accéder à ces matériaux directement sous la fenêtre d'affichage de la présentation de votre écran en sélectionnant l'onglet Pièces jointes situé à l'extrême gauche de la barre d'outils sous la fenêtre de visualisation. De plus, la webémission enregistrée sera disponible directement à partir du site Web HayStackID et du réseau BrightTalk après avoir terminé la présentation en direct d'aujourd'hui.

Et pour le moment, j'aimerais remettre le micro à nos présentateurs experts, dirigés par Mike Sarlo, pour leurs commentaires et leurs considérations sur la découverte et l'examen post-violation de données.

Michael Sarlo

Merci beaucoup, Rob, et merci à tous d'avoir rejoint la webdiffusion d'aujourd'hui, It's Only a Matter of Time, et je peux vous dire, pour la plupart des organisations, que c'est le cas. Vous allez subir une brèche à un moment donné au cours des deux prochaines années, et il se peut que des données sensibles aient été compromises. Nous allons donc commencer du point de vue de l'agenda, en parlant de statistiques sur les incidents de sécurité, en général. Nous en avons de nouveaux pour 2020. Nous allons parler de ransomware en général, donner un peu d'historique et expliquer à très haut niveau comment fonctionnent les ransomwares. Nous allons ensuite le lancer et commencer à entrer dans un peu de truc et à parler d'une simulation de ce à quoi ressemble une brèche et des signes que vous allez être frappé, puis de ce que vous devriez faire. Nous allons ensuite lancer la conception efficace du plan d'intervention en cas d'incident. À partir de là, nous allons vraiment parler de la découverte post-brèche, ce qui nous manque dans les plans de réponse aux incidents de la plupart des entreprises, et comment cela s'intèbre dans notre offre de service ReviewRight Protect.

Donc, tout de suite, voici un bon tableau. Entre les expositions de données et les violations de données, nous avons eu près de 300 millions de personnes aux États-Unis pour des violations signalées, et il y a une grosse mise en garde ici, car de nombreuses entreprises ne signalent peut-être pas lorsqu'elles ont commis une violation à certains organismes de réglementation ou autorités qui suivent ces choses, mais ces statistiques sont provenant du Centre de ressources sur le vol d'identité, www.idtheftcenter.org. Une excellente ressource pour tout ce qui concerne les violations de données, et de très bonnes statistiques et rapports, mais vous pouvez voir que 2016 et 2017 ont certainement été des années tournant, tout comme 2018. Plus de 2 millions de personnes ont été touchées par une exposition de données ou une violation de données. Les choses étaient un peu meilleures en 2019 en ce qui concerne l'exposition aux données sensibles, et en 2020, nous étions descendus à environ 300 000, soit près de 1 100 violations à grande échelle signalées.

Cela dit, le coût d'une brèche ne diminue pas vraiment. Il a été assez statique. En fait, il est en train de monter d'une année à l'autre. En 2020, le coût moyen d'une brèche aux États-Unis était d'environ 8,64 millions de dollars, contre 8,19 millions de dollars. À l'échelle mondiale, le coût moyen d'une brèche était de 3,86 millions. Ces coûts comprennent la perte d'activité, il englobe beaucoup de chaos, la perte d'employés, la perte de lignes de service ; il comprend tous les rapports d'escalade et la notification de la violation ; vous avez des cabinets d'avocats, vous avez des fournisseurs de services et des activités post-réponse en dehors de la notification initiale, qui comprennent la surveillance du crédit, et ce genre de choses, puis également la gestion de la marque.

Donc, il ne s'agit certainement pas de petits événements pour une organisation, et ce nombre va augmenter en fonction de la taille et de l'ampleur de la brèche. Ainsi, en 2020, le coût par record volé était d'environ 146$, ce qui était en baisse par rapport à un sommet historique de 158$ en 2016. Cela dit, les soins de santé continuent certainement d'être les plus coûteux pour leur type de violation de données, avec environ 430$ par enregistrement volé, et nous constatons souvent que les violations de la santé sont parfois quelques-unes des plus complexes en raison d'une série de partenaires de distribution et de différents fournisseurs impliqués dans n'importe quel type de l'organisation de soins de santé, et les obligations que les parties ont les unes envers les autres peuvent être robustes et certainement faciles pour qu'un réseau de violations commence à se produire une fois qu'un attaquant se rende dans l'une des organisations susceptibles de se soutenir mutuellement.

Donc, en commençant par l'histoire de ce qu'est vraiment un ransomware. Je suis sûr que tout le monde sait, mais généralement, une charge utile qui se fraie un chemin sur un appareil et un réseau grâce à un compromis RDP, un hameçonnage par e-mail, des pièces jointes, des clés USB, toutes sortes de façons qu'une violation, une charge utile de rançon peuvent se frayer un chemin sur votre infrastructure. Il s'agit généralement d'un type d'exécution de code à distance. Il y a une augmentation des privilèges d'accès aux informations d'identification sur une machine ou une série de machines. Il commence à le décompresser, il prépare l'environnement, la charge utile est exécutée, puis les choses commencent à être chiffrées. [Smart] cryptos et/ou si un pirate a complètement enfreint le réseau, ou si les acteurs de menaces seraient le bon mot, alors ils commencent à supprimer les fichiers de sauvegarde locaux connus, puis vous obtenez ces jolies petites fenêtres contextuelles de rançon qui pourraient généralement vous dire que vous devez télécharger des Bitcoins pour déverrouiller le fichier, ou, plus généralement, maintenant pour une adresse e-mail pour négocier avec les attaquants, et en fait, les ransomwares sont apparus comme une chose vers 2005, et sont passés du chiffrement 64 bits à 660 bits en 2006. En 2009, nous commençons à voir plus d'attaques de type logiciel malveillant, évoluant en escroqueries, pour amener les gens à payer de l'argent, 40 dollars pour aider à déchiffrer les fichiers. 2010, nous avons commencé à voir environ 10 000 charges utiles différentes dans la nature. Ce sont différentes variantes de ransomware et cela coïncide avec la naissance de Bitcoin, puis la rançon de verrouillage d'écran qui vous ferait fermer hors de votre ordinateur.

Les choses ont commencé à progresser jusqu'à une industrie de 2010 à 2013 environ, où nous avons commencé à voir la rançon CryptoLocker toucher le monde entier, ce qui a entraîné des revenus — c'est une activité pour ces acteurs de menaces — d'environ 300 millions en 100 jours. 2015, nous avons environ 4 millions de charges utiles de rançon dans la nature, et en 2016, nous avons commencé à voir la rançon devenir une industrie d'environ un milliard de dollars par année. C'est alors qu'un hôpital a payé environ 17 000 rançons. Et en 2017, nous nous souvenons tous de la rançon WannaCry, qui est vraiment une couverture mondiale de l'actualité, qui s'est étendue à environ 34 pays et a entraîné des pertes d'environ 4 milliards de dollars pour les entreprises, si importantes, et en 2019, je peux vous dire que les statistiques représentent en réalité environ 62 % des organisations prétendues avoir été victime de ransomware à un moment donné de 2017 à 2019. Ainsi, vous pouvez voir comment le nombre de violations signalées par rapport à ce que les organisations ont réellement vécu sont un peu désordonnées.

Et du point de vue du paiement pour les entreprises en 2020, nous voyons le coût d'une rançon augmenter, et je peux vous dire que plus d'organisations les paient, il y a plus de mécanismes en ce qui concerne les fournisseurs d'assurance pour faciliter, en fait, le paiement des rançons en Bitcoin, et la moyenne des paiements de rançon au quatrième trimestre de 2020 était environ 233 000$, ce qui est en hausse par rapport au deuxième trimestre d'environ 31 %. Ainsi, les entreprises paient plus cher, les acteurs de la menace en demandent davantage, et ce n'est qu'une partie du puzzle, et nous en parlerons au fur et à mesure que nous avançons davantage dans le webinaire.

Je vais donner la parole à mon collègue, John Brewer, qui est notre scientifique en chef des données. Nous travaillons tous en étroite collaboration avec nos équipes de réponse aux incidents et nos équipes de données pour les clients travaillant sur les problèmes de réponse aux incidents et la découverte post-brèche.

John Brewer

Merci beaucoup, Mike. Par conséquent, beaucoup de questions que nous nous posons dans notre domaine sont centrées sur l'incident proprement dit. Nous allons donc couvrir cela pour le moment. Dans ce cas, je vais parler davantage des ransomwares comme un exemple spécifique pour que nous ayons tous un terrain d'entente, mais notez que la plupart de ce que je vais dire va fonctionner avec ou du moins être vrai pour la plupart des types de pénétrations de réseau susceptibles d'exfiltrer ou de détruire des données.

Alors, parlons-en juste avant que tu sois frappé. Il y a quelques signes à rechercher. La plupart des réseaux de grandes entreprises surveillent déjà ce type de mesures, mais pas toutes les moyennes entreprises, et je veux dire, pour être honnête, toutes les entreprises ne s'intéressent pas à ce genre de choses. Tout d'abord, les connexions MFA partielles. Presque tout le monde dispose d'une authentification multifacteur déployée pour ses utilisateurs à ce stade. Si ce n'est pas le cas, vous devriez commencer assez rapidement, mais l'une des principales mesures à rechercher est lorsque vous avez des utilisateurs qui réussissent à plusieurs reprises leur première vérification, c'est-à-dire leur mot de passe, mais ils échouent à la deuxième partie de l'authentification multifacteur.

Maintenant, Microsoft et Google, WatchGuard et Duo ont tous ces petites applications que vous placez sur votre téléphone maintenant. En fait, la plupart des organisations de sécurité affirment que l'application est la méthode préférée pour effectuer une authentification multifactorielle, mais l'un des dangers est que les gens prennent l'habitude de voir apparaître un MFA sur leur téléphone et qu'ils l'approuvent, sans nécessairement penser à ce que cela implique. Ainsi, une fois qu'un attaquant a le mot de passe d'un utilisateur et qu'il s'en prend, il attend simplement qu'un utilisateur se glisse et le laisse entrer. Ces AMF partielles sont donc l'une des choses les plus importantes que nous ayons pu voir.

Attaques par force brute, nous sommes probablement tous habitués à la pluie constante de coups aléatoires provenant d'adresses IP en Chine, en Iran et en Russie, et dans d'autres endroits, qui ne font que marteler nos pare-feu jour et nuit. Cloudflare a construit toute une industrie en traitant ces problèmes, mais avoir une idée de ce que sont les modèles normaux pour votre organisation particulière, et s'il y a un changement très brusque dans ceux-ci, cela peut indiquer que quelqu'un a réussi à faire quelque chose qui pourrait les amener dans votre réseau. Habituellement, pas par l'attaque par force brute, mais soit quelqu'un qui essayait de forcer la force brute vous a trouvé un moyen d'entrer et d'arrêter, soit quelqu'un qui a trouvé un moyen d'entrer dans votre réseau a commencé à vous forcer brutalement afin de dissimuler les autres activités qu'il entreprennent en inondant simplement vos journaux de sécurité.

Les courriels d'hameçonnage, si vous surveillez récemment les courriels d'hameçonnage, vous savez qu'ils ont tendance à être envoyés en salves ces jours-ci, où les hameçonneurs aligneront autant de courriels que possible provenant de la même organisation et vireront ces e-mails en une seule fois. L'objectif est qu'ils ne veulent pas que l'informatique ait la possibilité de réaliser que ces e-mails sont envoyés à tout le monde et d'envoyer un avertissement aux utilisateurs de ne pas ouvrir cet e-mail ou autre. Ils savent qu'ils ne disposent que de quelques minutes à quelques heures pour attraper un utilisateur imprudent, et il est important de se souvenir de n'importe quel utilisateur, peu importe à quel point sa formation et sa connaissance technologique, peut être victime de ces e-mails d'hameçonnage. Il suffit d'un moment d'inattention pour déployer la charge utile pour beaucoup d'entre eux.

Jump boxes, qui est le terme familier pour les boîtes RDP ou SSH ouvertes à Internet auxquelles les gens se connectent, généralement dans une zone DMZ quelconque, et se déplacent vers le reste du réseau. Si ces derniers commencent à tourner de façon inattendue, comme s'ils commencent à tirer beaucoup plus de CPU et de mémoire qu'ils ne le font normalement, c'est un signe que quelqu'un pourrait se préparer à lancer une attaque de l'un d'eux vers le reste du réseau.

Les demandes SMB, Kerberos, LDAP, en fait, il s'agit de tout type de trafic inattendu provenant des appliances, et par appliances, je veux dire routeurs, NAS, disques partagés, même les commutateurs intelligents et les thermostats pour les entreprises qui les ont déployées. En règle générale, si votre routeur Cisco essaie d'accéder à la base de données comptable, quelque chose a probablement mal tourné, et c'est l'une des choses à prendre en compte, car cela peut généralement signifier qu'un attaquant intelligent l'utilise comme point de départ vers votre réseau.

Diffusez le trafic de connexions VPN point à site. Surtout à l'ère du COVID, beaucoup plus de gens utilisent le VPN, mais les utilisateurs VPN sont généralement très spécifiques dans leurs activités. Ils accèdent aux partages de fichiers, accèdent à des sites Web internes ou parfois à RDP sur des machines individuelles. Si vous commencez à voir du trafic qui ne va pas vers des sites spécifiques, même s'il est bloqué par le pare-feu, cela peut indiquer que quelqu'un a réussi à accéder à votre VPN, qui n'est pas censé être présent, et commence simplement à analyser pour voir à quoi il a accès. Même si vous pensez que vous êtes en sécurité, c'est quelque chose que vous devez vraiment examiner et y réagir.

Ce dernier est en fait de plus en plus courant, c'est-à-dire tout trafic sortant de votre site qui ne passe pas par HTTPS. Presque tout passe par HTTPS maintenant. Vous avez évidemment un trafic Web et des applications Web normaux, mais des applications de bureau telles que Slack et Teams et d'autres applications de communication et de collaboration, la plupart des applications de bureau telles que Visual Studios et vos bureaux, et ce genre de choses vont extraire leurs téléchargements et téléchargements et communications via HTTPS. Google effectue même un DNS via HTTPS ces jours-ci. Ainsi, chaque fois que vous voyez une machine qui se connecte sur un autre port que le port 443, surtout s'il s'agit de 6666 à 66670, des ports IRC ou de tout ce qui se trouve dans la série 9000, qui indique le début du trafic Web, vous voulez absolument jeter un coup d'œil à la machine à l'origine de ce trafic. Donc, ce ne sont que les derniers indicateurs que nous avons vus sur la façon dont les gens peuvent dire que quelqu'un est à l'intérieur même s'il n'a pas encore commencé à faire du mal.

La prochaine étape, bien sûr, est OK, nous avons été touchés. Vous savez que vous avez été touché, parfois dans le cas d'un ransomware, il s'agit de l'écran de quelqu'un qui apparaît et dit, hé, vos données ont été chiffrées, veuillez envoyer un e-mail à cette adresse pour entamer les négociations pour obtenir la clé de déchiffrement de vos données. Une fois que cela s'est produit, nous sommes maintenant en mode incident. Vous savez que vous avez été touché, vous n'êtes pas sûr de la quantité de données qui ont été émises. Souvent, les personnes qui découvrent l'impact ne savent pas quelles sont leurs expositions légales ou leurs responsabilités. Donc, je vais simplement aborder le côté technologique, puis mon collègue va couvrir davantage de ses ramifications juridiques.

Mais du point de vue informatique, vous arrêtez la fuite. C'est l'une de ces circonstances où les mœurs sociales sortent à la porte. En général, je ne suis pas partisan d'interrompre les employés lorsqu'ils sont en vacances, ou autrement indisposés. Je crois en l'équilibre entre vie professionnelle et vie privée, mais c'est l'une de ces exceptions, surtout dans les premières minutes d'une brèche. Si vous n'avez pas la personne qui peut sécuriser le réseau, s'il y a une question de savoir si les personnes qui sont actuellement en service peuvent ou non gérer cela, décrochez le téléphone, utilisez la ligne personnelle, contactez la personne qui peut voir sceller la fuite, car les minutes comptent lorsque vous les découvrez pour la première fois.

Modifiez les mots de passe sur tous les comptes susceptibles d'être compromis. Encore une fois, il est préférable de modifier un mot de passe sur un compte qui n'a pas besoin de faire pivoter son mot de passe plutôt que de laisser accidentellement quelque chose ouvert auquel vous n'aviez pas réalisé que les attaquants avaient accès.

Arrotez tous les systèmes qui font automatiquement pivoter ou supprimer des journaux. Cela va être important pour l'enquête ultérieurement, mais beaucoup de nos clients manquent. Essentiellement, une fois que nous arrivons à la réponse aux incidents plus formalisée plus tard, les journaux éphémères et les choses qui disparaissent après un jour ou deux peuvent être purgés du système, et ce sont souvent ceux que nous recherchons, en particulier les journaux transactionnels élevés, comme les journaux de paquets réseau, des choses comme ça sur routeurs. Il est très important de mettre en place un plan pour les arrêter et les archiver à l'avance, mais même si vous n'avez pas ce plan, il est très important de s'assurer de conserver toutes les informations d'état dont vous disposez au moment de l'attaque.

Enfin, sécurisez toutes les sauvegardes. Je ne peux pas compter le nombre de fois que j'ai eu ou que je suis entré dans des organisations qui pensaient que leurs sauvegardes étaient sécurisées, qu'elles étaient hors site, qu'elles étaient inaccessibles à l'attaquant, puis sont retournées et ont découvert que leurs sauvegardes avaient été chiffrées par un rançongiciel ou autrement compromis. Il est également important de noter que certains attaquants cachés resteront en sommeil pendant un certain temps spécifiquement pour pouvoir accéder à la sauvegarde la plus récente, de sorte qu'une fois les sauvegardes restaurées, les attaquants ont toujours accès.

Parlons donc des informations que nous devons collecter et des questions qui vont se poser immédiatement après une attaque. Tout d'abord, évidemment, qui a été exposé ? C'est la question la plus importante. Les données des employés ont-elles été prises ? Les données client ont-elles été prises ? Les données des fournisseurs ont-elles été prises ? Y a-t-il des informations d'autres personnes dont nous sommes responsables ? Le cas classique dans ce cas... ou l'exemple classique de ceci, est plutôt l'information sur les rapports de crédit pour les personnes qui ne sont pas nécessairement vos clients, ne sont pas vos fournisseurs, mais néanmoins, il s'agit d'identifier personnellement les informations financières que vous avez sous votre garde, et si cela s'est échappé de votre organisation, c'est qui se produira plus tard dans l'enquête d'intervention en cas d'incident.

Quand l'attaquant est-il arrivé ? Maintenant, c'est quelque chose qui peut avoir de multiples réponses. Vous aurez le temps de découvrir que l'attaquant était à l'intérieur, et vous pourriez être en mesure de le faire ou vous ne serez peut-être pas en mesure d'établir un moment où il est entré, mais à tout le moins, nous voulons trouver le plus tôt possible pour confirmer qu'il était dans le système.

Et à quelle heure ont-ils encore été bloqués ? Nous allons créer des calendriers sur ce qui se passe ultérieurement lors de la réponse à l'incident et sachant exactement à quelle heure l'attaquant a été bloqué, si les informations d'identification qu'il utilisait ont été modifiées ou l'heure à laquelle nous avons effectivement mis fin à toutes ses sessions actives, car ceux-ci peuvent également être deux choses différentes.

Quelque chose a-t-il été modifié ? Des données ont-elles été modifiées ? Est-ce que quelque chose a été installé ? De nouveaux comptes ont-ils été créés, c.-à-d. y a-t-il de nouveaux administrateurs qui flottent autour du système et les autorisations ont-elles été modifiées ? C'est particulièrement important dans les environnements cloud. Parfois, les attaquants peuvent entrer relativement tôt dans l'attaque, ils font des choses telles que définir des compartiments S3 ou un autre stockage cloud pour qu'ils soient accessibles au public, de sorte que même une fois qu'ils ont été virés du système principal, ils peuvent revenir et collecter toutes ces bases de données ou autres magasins de données qui ne font que flotter. désormais public à l'insu du propriétaire des données.

Y a-t-il une menace persistante ? Quelqu'un a-t-il essentiellement ajouté ou un logiciel a-t-il plutôt été ajouté à l'environnement qui permettra aux attaquants de revenir après avoir fermé les portes ?

À quoi ont-ils eu accès ? Et c'est l'une de ces choses où nous voulons un scénario le plus intéressant et le pire des scénarios. Est-ce qu'ils étaient limités à une boîte individuelle ? Ont-ils accès à un seul ensemble de fichiers ou n'ont-ils accès à un compte utilisateur relativement dépourvu de privilèges, ou ont-ils pu accéder à une personne disposant de vastes autorisations sur de grandes sections de l'infrastructure ou même des autorisations dans des organisations adjacentes, telles que les organisations partenaires, les fournisseurs, les clients ? organisations ? Il s'agit d'un incident classique lorsque des MSP, des fournisseurs de services gérés, sont piratés, car les attaquants ont non seulement accès au MSP lui-même, mais en général, les MSP ont un accès privilégié sur tous les systèmes de leurs clients. Déterminer quels sont les meilleurs et les pires scénarios, compte tenu de ce que nous savons de l'accès de l'attaquant, sera une question qui va être posée beaucoup dans les heures et les jours qui suivent la découverte d'une attaque.

Et enfin, qu'avons-nous fait ? Documentez tout ce que vous faites en réponse à une attaque, surtout au cours des premières heures ou des premiers jours. Il suffit de le faire écrire, de conserver vos e-mails, de conserver des notes manuscrites si possible. Je sais qu'en ce moment, beaucoup de travailleurs informatiques et de chefs d'entreprise, et souvent même l'équipe juridique, s'arrêteront un instant pour dire, OK, comment cela va-t-il ressembler plus tard ? Serais-je critiqué pour cette décision ? Je peux vous dire qu'après avoir vécu beaucoup de ces mesures, presque toutes les actions de bonne foi que vous prenez pour sécuriser vos propres données, sécuriser les données de vos clients, et vraiment toutes les autres données dont vous êtes responsable, pour éliminer l'attaquant et prendre une action qui, selon vous, va entraver ou arrêter l'attaque, c'est va bien réfléchir à vous lors de toute enquête ultérieure. Je veux dire, s'il s'agit de débrancher un routeur dans un bureau local, s'il s'agit de tirer les disjoncteurs dans un centre de données, je connais au moins un incident où un jeune employé très rapide a effectivement tiré le système d'extinction des incendies dans le centre de données pour tuer tout le plancher alors que ses données étaient cryptées. et je l'ai fermé. Ainsi, lorsque vous tirez le système d'extinction d'incendie dans un centre de données, l'une des premières choses à faire est qu'il coupe l'électricité à l'ensemble du sol et, dans ce cas, a probablement économisé énormément de temps et d'efforts à leur entreprise, car il faut généralement environ une journée pour se remettre d'un tel système d'extinction d'incendie. Il peut s'écouler des semaines ou des mois pour se remettre d'une attaque importante de ransomware.

Enfin, ne supprimez rien qui ne constitue pas une menace immédiate. C'est la seule chose que vous pouvez faire qui soulèvera des questions gênantes plus tard, surtout si vous ne savez pas ce que vous supprimez ou ce qu'il y avait dedans. Lorsque nous entrerons dans des conversations avec les compagnies d'assurance et cette phase d'analyse, tout ce que vous avez fait pour supprimer des données sera beaucoup, beaucoup plus difficile à documenter et à expliquer quand nous parviendrons à cette partie de la réponse à l'incident. Par conséquent, ne supprimez rien que vous ne savez pas être une menace pour le système.

Et avec cela, je vais en fait passer la parole à mon collègue pour une conception efficace du plan IR.

Jenny Hamilton

Merci, John. Aucune discussion sur un plan IR n'est donc complète sans passer par les principaux acteurs, les principaux flux de travail, la réponse et la notification. Commençons donc par les principaux acteurs.

Je pense que c'est 101 que vous avez déjà établi un banc évolutif de ressources internes et externes, et nous en avons énuméré quelques-unes ici. De toute évidence, le responsable informatique interne, le responsable juridique, les conseillers juridiques extérieurs, les cabinets de légiste, il peut y avoir des acteurs clés identifiés en fonction de l'affaire, et en fonction de l'entreprise et du type de données. Donc, nous venons d'en énumérer quelques-uns, mais ce qui est important de définir spécifiquement, c'est qui prend les devants dans certains domaines et quel est leur niveau d'autorité décisionnelle, et donc vous avez peut-être un chef de file juridique, mais est-ce l'avocat général ou le PDG qui prend réellement les décisions ultimes qui vont guider votre plan de communication, et quels sont les critères pour lesquels le droit devrait prendre le relais ? Donc, s'il s'agit d'un incident à haut risque, réfléchissez aux préoccupations relatives aux privilèges et à savoir si une autorité d'embauche doit déplacer un avocat extérieur pour les gérer.

L'autre point concernant la définition de vos joueurs clés est de garder l'équipe de base aussi petite que possible et de comprendre que vous pouvez toujours avoir une équipe élargie, et que l'équipe centrale et l'équipe élargie doivent être définies par leur rôle, de sorte qu'au fur et à mesure que les gens changent, selon l'organisation, les gens changent peut-être dans et d'autres emplois très rapidement, que vous ne cherchez pas à comprendre pourquoi quelqu'un est maintenant dans un département différent ou un rôle différent dans l'informatique a été impliqué. Il est donc important d'avoir cette liste par rôle, mais aussi de définir votre plan de sauvegarde. Si cette personne est en vacances, au point de John, vous devriez aller de l'avant et essayer de la contacter. S'ils sont inaccessibles, quelle est votre sauvegarde ? Pour tout type de plan de cette nature, j'aime vraiment les cartes RACI, ou les cartes RASCI, où vous comprenez d'un coup d'œil qui est responsable de ce flux de travail, de ce domaine et qui aide, qui doit être consulté, qui doit être informé, mais encore une fois, le point le plus important est de le garder aussi petit. et aussi simple que vous pouvez vous en sortir.

En termes de flux de travail clés, concentrez-vous ensuite sur la définition des flux de travail pour les événements à risque le plus élevé, et lorsque vous souhaitez que les conseillers juridiques participent à l'évaluation des risques. Évidemment, il s'agira des événements à risque élevé, d'essayer d'obtenir une perspective juridique et de savoir comment cela peut stimuler ou modifier le flux de travail et la stratégie, qui inclurait les domaines de la confidentialité des données, qui sont très réglementés, les notifications de violation, le respect des polices d'assurance et le travail main dans la main avec votre équipe de gestion des risques. Et puis, encore une fois, comment vous communiquez, vous allez communiquer, ce qui devient critique lorsque tous ces flux de travail doivent être exécutés en parallèle.

Pour un plan de communication, c'est le thème central ici de rester aussi court que possible. Si vous avez quelqu'un qui doit jouer un rôle qui n'a pas été complètement informé ou n'a pas participé à des exercices de table et lire le plan, il n'est donc pas idéal de mémoriser un plan de cinq à huit pages. Vous voulez donc rester très court et concis, moins il y a de joueurs, mieux c'est. Et autant que cela peut être fait à l'avance, mieux c'est, car ici, l'efficacité est essentielle, donc si vous pouvez jouer un rôle à plusieurs chapeaux, cela peut être idéal. Et l'exemple que je vais utiliser dans la diapositive suivante est l'avocat eDiscovery. Après avoir accompli ce rôle moi-même, le conseiller juridique eDiscovery a souvent conclu des accords de niveau de service principaux avec des entreprises qui peuvent faire à la fois la science légale et l'examen des documents et possèdent des connaissances pratiques, parfois une connaissance institutionnelle très approfondie de ce qu'est le risque et de la façon de trier.

Cela nous amène donc à la cartographie des données. Ainsi, encore une fois, l'avocat de la découverte électronique peut être votre ami. J'ai essayé d'être un ami pour beaucoup, et j'ai vécu des expériences de triage à enjeux élevés, sur des questions complexes, dans des délais courts. Encore une fois, cette connaissance institutionnelle des sources de données de l'entreprise et de l'endroit où le risque peut se situer, comment effectuer des examens de documents volumineux et identifier des sujets d'actualité spécifiques, des problèmes de boutons chauds qui doivent être communiqués efficacement à quiconque gère votre stratégie juridique ou votre point de fonctionnement du côté informatique. De plus, ce qui est intéressant avec les conseils eDiscovery, c'est que leur équipe a généralement accès et expérience avec le centre de conformité de sécurité O365. Encore une fois, vous êtes aussi efficace que possible avec les différents domaines, domaines que vous possédez.

Analystes de la protection de la vie privée - Je ne veux pas négliger leur rôle. Ils ont fait beaucoup de travail. Si vous travaillez dans différents pays et que vous disposez d'une équipe de conformité à la vie privée, ils ont probablement déjà cartographié un grand nombre de sources de données à haut risque en termes de confidentialité, ce qui peut vous fournir de nombreuses informations importantes de base très rapidement.

John Wilson

Juste pour s'intéresser au mappage des données, il devient vraiment important de tirer parti de vos connaissances internes pour comprendre où sont stockées vos PII, votre PHI, toutes vos données sensibles, toutes les connaissances existantes au sein de l'organisation quant à ces emplacements vont vraiment vous aider à progresser plus rapidement vers le bas de la ligne vers résoudre la violation et gérer les notifications de violation, comprendre les entités et les parties que vous pourriez devoir notifier. Vous pourrez peut-être accéder à ces informations beaucoup plus rapidement si vous comprenez votre carte de données et que vous y prêtez attention.

Jenny Hamilton

C'est tout à fait exact, John. Il est, encore une fois, essentiel que vous puissiez identifier les zones qui peuvent être gérées en parallèle, et autant que vous puissiez trier les personnes qui ont le plus de connaissances sur ces sources de données et qui comprennent le risque de confidentialité, mieux vous êtes loti pendant que vous avez vos équipes informatiques et peut-être vos autres conseillers juridiques et autres personnes. parler à la gestion des risques et parler à la suite de dirigeants ou au conseil d'administration pour faire ce qu'ils peuvent faire de mieux.

Et donc, pour couronner ma partie, parler de réponse et de notification. Et en parlant de triage, encore une fois, le travail se fait en parallèle, dans la mesure où vous avez déjà des relations que vous entretenez, que vous pouvez avoir confiance et que vous avez des accords en place avec des cabinets d'avocats et des fournisseurs qui peuvent jouer de multiples rôles, tels que la judiciaire numérique et la révision de documents, c'est idéal. Vous n'avez pas besoin de 100 outils dans une boîte à outils ni de 100 boîtes à outils différentes, vous avez besoin d'un petit groupe de joueurs disposant de cette capacité possible sous un même toit.

Avec cela, je vais le retourner pour parler de découverte post-brèche. Mike, voulez-vous parler du flux de travail de découverte post-brèche ?

Michael Sarlo

Oui, la découverte post-brèche est certainement quelque chose que nous constatons que de nombreuses organisations ne font pas partie de leur plan d'intervention en cas d'incident. Ils ne voient pas au-delà de sceller la fuite et de fermer tout accès non autorisé. Les exercices de table peuvent facilement encapsuler les flux de travail ou divers besoins qui commencent à se produire à partir de flux juridiques, dans la mesure où il s'agit de permettre à une organisation de se conformer à diverses obligations du point de vue de la divulgation, qu'il s'agisse de personnes ou d'organisations, de partenaires commerciaux, d'organisations qui sont des clients dans divers domaines. capacités.

Voici le flux de travail, pour ainsi dire, et c'est quelque chose que l'horloge commence à cocher pour la plupart des organisations dès qu'elles se rendent compte d'une violation. Souvent, vous avez des exigences de notification intégrées dans des contrats et des choses de ce genre, ou vous êtes réglementé, en fonction du secteur dans lequel vous opérez, ou simplement en fonction des finalités des données sensibles en cause, de la raison pour laquelle elles sont collectées. Et vraiment, ce que nous commençons, c'est certainement nos sources impactées préservées, et cela remonte à cette carte de données sensibles. Savoir où se trouvent vos données sensibles plutôt que de se contenter de regarder un partage massif de 20 téraoctets et d'avoir à comprendre, « OK, comment parvenir immédiatement à l'endroit où se trouve le PHI/PII avant même d'utiliser des outils qui peuvent vous aider sur site et hors site à diverses capacités. Savoir où se trouvent ces données, cela va rationaliser ce processus, tout comme pouvoir dire : « Voici les sources de données qui contiennent des données sensibles dont nous savons qu'elles n'ont pas été touchées, et voici celles qui font et les déplacent le long de ce processus aussi rapidement et efficacement que possible avec un conseiller externe et un fournisseur comme Haystack qui réalise la réponse aux incidents, la recherche scientifique numérique, la découverte électronique et l'examen des documents ».

Et nous commençons par ces sources de données, puis nous nous demandons : « Y a-t-il des données sensibles ? » Il se peut que des processus d'entrevue soient en cours avec les chefs d'unités commerciales en fonction des sources de données. Nous avons peut-être déployé des boîtes à outils sur site qui permettront une évaluation rapide pour nous informer s'il existe un type de données sensibles dans une population de données mixtes.

Dans ce graphique ici, les sources de données signifient vraiment des données structurées et non structurées. Il se peut que vous ayez des bases de données SQL, des données Web, des bases de données avec de nombreuses dépendances, c'est là que cela commence à devenir complexe et à la nécessité de penser au-delà des produits de travail typiques, des documents, et d'examiner toutes les interdépendances d'une organisation moderne qui s'appuie sur différents types de bases de données et de formulaires Web pour interagir avec leurs clients ou pour que leur entreprise soit exécutée ou est important car le traitement de ces sources de données et leur mise dans un format exploitable pour passer par ce processus est un processus en soi.

Une fois que nous l'avons, nous utilisons essentiellement divers outils pour traiter ces données. Certains outils sont spécifiquement adaptés à davantage de workflows de réponse aux incidents. Mais au bout du compte, cela va passer par un flux de travail de découverte électronique quelque peu modifié, dont beaucoup d'entre vous sur ce webinaire connaissent très bien et savent tout sur eDiscovery. Et nous cherchons à créer continuellement des rapports de haut niveau à chaque étape, ce qui est très important pour les conseillers externes et pour l'organisation elle-même d'évaluer les risques, de contrôler les dépenses et de contenir les risques, afin qu'ils prennent des décisions éclairées par des rapports réels et statistiques. l'échantillonnage, souvent dans le but d'éliminer des populations de données, est certainement omniprésent dans tout ce flux de travail de bout en bout.

Une fois les données traitées, vous utilisez un type d'apprentissage automatique ou d'IA, des flux de travail basés sur la recherche, la regex, une combinaison de tous, HayStackID utilise tout. Nous avons des workflows spécifiques dans Relativement. Nous sommes également en partenariat avec d'autres plates-formes qui fournissent des workflows entiers spécifiques aux réponses et à la divulgation violées, qui fonctionnent aussi bien, et tout dépend en quelque sorte de la situation, parfois de la granularité des rapports requis et de l'évolutivité. Nous essayons d'obtenir une évaluation d'impact, quelque chose qui est en quelque sorte l'agrégat de tout, où nous commençons notre extraction et pourquoi nous avons choisi ces sources de données, et cette évaluation d'impact sera tous les résultats de l'intelligence artificielle et de la recherche, et de notre juste information. rassemblement.

Et à ce moment-là, nous avons une équipe assez importante qui commence à parcourir ces documents. Habituellement, c'est un mélange d'avocats, de parajuristes, cela dépend certainement de la préférence du client. Et l'objectif ici est de commencer à obtenir vraiment toutes les données sensibles et un collation autour d'entités et d'organisations individuelles où leurs données ont été compromises, des données de santé, tout ce qui est, des données financières, des réseaux sociaux, tout ça. Cela vous amène à une liste de divulgation ou à une série de listes de divulgation et de règlements, et cela varie d'un état à l'autre en ce qui concerne la façon dont vous devez divulguer et quel format, dans quels délais. Bien sûr, à l'échelle mondiale également, ce processus va être très différent et tout cela dépendra également de vos lois sur la confidentialité des données.

Et juste pour donner... nous allons rapidement donner un aperçu de haut niveau de certaines des techniques modernes, de l'outillage, de l'intelligence artificielle et de la recherche utilisés à travers le spectre pour atteindre ces résultats. John Brewer.

John Brewer

Merci beaucoup, Mike. Donc, comme le disait Mike, pour la plupart des processus que nous avons, ou pour la plupart des systèmes, je suppose que je devrais le dire, nous avons des flux de travail relativement matures qui les transportent jusqu'au processus d'aperçu, je suppose que je devrais le dire. Bien que presque n'importe quel système, avec presque n'importe quelle organisation, en particulier toute organisation qui compte plus de quelques personnes qui y travaillent, il y aura une sorte d'application ou d'autre système que nous n'avons jamais rencontrés auparavant, ou nous n'avons pas rencontré dans la façon dont ce client l'utilise, que ce soit simplement dans un système obscure mais couramment disponible ou quelque chose d'un pays. Pour cette raison, nous conservons dans notre boîte à outils un ensemble complet de diverses techniques de science et d'analyse des données, afin que nous puissions relever le défi dans n'importe quelle circonstance particulière.

Maintenant, au début de la décennie, je suppose que, techniquement, la dernière décennie, nous utilisions des techniques pionnières par des entreprises telles que Google et Facebook et d'autres types de sociétés de médias sociaux qui finançaient de grandes quantités de recherches et nous ont donné des outils comme Word2Vec et ses divers les systèmes de correspondance de modèles et de descendants, qui sont des approches artificielles plus traditionnelles que vous auriez connu au cours des années passées. Et nous sommes restés au fait de la littérature moderne.

Maintenant, évidemment, les choses qui ont été publiées au cours de la dernière année sont difficiles à opérationnaliser, mais ces dernières années, les choses que nous commençons ou que nous sommes en train de pousser dans nos environnements pour aider à l'examen des données sont des choses comme des transcriptions augmentées, sont des choses comme des transcriptions augmentées. modèles transformateurs ou GPT. Triumvirate Cognitive Models, ce sont les types de modèles qui nous permettent de tirer parti de plusieurs fournisseurs différents qui font des choses similaires et de combiner les résultats de leurs systèmes pour nous aider à fournir le meilleur résultat possible à nos clients. La détection des sentiments, qui est en fait une technologie utilisée à l'origine pour des choses comme Yelp, les critiques et l'analyse d'énormes quantités de données Twitter, mais il s'avère qu'elle possède d'excellentes applications pour découvrir les PII et surtout les PHI, juste à cause des connotations et du sentiment, franchement, que vous ont tendance à contourner ces données dans un format non structuré. Et puis les phrases clés non entités, ce qui, dans ce contexte, cela signifie généralement — une façon sophistiquée de dire que nous reconnaissons les titres et les noms peuvent faire référence à la même entité, par exemple, que la reine d'Angleterre fait également référence à Elizabeth Windsor et qu'il s'agit de la même personne.

Ainsi, nous utilisons parfois tous ces ensembles d'outils et nous travaillons avec nos clients et nous travaillons avec leurs conseils et autres pour nous assurer que nous correspondons à la forme la plus efficace de techniques d'intelligence artificielle ou de science des données pour apporter des informations spécifiques et réduire le problème du tri, comme Mike a souligné, potentiellement des téraoctets et des téraoctets ou des données non structurées pour déterminer l'ampleur d'un incident particulier en termes d'exfiltration de données.

Mike, voulez-vous consulter les rapports d'évaluation des violations de données ?

Michael Sarlo

Merci, John. Il s'agit simplement d'un graphique d'évaluation de violation de données sensible aux stocks, pas probablement ce que nous vous livrerions. Mais les éléments clés d'un rapport d'évaluation, le rapport d'évaluation d'impact, allaient toujours être un nombre de données sensibles par type, PII, données sur la santé, données financières, beaucoup plus granulaires dans la plupart des circonstances. Il chercherait à construire des taxonomies spécifiques à l'organisation. Ils ont leurs propres identifiants de patients, d'autres types de données client, des éléments qui ne s'intègrent légalement dans aucun modèle. Nous travaillerions à trouver des méthodes permettant de les localiser et de rendre compte de ces méthodes. Certains types d'informations fiables. Certes, vous recherchez des noms de personnes uniques dans le jeu de données, donc résumer 50 fois chaque instance de « Michael D. Sarlo » dans le jeu de données à une seule entité affectée, de même pour l'organisation. Être capable de cartographier une bonne quantité de ceux-ci et où cette entité chevauche un type d'IPI, de PHI ou d'autres types de données sensibles. Ce sont généralement des documents très faciles à trouver lorsque vous avez le nom d'une personne et un droit social dans le même document.

Et cela peut aller comme, vous le savez, dans le sens de certains types de rapports d'exceptions. Et alors que nous entrons dans la phase d'extraction réelle, nous effectuons ici différents types d'analyses de données en utilisant l'échantillonnage statistique pour supprimer les faux positifs de l'ensemble de données, tout en utilisant l'échantillonnage statistique pour échantillonner des populations qui n'ont aucun impact sur quoi que ce soit, car c'est souvent là que se situe votre risque. , les choses que vous ne pouvez pas voir à l'aide d'une machine ou à l'aide de la recherche, et il existe des technologies intéressantes pour les photos et les W2 et des choses comme ça qui peuvent simplifier ce type de choses qui ne comportent pas nécessairement de texte ou qui ne font pas très facilement de ROC.

Tout cela va vraiment nous amener à une grande échelle, très rapide — ce que je n'appellerais pas une revue de documents, le terme populaire, un sous-ensemble de l'industrie serait plutôt une extraction de données, une extraction d'entités, mais nous appellerons cela un examen puisque nous avons tellement de gens de la découverte électronique en ligne aujourd'hui. Et ReviewRight Protect est en quelque sorte un ensemble de services et de technologies, il possède un premier noyau fonctionnel, active notre plateforme de test de recrutement et de placement des réviseurs ReviewRight. Il utilise sa propre intelligence artificielle pour permettre essentiellement à nos équipes de notre division d'examen des documents de recruter, de tester, de mesurer et de placer le meilleur réviseur possible sur n'importe quel sujet donné. Et dans ce cas, nous recherchons des réviseurs utilisant notre plateforme de test qui peuvent posséder une expertise spécifique ou une expérience de domaine par rapport à l'entité qui a été violée, mais souvent, nous cherchons simplement quelqu'un qui peut coder les documents rapidement, efficacement et avec précision. Et cela s'applique, certainement, à l'extraction de brèches ou à tout examen, et ce que nous faisons, c'est d'essayer toujours d'obtenir une poignée de réviseurs qui se trouvent au-dessus de la ligne Mendoza. Ceux-ci peuvent évoluer si rapidement que le fait de pouvoir évoluer d'un point de vue national, que nous avons été un chef de file en matière d'examen à distance depuis sept ans, a fait plus d'un millier d'évaluations à distance, car nos concurrents essayaient de rattraper le retard à la suite du coronavirus. les centaines de personnes qui soutiennent ces types de projets, plusieurs projets à la fois. Ces chiffres peuvent être critiques, car vous avez parfois 10 jours pour parcourir ces données et obtenir une liste de divulgation, juste en fonction de vos obligations. C'est particulièrement vrai pour les données sur les soins de santé.

Et certainement, nous aimons lancer une extraction, c'est avec une analyse de jauge. Encore une fois, standard pour tous les examens que nous effectuons et aussi pour toute extraction. Ce que nous faisons ici, c'est que nous obtenons un échantillon statistique de la population dont la portée est ou un ensemble précédent de documents sélectionnés par HayStackID Review Management et/ou un avocat externe, et nous mettons tous les évaluateurs sur le même ensemble de documents au début d'un projet. C'est un excellent moyen de s'assurer que les réviseurs sont parfaitement à l'écoute du jeu de données et des problèmes à résoudre, qu'ils obtiennent ce qu'ils font et qu'ils comprennent quels types de données sensibles aux PII et aux PHI que nous recherchons. Et cela nous permet de corriger toute personne qui est désactivée, ou parfois il y a même une déconnexion entre les avocats extérieurs lorsque nous commençons à voir qu'ils codent tous les documents ou font l'extraction différemment.

Et vraiment, pour toutes ces questions, le plus grand nom du jeu ici est de savoir comment réduire la population que vous regardez. Et c'est quelque chose que nous essayons toujours de faire pour tout problème HayStackID qui entre dans nos murs, qu'il s'agisse d'une deuxième demande ou d'une violation de données, partout où nous pouvons utiliser n'importe quel type d'analyse de données pour réduire la portée de l'univers de révision de documents qui permettra toujours à nos clients d'économiser de l'argent. Pour revenir à ces statistiques originales, environ 150 dollars par document du point de vue de la divulgation, 450 dollars si vous êtes une agence de santé ou un fournisseur de soins de santé.

Et certains d'entre eux sont dans le sens que vous pouvez utiliser sur n'importe quelle question, mais le plus simple sera certainement la déduplication, nous allons toujours recommander la déduplication au niveau de l'élément, le threading des e-mails, l'analyse quasi-dupe, l'analyse de domaine, tout comme essayer de trouver des domaines que nous savons ne pas contiennent des données sensibles ou ils ne devraient pas [turbo explosé] des choses comme ça. L'analyse des termes de recherche est également importante, car nous commençons à entrer dans les données, et nous commençons à voir davantage de faux positifs et nous pouvons identifier d'où viennent ces faux positifs. Parfois, le regex [est finalement touché], en étant capable de combiner ceux avec un ensemble de termes pour commencer à supprimer ces faux positifs, et encore une fois l'échantillonnage statistique. Il y a beaucoup d'échantillonnage statistique. Vous devez être défendable et établir un rapport respirant vivant de ces populations est un élément majeur du flux de travail, de sorte que vous pouvez faire un bon arc comme et si et quand vous commencez à faire l'objet d'une enquête ou d'un examen, des choses comme ça, sur la façon dont l'incident a été géré. C'est la bonne façon de le faire.

Et notre flux de travail consiste à identifier les PHI/PII, qu'il doit être extrait des documents entrés dans un formulaire, ou nous utilisons des plateformes de révision qui autorisent spécifiquement les points, les clics et les collations. Ces données sont classées et associées à des entités, espérons-le à un seul Mike Sarlo. Si vous avez un morceau de moi quelque part comme mon adresse et mon social dans un autre document, ceux-ci seront associés ensemble en tant qu'entité objet unique dans le cadre de ce processus. Nous nous concentrons ensuite sur l'identification de tout ce qui nous permet d'extraire en masse des données sensibles. Vous obtenez de gros Excels, de grandes bases de données, des choses comme celle-ci qui peuvent être gérées du point de vue de l'interface graphique, gérées sur disque, qui identifient toutes ces données en masse, les déplacent séparément et hors du flux de travail, et nous travaillerons avec nos équipes de science des données, nous utilisons différentes plateformes technologiques pour normaliser cela dans l'ensemble. format de la liste de divulgation.

Et puis le QC, et le QC itératif se produit quotidiennement, nous utilisons également des techniques d'intelligence artificielle pour nettoyer la liste des entités. Utilisez également des méthodes classiques de déduplication pour — lorsque vous avez affaire à des dizaines de milliers, sinon des millions d'entités individuelles, et souvent, il peut s'agir de millions.

Et les rapports quotidiens ici seront toujours personnalisables. Encore une fois, des équipes spécifiques vont chercher des éléments à signaler de différentes manières, et nos modules ReviewRight Reporting permettent une personnalisation complète de la sortie de rapports au cours de toute extraction ou révision. Ici, nous avons vraiment divisé les choses par catégories d'IPI, rythme, choses comme celui-là sont superposés. Donc, c'est génial, vous commencez donc à comprendre quel type de risque se produit au jour le jour, sinon à l'heure en utilisant des tableaux de bord au début d'une révision, ce qui peut changer votre stratégie en ce qui concerne la façon dont vous envisagez de gérer quelque chose comme la divulgation.

Et enfin, notre dernière diapositive ici et certainement si vous avez des questions, n'hésitez pas à les saisir dans la zone Question, nous sommes en quelque sorte à l'heure pour répondre aux questions. Tout cela se résume à la normalisation, à l'obtention du gâchis des humains qui touchent des données ou qu'une machine touche des données, et ils manquent des choses, ou ils saisissent des caractères aléatoires, et les transmettent dans un format qui peut être utilisé, fondamentalement, envoyer, la plupart du temps, des envois de masse, « vous avez été violé, voici un carte d'usurpation d'identité gratuite pour l'année prochaine, comme dotcom ».

Je reviendrai à John Brewer pour passer en revue certaines de ces techniques, puis nous terminerons avec Q et A.

John Brewer

Bien sûr, merci beaucoup, Mike.

Ainsi, comme le disait Mike, nous avons une variété d'outils différents que nous utilisons pour normaliser et dédupliquer les entités une fois que nous avons la grande liste de tout ce qui pourrait être. Donc, encore une fois, nous utilisons des techniques classiques de déduplication comme SoundEx, des surnoms, des abréviations courantes, des techniques qui existent depuis les années 1980, essayées et vraies et qui peuvent le faire dans votre sommeil, des techniques de traitement très peu coûteuses. Et évidemment, tout cela alimente la revue humaine. Nous n'avons jamais de machine qui prend cette décision unilatéralement. Toutes ces technologies prennent en charge l'aspect de l'évaluation humaine, et il est important de souligner chaque fois que nous travaillons avec l'IA dans un domaine juridique.

Maintenant, les techniques modernes, encore une fois, nous avons Template Matching, qui rassemble les données et rassemblant des entités où nous avons des modèles particuliers dans les données que nous recherchons, qui associent un client ou, je suppose, tout type d'entité à un élément d'information particulier susceptible de déclencher une notification exigence. Et nous utilisons des modèles d'apprentissage automatique, à la fois des modèles statiques réalisés par des fournisseurs et la capacité interne de former des modèles pour des cas spécifiques où nous disposons de jeux de données volumineux mais uniques. Ces modèles produisent des scores de confiance et de précision, que nous n'utilisons pas encore l'IA pour remplacer les évaluateurs humains, nous l'utilisons pour augmenter les évaluateurs humains, pour marquer essentiellement sur le terrain, ce sont les endroits les plus précieux pour creuser, ce sont les endroits où nous devrions dépenser nos dollars de révision. afin d'obtenir les meilleurs résultats.

De cette façon, nous nous sommes vraiment distingués au sein de l'industrie et en déployant ces technologies, et pas seulement en les déployant, en les opérationnalisant et en les préparant à partir quelques jours après qu'un événement se produise, de sorte que ces questions et ces réponses soient à la fois l'utilisateur final et ses conseils. et les personnes qui ne savent même pas encore qu'elles ont été exposées attendent d'arriver le plus rapidement possible.

Michael Sarlo

Il ne semble pas y avoir de questions, et nous apprécions que tout le monde se joigne.

N'hésitez pas à nous contacter. Tout le monde est sur le site Web, heureux de répondre à toutes les questions, d'approfondir davantage cela. Nous travaillons avec les organisations pour consulter les plans d'intervention en cas d'incident et les processus de test de fumée. Nous pouvons travailler avec vous pour simuler ces étapes post-brèche et certainement quelque chose que si vous êtes une organisation, que vous attendez à une brèche ou que vous voulez être plus préparé, il est vraiment important de comprendre les stress qui vont au-delà de vos plans habituels de réponse aux incidents lorsque vous commencez à vous lancer. ces types d'exercices sont davantage axés sur la divulgation.

Je tiens juste à remercier encore une fois tout le monde et merci beaucoup de m'avoir rejoint. Je vais donner un coup de pied à Rob Robinson pour nous fermer.

Clôture

Merci, Michael, et merci à tous les membres de l'équipe pour l'excellente information et la perspicacité d'aujourd'hui. Nous l'apprécions vraiment. Nous tenons également à remercier tous ceux qui ont pris le temps de participer à la webdiffusion d'aujourd'hui en dehors de votre horaire. Nous savons à quel point votre temps est précieux et nous sommes reconnaissants que vous l'ayez partagé avec nous aujourd'hui.

Nous espérons également que vous aurez l'occasion d'assister à notre prochaine webdiffusion mensuelle, prévue pour un mois à partir d'aujourd'hui 17 mars à 12 h, heure de l'Est, et elle portera sur le thème de la sécurité à distance et des données dans les examens juridiques. Dans cette présentation d'experts, les experts en sécurité d'entreprise, les autorités d'examen des données et des documents juridiques et certains innovateurs technologiques de pointe expliquent comment les entreprises se préparent et réagissent aux défis croissants de sécurité et de confidentialité dans le monde éloigné d'aujourd'hui. Nous espérons que vous pourrez y assister.

Merci encore d'être présent aujourd'hui. Restez au chaud, en sécurité et en bonne santé. Et cela conclut la webémission d'aujourd'hui.

CLIQUEZ ICI POUR TÉLÉCHARGER LES DIAPOSITIVES DE PRÉSENTATION

2021.02.17 - HayStackID - C'est seulement une question de temps - Webcast PPT

CLIQUEZ ICI POUR LA PRÉSENTATION À LA DEMANDE