[Webcast Transcript] Ransomware, Incident Response und Cyber Discovery: Verlauf, Lösungen und KI-Workflows

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Anmerkung des Herausgebers: Am 11. August 2021 teilte HayStackID einen Bildungs-Webcast mit, der Cybersicherheit, Information Governance und eDiscovery-Experten darüber informiert und aktualisiert wurde, wie Unternehmen Cyber-bezogene Vorfälle vorbereiten, ansprechen und darauf reagieren können.

Während die vollständig aufgezeichnete Präsentation für die On-Demand-Ansicht verfügbar ist, wird Ihnen eine Abschrift der Präsentation sowie eine Kopie (PDF) der Präsentationsfolien zur Verfügung gestellt.

[Webcast Transcript] Ransomware, Incident Response und Cyber Discovery: Verlauf, Lösungen und KI-Workflows

In dieser Präsentation teilten Experten in den Bereichen Reaktion auf Cybersicherheitsvorfälle, Cybererkennung und Datenschutz mit, wie Unternehmen Cyber-bezogene Vorfälle vorbereiten, ansprechen und darauf reagieren können. Von der Sanierung von Ransomware bis zur Reaktion auf Vorfälle hob die Präsentation modernste Datenerkennungstechnologien und bewährte Dokumentenüberprüfungsdienste hervor, um die nach Verstößen und Offenlegung vertraulicher Daten gesetzlich vorgeschriebenen Erkennungs-, Identifizierungs-, Überprüfung- und Benachrichtigungsprozesse zu unterstützen.

Highlights im Webcast

+ Es ist nur eine Frage der Zeit: Statistiken über Sicherheitsvorfälle und die Geschichte der Ransomware

+ Die ersten 48: Erkennung und Klassifizierung von elektronischen Sicherheitsvorfällen

+ Effektives IR-Plandesign: Einfachheit, Skalierbarkeit und über die technischen Details hinaus

+ Entdeckung nach der Verletzung: Workstream-Überblick, Verwendung von KI und Folgenabschätzung Reporting

+ HayStackID ReviewRight Protect: Workflow zur Überprüfung und Extraktion nach Verstößen

Experten präsentieren

+ Michael Sarlo: Michael ist Chief Innovation Officer und Präsident von Global Investigation und Cyber Discovery Services für HayStackID.

+ Mary Mack: Mary ist CEO und Chief Legal Officer des Electronic Discovery Referenzmodells.

+ John Brewer: Als Chief Data Scientist ist John Leiter Advanced Technology Services für HayStackID.

+ John Wilson: Als CISO und President of Forensics bei HayStackID ist John zertifizierter forensischer Prüfer, zugelassener Privatdetektiv und IT-Veteran mit mehr als zwei Jahrzehnten Erfahrung.

+ Jenny Hamilton: Als stellvertretende General Counsel für Global Discovery and Privacy bei HayStackID ist Jenny die ehemalige Leiterin des Global Evidence Teams von John Deere.

Präsentation Transkript

Einleitung

Hallo, und ich hoffe, du hast eine tolle Woche. Mein Name ist Rob Robinson, und im Namen des gesamten Teams von HayStackID möchte ich mich bei Ihnen bedanken, dass Sie an der heutigen Präsentation und Diskussion mit dem Titel „Von Ransomware zu Cyber Discovery: History, Solutions und KI-Workflows“ teilgenommen haben. Der heutige Webcast ist Teil der monatlichen Reihe von Bildungspräsentationen von HayStackID im BrightTalk-Netzwerk und wurde entwickelt, um Cybersicherheit, Information Governance und eDiscovery-Profis bei Problemen mit Cybersicherheit und Cybererkennung zu helfen. Der heutige Webcast wird zur zukünftigen Betrachtung im BrightTalk-Netzwerk und von der HayStackID-Website aufgezeichnet.

HayStackID freut sich auch heute, unsere Unterstützung in Zusammenarbeit mit dem Electronic Discovery Reference Model hervorzuheben. Die EDRM unter der Leitung von CEO und Chief Legal Officer Mary Mack schafft praktische Ressourcen zur Verbesserung von eDiscovery, Datenschutz, Sicherheit und Information Governance. Seit 2005 hat die EDRM Führungsstandards, Tools, Leitfäden und Testdatenstatusschritte zur Stärkung der bewährten Praktiken weltweit bereitgestellt. Derzeit ist die EDRM in mehr als 113 Ländern auf sechs Kontinenten international präsent, und sie wachsen weiter, und wir sind heute auch dankbar, dass Mary Mack heute als Rednerin ist. Mary ist Autorin von „The Process of Elimination: The Practical Guide to Electronic Discovery“, das von vielen als das erste beliebte Buch über eDiscovery angesehen wird, und sie erhielt ihren Juris Doctor von der Northwestern University Pritzker School of Law, und sie besitzt auch ihren Nachweis von CISSP oder Certified Fachmann für die Sicherheit von Informationssystemen. Willkommen, Mary.

Mary Mack

Danke, Rob.

Rob Robinson

Wir freuen uns auf jeden Fall, dass wir Sie heute teilen können. HayStackID freut sich auch, unsere Partnerschaft mit der Association of Certified eDiscovery Specialists, besser bekannt als ACEDS, hervorheben zu können, und ACEDS bietet Schulungen, Zertifizierungs-, Berufsentwicklungskurse in eDiscovery und verwandten Disziplinen an, und wir freuen uns, bei Bemühungen mit ihnen zusammenzuarbeiten wie der heutige Webcast. Neben Miss Mary Mack hat heute einige fachkundige Moderatoren, die als einige der führenden Fachexperten in Bereichen gelten, die von der Reaktion auf Cybersicherheitsvorfälle bis hin zur Cyberforschung reichen. Mary, würdest du dir die Ehre tun, unsere Experten heute vorzustellen?

Mary Mack

Das würde ich mich sehr freuen, Rob. Wir freuen uns sehr bei EDRM, mit HayStackID ID zusammenzuarbeiten und ein so aktuelles Thema zu teilen. Also, zuerst ist Michael Sarlo. Er ist Chief Innovation Officer, President of Global Investigations and Cyber Discovery Services für HayStackID, und natürlich erleichtert er den Betrieb für alles digitale Forensik und Rechtsstreitigkeiten sowohl in den Vereinigten Staaten als auch auf der ganzen Welt. Und dann bin ich das nächste. Du weißt wer ich bin. Und der nächste ist John Brewer und Chief Data Scientist, und ich muss sagen, dass ich es absolut liebe, dass Datenwissenschaftler sich an der Cyberforschung beteiligen. Es ist einfach eine wunderbare Sache und die Bildung um das für unsere größere Gemeinschaft herum. John ist Leiter Advanced Technology Services für HayStackID und hat für Dutzende von Fortune 500-Firmen in Rollen gearbeitet, die von eDiscovery über Datenmigration bis hin zu Informationsverantwortung reichen, und hat daher eine sehr breite Oberfläche, um diese Probleme anzugehen. Und wir haben auch unseren Freund John Wilson. Er ist der CISO und Präsident der Forensik für HayStackID, und neben der gesamten Technologie, der Forensik und der elektronischen Entdeckung ist er auch ein Experte, und das ist eine seltene Sache in unserer Branche, und wir sind sehr, sehr glücklich, John bei der Präsentation zu haben. Und dann haben wir Jennifer Hamilton, die ich zum ersten Mal bei ihrem Auftritt bei John Deere kennengelernt habe, wo ich nicht glauben kann, dass es 14 Jahre waren, die Entwicklung davon prägte und das eDiscovery-Operationsteam dort als Leiterin ihres globalen Beweisteams bei John Deere leitete, und sie ist die stellvertretende General Counsel für Global Entdeckung und Datenschutz für HayStackID.

Und damit haben wir eine ziemliche Agenda für Sie, und ich werde es Mike übergeben, um uns durch unsere Diskussion zu führen.

Kern-Präsentation

Michael Sarlo

Vielen Dank, Mary, Rob, und vielen Dank, dass Sie heute beigetreten sind. Wir hoffen, dass dies eine informative Präsentation ist. Wir werden Fragen beantworten. Bitte pfeffern Sie so viele wie Sie möchten. Wir werden versuchen, zu allen von ihnen zu kommen. Die heutige Präsentation auf hohem Niveau ist auf Ransomware, Sie und ich und eDiscovery und den Kreuzungen, und wir werden wirklich über einige Statistiken sprechen. Ich denke, es ist wichtig, dass jeder weiß, wie wir dahin gekommen sind, wo wir sind, was das Lösegeld-Ökosystem angeht. Wir werden sozusagen mehr über die ersten 48 Stunden sprechen, im Falle eines Kompromisses, jeglicher Art von Sicherheitsvorfällen und Best Practices dort. Wir werden es zu Jenny starten, um uns wirklich mit einem effektiveren Entwurf eines effektiveren Vorfallreaktionsplans zu befassen und wirklich über einige der technischen Details hinauszugehen, insbesondere wenn eDiscovery-Praktiker sich möglicherweise verlobt haben, die möglicherweise nicht über die typische Fähigkeit zur Reaktion auf Vorfälle verfügen, wenn wir denken über den Cyber-Vorfall, und wir werden heute erfahren, dass es viel mehr gibt, als einfach nur einen Verstoß zu besiegelen.

Wir werden darüber sprechen, was eine Entdeckung nach dem Verstoß ist. Was heißt das? Wie verwenden wir KI? Wie wirkt sich das auf die Datenschutz-Workflows aus, mit denen wir alle seit vielen Jahren zu tun haben? Und dann sprechen Sie über das ReviewRight Protect-Angebot von HayStackID und unseren Ansatz für menschliche Überprüfung und Data Mining und darüber, wie wir Synergien gewinnen, indem wir neue Arten von KI in diesem Bereich nutzen.

In erster Linie haben wir in erster Linie seit 2010 eine massive Explosion in Bezug auf Cyberkriminalität und Cyberkriegsführung erlebt, und ich denke, dass dies eine wirklich wichtige Unterscheidung ist, insbesondere in Bezug auf die Art und Weise, wie wir mit Verstößen umgehen, die Technologie, die wir nutzen können, die Reaktion auf sie, die Zahlungen und nur die Herangehensweise und der Gesamtfluss des gesamten Paradigmas zur Reaktion auf Cybervorfälle und aller beteiligten Akteure, und es gibt viele von ihnen. Wir haben eine ziemlich große Explosion von Vorfällen erlebt und viele Identitäten kompromittiert, einige wirklich große Verstöße im Jahr 2017/2018. Diese Statistik hier ist ab 2021 frisch und bietet einen ziemlich genauen Rückblick auf gemeldete Verstöße, und das ist wirklich etwas, das zu beachten ist, da viele Organisationen möglicherweise verletzt werden, ein Lösegeldereignis haben, Daten möglicherweise exfiltriert haben und möglicherweise keine regulatorische Anforderung haben, diesen Verstoß zu melden, je nachdem, was Art der Kundendaten wurde zugegriffen. Wir haben Fälle gesehen, in denen sehr große Organisationen einen Vorfall hätten melden sollen und dies nicht getan haben, und sie litten unter den Folgen eines Standpunkts für zivilrechtliche Rechtsstreitigkeiten. Wir sehen also, dass die meisten mittelgroßen und großen Organisationen dazu neigen, nicht mehr in diese Richtung zu gehen, obwohl Reputationsprobleme, Markenmanagement, Kundenprobleme einige Organisationen dazu bringen können, an einer Veranstaltung zu arbeiten, bei der sie möglicherweise nicht der Meinung sind, dass sie es melden müssen.

Also, diese Zahlen sind eigentlich sehr niedrig, ist die kurze und süße davon. Es ist von Tag zu Tag viel mehr vor sich, besonders im Regierungsbereich. Manchmal treten monatlich Tausende von Mini-Verstößen auf, was unsere Infrastruktur und unsere Regierungsbehörden betrifft, und es gibt auch mehr Berichtsmetriken, die dort ans Licht kommen und die Verbindung zwischen dieser Zahl hier und dem, was Zehntausende sein können Regierungsseite sollte Ihnen das Gefühl geben, dass dies in hohem Maße berichtet wird. Allein im Jahr 2020 hatten wir etwa 300 Millionen PHI, PII, sensible Daten kompromittiert. Das waren viele Briefe, in denen Sie und ich gebeten wurden, sich für eine kostenlose Kreditüberwachung anzumelden, die mit Sicherheit ausgegangen ist.

John Wilson

Ja, und nun, Mike, ich möchte nur eines der Dinge hinzufügen, wenn man sich die Statistiken anschaut, man sieht diese Spitzenzahl im Jahr 2017, aber man muss auch erkennen, dass die Angreifer viel geschickter darin geworden sind, in dem, was sie tun, sehr zielgerichtet zu sein. Sie bekommen also einen sehr reichhaltigen Datensatz, und nicht nur - es hat früher nur die Welt gepackt, was auch immer wir in die Finger bekommen können, wir greifen ihn. Jetzt sind sie sehr fokussiert, sehr zielgerichtet und sehr absichtlich darüber, welche Daten sie erfassen oder welche Informationen kompromittiert werden. Während die Zahlen also etwas niedriger sind als vor drei, vier Jahren, ist der Schaden erheblich höher.

Michael Sarlo

Das stimmt, und wir werden über die Entwicklung dessen sprechen, wo wir uns befinden, was die Welt und die Cyberseite eher als Spieljagdtaktik bezeichnen.

Also, durchschnittliche Kosten eines Verstoßes, wir arbeiten an allen verschiedenen Größen und Maßstäben der Materie, einige sind sehr transaktional und verwaltet, einige sind sehr hoch. Die globalen Durchschnittskosten beliefen sich auf etwa 3,86 Millionen US-Dollar. Hier in den USA höher, etwa 8,64 ab 2020, und das macht nicht unbedingt einen Teil des tangentialen Einnahmeverlustes aus, der im Falle eines großflächigen Verstoßes auftritt. Vieles davon hängt mit Workflows nach legalen Ausgaben zusammen, genau wie wenn wir an das alte Sprichwort eDiscovery denken, wo vielleicht die ersten 15% des Budgets die Datenlake-Erfassung sind, vielleicht ist es jetzt auf 10% gesunken, vielleicht sind die anderen 15% mit der Verarbeitung und dem Hosting von eDiscovery verbunden, früher waren wahrscheinlich etwa 25 Jahre, Die Preisgestaltung ist gesunken, und alles andere bezog sich auf die Überprüfung von Dokumenten und die Bewegungspraxis. Sie können über das gleiche Paradigma der Ausgaben und der Budgetierung nachdenken wie die Versiegelung des Verstoßes, der Umgang mit den Verteidigungsempfehlungen und der Forensik arbeiten, um verschiedene Arten von Kompromissindikatoren zu verfolgen und zu verstehen. Wir hören dieses Wort IoCs. Es waren wahrscheinlich mehr als 30% der Ausgaben hier, der Rest zielt darauf ab, PII zu identifizieren, auf verschiedene Aufsichtsbehörden zu reagieren, und wirklich einen sehr großen legalen Arbeitsstream und oft auch einen technologiefähigen Workstream.

Und um Ihnen ein Gefühl zu geben, wenn Sie das Excel auf Ihrem lokalen Desktop oder auf einer Netzwerkfreigabe gespeichert haben, die möglicherweise einige Informationen enthält, die Sie nicht sollten, liegen die durchschnittlichen Kosten für einen gestohlenen Datensatz hier in den USA bei etwa 146 US-Dollar, etwa 1,58 US-Dollar, und Gesundheitsunternehmen werden tendenziell sehr hart getroffen, und es gibt viele persönliche Daten sind viele Systeme involviert, und ihre Verpflichtungen, die in der Regel einen höheren Balken erfüllen, und im Allgemeinen hat die OCR unterschiedliche Qualifikatoren, soweit wer im Falle einer Datenschutzverletzung benachrichtigt werden muss. In der Regel für die meisten Unternehmen, die nicht gesundheitsorientiert sind, die keine Pflege bieten, Gesundheitsdaten verwalten, eine Art identifizierbarer PII, Ihr soziales und Ihren Namen oder ein zweiphasiger Ansatz haben, würde ein zweiphasiger Ansatz eine Benachrichtigung auslösen, Ihr Name allein würde keine Benachrichtigung auslösen und für das Gesundheitswesen zählt, das hat sich seit kurzem geändert. Wenn nur Ihr Name im Datensatz angezeigt wird, würde die Organisation eine Belastung darstellen, Sie zu benachrichtigen.

Die durchschnittlichen Kosten für das Senden eines Benachrichtigungsschreibens sind ein End-to-End-to-End-Buck, nur um diesen Brief zu senden. Es ist höher, wenn Kreditüberwachungsdienste angeboten werden, und es sind wirklich weniger als 10% derjenigen, die einen Brief erhalten, wenn nicht sogar niedriger, die sich tatsächlich für die Kreditüberwachung anmelden. Also etwas, worüber man sich bewusst sein muss. Viele dieser Fakten und Statistiken konzentrieren sich auf gemischte Raten, aber ich bekomme manchmal viele Fragen, die das betreffen, und von nur Asset-Tests mit Leuten landen wir normalerweise dort.

Also werde ich John Wilson ansprechen, nur um über Ransomware zu sprechen, wie sie funktionieren und was wir im Allgemeinen außerhalb von Ransomware sehen, wie ein Lösegeld in Unternehmen gelangen könnte und/oder wie ein Unternehmen im Allgemeinen über eine Reihe verschiedener Vektoren kompromittiert werden kann.

John Wilson

Danke, Mike. Ransomware ist also im Wesentlichen, Sie können es sich als einen Virus oder ein bösartiges Programm vorstellen, das auf Ihrem Computer ausgeführt wird, und sie können auf viele verschiedene Arten dorthin gelangen. Der Hauptunterschied zu Ransomware gegenüber anderen Viren- oder bösartigen Programmaktivitäten besteht darin, dass die meisten Ransomware versucht, Ihre Daten zu verschlüsseln und in einen verschlüsselten Bucket zu legen, damit Sie keinen Zugriff mehr auf Ihre Daten haben, und die ursprünglichen Ransomware-Modelle waren sehr genau so, dass es nur sagen würde, hey, ich habe jetzt verschlüsselt alle Daten auf Ihrem Computer, und Sie müssen mir ein Lösegeld zahlen, um wieder in Ihre Daten zu gelangen, was auch immer diese Daten sind. Und diese Ransomware-Angriffe nehmen viele Formen an, sie können Phishing-Angriffe durchlaufen, sie können viele verschiedene Wege durchlaufen, ob jemand eine Datei auf Ihr System bekommt, die eine Ransomware auslöst, oder jemand auf eine Phishing-E-Mail in der Organisation klickt, die dann etwas installiert und anfängt zu nehmen über die Maschine.

Die interessante Entwicklung dieser Ransomware-Welt besteht darin, dass sie nicht mehr daran interessiert sind, Ihre Daten nur zu verschlüsseln. Jetzt schaffen sie Dringlichkeit, sie üben Druck auf die Eigentümer und Einzelpersonen aus, weil sie, hey, wir haben alle Ihre Unternehmensdaten, wir haben sie jetzt verschlüsselt, und wir haben sie auch übertragen, wir haben sie heruntergeladen und wir werden sie der Öffentlichkeit weitergeben, wenn Sie uns das Lösegeld nicht innerhalb von sieben Tagen zahlen, oder innerhalb von 10 Tagen oder innerhalb von 30 Tagen, was auch immer es ist, abhängig vom jeweiligen Ransomware-Angriff. Sie konzentrieren sich viel mehr darauf. Sie fangen jetzt an, diese Daten zu exfiltrieren. Sie verwenden diese Daten als Bedrohung. Es gab kürzlich einen Fall, in dem ein CEO eines großen Unternehmens erpresst wurde, weil sie auf seinem Gerät Fotos und Informationen fanden, die ihn in eine sehr kompromittierende Position brachten und der Organisation erheblichen öffentlichen Schaden zufügen würden, und das ist die Art von Dingen, die sie anfangen zu tun angreifen.

Und ähnlich wie wir ein wenig gesprochen haben, als Sie sich die Statistiken angeschaut haben und wir sehen, dass die gemeldeten Lösegeldangriffe zurückgehen, werden diese Lösegeldangriffe viel ausgefeilter. Es ist also nicht die alten Zeiten, in denen man eine Phishing-E-Mail mit einer Reihe schrecklicher Schriften und Sätzen erhalten hat, die keinen Sinn ergeben, und vielen Tippfehlern. Microsoft gab gestern bekannt, dass es fast einen exakten doppelten Klon einer Microsoft-Nachricht gibt, die von einer gefälschten Adresse stammt, die aussieht, als käme sie von Ihren internen IT-Systemen. Sie müssen einige Anmeldeinformationen eingeben, und sie sehen sehr legitim aus und sie sind jetzt viel schwieriger zu erkennen. Sie müssen sehr vorsichtig sein, was Sie in einer E-Mail anklicken, und das ist nur ein Beispiel für die Raffinesse. Die Raffinesse hat sich auch dahin bewegt, wo sie nicht mehr nur sind, hey, ich werde Sachen rausstellen und sehen, wen ich online bekommen kann und wer meine Phishing-E-Mails ausführen wird. Sie senden Phishing-E-Mails an bestimmte Personen, die sie in diese spezifischen Netzwerke und diese spezifischen Ressourcen einbeziehen möchten. Sie sind deutlich zielgerichteter, und das bringt erhebliche Herausforderungen mit sich, da sie ausgehen und diese Social-Media-Informationen nutzen, um wirklich sicherzustellen, dass sie gute Chancen haben, ihren Angriff auszuführen.

Michael Sarlo

Und es wurde zunehmend in ein hochentwickeltes Geschäftsmodell für Bedrohungsakteure und die Art und Weise, wie sie zusammenarbeiten, verwandelt. Sie arbeiten in Kartellen, es sind kriminelle Organisationen mit Hierarchien und Organigrammen. Es gibt ein ganzes Netzwerk hochentwickelter, ausgefeilter webbasierter Tools, die eine Zusammenarbeit zwischen verschiedenen Akteuren mit unterschiedlichen Fähigkeiten auf dem Lösegeldmarkt ermöglichen. Diejenigen, die nach Schwachstellen suchen oder nach Zielen suchen, können dann mit einer Plattform zusammenarbeiten, die auf Knopfdruck Lösegeld einsetzen könnte. Es gibt dann Verhandlungsführer, die eingerichtet sind, um Lösegeldzahlungen zu verhandeln und zu erleichtern. Die erste Ransomware, die jemals in den 80ern dokumentiert wurde, war der AIDS-Trojaner, der eigentlich eine Diskette war, die Sie aufgetaucht haben, und dann verschlüsselte sie Ihren Computer und Sie mussten Geld an ein Postfach mit etwa 200 Dollar senden, um zu versuchen, diese Daten wiederherzustellen. Die Adventsexplosion und was wir hier mit Lösegeld sehen, korreliert wirklich direkt mit der Morgendämmerung und dem Aufstieg von Bitcoin. Das ist das Schlüsselelement hier, indem man die Geldsammlung anonymisieren kann, um jemandem seine Dateien zurückzugeben, und wieder, wie John erwähnte, reicht es nicht aus, nur Backups zu haben. Sie werden Ihre Daten gleichzeitig exfiltrieren. Normalerweise wird vorher jemand in Ihrem Netzwerk sein, Sie werden es nicht bemerken, es sind Daten außerhalb, und dann erpresst er Sie, und Sie befinden sich im Grunde genommen in einer Position, die Sie selbst wenn Sie die Daten wiederherstellen könnten, wenn Sie dieses Lösegeld nicht zahlen, Sie im Grunde genommen Daten beschämen werden. Sie werden es auf öffentlichen [e-Zines] veröffentlichen, und sie werden es an die Medien weitergeben, und alle Kundendaten können ausgehen, und es kann sehr schlecht sein.

Wirklich wichtig und immer eine Überlegung bei der Zahlung eines Lösegeldes ist das Konzept der Zuordnung, wer tatsächlich der Angreifer ist, und wir, HayStackID, alle Incident Response Unternehmen, arbeiten alle an dem, was als Angreifer als Fingerabdruck bezeichnet wird, während jeder Veranstaltung zusammen, um zu verstehen, wer tatsächlich hinter dem steckt angreifen. Es könnte erhebliche Auswirkungen haben, wenn ein Lösegeld an einen staatlich sanktionierten Akteur gezahlt wird. OFAC kommt rein, das gefällt ihnen nicht, und viele dieser Organisationen brandmarken neu. Sie verschwinden und rebrandieren, sobald sie einen großen Hit bekommen haben. Das politische Klima auf globaler Ebene wirkt sich vollständig auf die Anzahl der Angriffe aus, die wir sehen. Es wird als Kriegstaktik verwendet, um politische Entscheidungen auf globaler Ebene zu beeinflussen. Wir verzeichneten im vergangenen Jahr einen massiven Anstieg der Lösegeld-Ereignisse. Es schien etwas mit den Verhandlungen über die Nord Stream 2-Pipeline zu korrelieren, und dann jetzt mit einem Rückgang. Es gibt also andere Elemente, die in einige dieser größeren Ereignisse eingehen, die wir sehen, und die meiste Zeit sind sie wahrscheinlich staatliche Akteure, die es ihnen erlauben, zu passieren oder sie für diese sehr großen berichtenswerten Angriffe zu erleichtern, aber es gibt eine Menge, die in typischen kriminellen Unternehmen passiert als gut.

Das ist also die kurze Geschichte des Lösegeldes, und es geht nicht weg. Es wird sicherlich ausgefeilter, und es gibt auch andere Methoden, auf die sie sich bewegen.

John Wilson

Ja, und nur ein letzter kurzer Kommentar, den man dort einwerfen kann, bezieht sich nur auf die Raffinesse und den Fortschritt. Die meisten Leute haben wahrscheinlich schon von den Kaseya-Angriffen gehört, und dort haben sie tatsächlich eine ganze Lieferkette Software kompromittiert, die von einem Unternehmen verkauft wurde, das IT-Supportdienste erbrachte - von einem Unternehmen, das Software für IT-Supportdienstleistungsunternehmen zur Verfügung stellte, und dann gingen sie nur zum Corporate, der Hauptsitz, und sagte: Hey, wir haben 700 Ihrer Kunden kompromittiert, zahlen uns X, oder wir werden alle Ihre Kunden in die Luft jagen. Und darüber hinaus verhalten sich ein paar große Player in der Cyberwelt der Ransomware jetzt tatsächlich wie Risikokapitalgeber für den Rest der Ransomware-Welt und sagen: Hey, du gehst da raus, wir finanzieren dich, und wenn du ein paar Einbrüche bekommen kannst, werden wir eine Aufteilung der Einnahmen nehmen, und das ist ein völlig neues Modell das hat sich gerade dieses Jahr entwickelt. Die Angriffe werden also definitiv deutlich fortgeschrittener und beängstigender. Danke.

Michael Sarlo

Danke, John. Also werden wir mit John Brewer, unserem Chief Data Scientist, beginnen, auch außerordentlicher Vorfallsreaktion und aller Dinge IT, um über die ersten 48 hier zu sprechen und wie Sie reagieren und über jede Reaktion auf einen Sicherheitsvorfall nachdenken sollten. Geh weiter, John.

John Brewer

Vielen Dank, Mike. Also ja, ich spreche von den ersten 48 Stunden, nachdem Sie entdeckt haben, dass Sie getroffen wurden, aber bevor ich darüber spreche, werde ich ein wenig über Anzeichen sprechen, dass Sie gleich getroffen werden. Jetzt werden sich diese von Monat zu Monat ändern, daher ist es wichtig, mit den Empfehlungen von jedem Ihrer Cybersicherheitsanbieter Schritt zu halten, aber die Dinge, die über die Jahrhunderte hinweg ziemlich konsistent sind, teilweise MFA-Logins. Als Zivilisation sind wir ziemlich gut darin geworden, MFA für kritische Unternehmenssysteme einzusetzen, und dies gibt uns ein sehr nützliches Werkzeug in unserem Arsenal. Wenn Ihre IT-Mitarbeiter oder wenn Ihr Sicherheitsteam oder Ihr Security Operation Center als Servicegruppe viele Benutzer sieht, die sich mit dem richtigen Benutzernamen und Passwort anmelden, aber die MFA-Überprüfung nicht bestehen, ist dies ein Zeichen dafür, dass mindestens einer Ihrer Benutzer, manchmal mehrere Ihrer Benutzer, manchmal mehrere Ihrer Benutzer, über wurden kompromittiert und wir haben Angreifer, die sich gerade dabei vertreiben, in der Hoffnung, dass jemand sein Telefon öffnet, die Sicherheitsherausforderung erkennt und sie einfach akzeptiert. Das sehen wir heutzutage immer mehr.

Brute-Force-Angriffe, das sind die gleichen Angriffe, die Sie seit den 90ern gesehen haben, bei denen eine Gruppe aus irgendeinem Grund denkt, dass sie einen Vorteil darin hat, das Administratorkennwort zu erraten, einen Hinweis hat, sie hat etwas Intelligenz, die sie glauben lässt, wenn sie eine Liste von 100.000 oder eine Million Passwörter, die eines davon auf jedem Konto oder jeder Systeme funktionieren wird, auf die sie abzielen. Ein plötzlicher Anstieg bedeutet, dass jemand denkt, dass es sich lohnt, diese Ressourcen auf Ihr System zu werfen.

Phishing-E-Mails landen mit seltsamen Domains, jetzt beginnt diese ein wenig veraltet zu werden. Wie John Wilson bereits sagte, sehen wir einen radikalen Anstieg der Raffinesse von Phishing-E-Mails, die Kunden und Opfer von Ransomware-Angriffen treffen. Wenn Sie also Phishing-E-Mails sehen, die von Domains stammen, die fast die Domain Ihres Unternehmens sind, oder fast die Domain Ihrer Bank, z. B. ein I und ein L im Namen umgedreht haben, wobei ein O durch eine Null ersetzt wurde, solche Dinge, Dinge, die die meisten Benutzer nicht sofort aufgreifen würden. Alles, was so kommt, insbesondere von Finanzinstituten, ist ein Hinweis darauf, dass jemand Ihre Organisation aktiv jagt.

Springen Sie Boxen, die sich drehen. Dies ist wieder etwas, das wir in der Vergangenheit mehr gesehen haben. Jump Boxen kommen in der IT aus der Mode, aber sie sind definitiv etwas, das an vielen Stellen immer noch da draußen ist. Für jeden, der es nicht weiß, ist eine Sprungbox eine Maschine, die sich im sicheren Bereich des Netzwerks befindet, aber von außen darauf zugreifen kann. Normalerweise darf es nur von ein paar verschiedenen IP-Adressen aus verbunden werden, normalerweise vom Haus des CIO oder dem Wohnsitz des Systemadministrators oder einem anderen Büro, aber wenn einer dieser Standorte kompromittiert wird, werden Angreifer dies weiterleiten, um diese Hintertüren über die Firewall zu nutzen. Wenn sich diese zu Zeiten drehen, von denen Sie nicht erwarten, oder sie beginnen, viele Anfragen an das Netzwerk zu senden, ist dies eines der Anzeichen dafür, dass wir bald getroffen werden.

SMB, Kerberos, LDAP, im Grunde genommen jedes Mal, wenn Ihre Authentifizierungs- oder Filesharing-Protokolle Anfragen von unerwarteten Orten erhalten, ist das klassische Beispiel hier, wenn der Perimeter-Router für Ihr Netzwerk plötzlich nach Buchhaltungsdateien fragt, dies ist wahrscheinlich ein Zeichen dafür, dass dies nicht sollte. Die meisten Unternehmen werden Sicherheitsmaßnahmen für ihre sensibelsten Daten haben, damit sie nicht sofort auf diese Weise herausgenommen werden, einige jedoch nicht. Und wenn dieser Ansatz nicht funktioniert, werden diese Angriffe wieder von Menschen angetrieben, die andere Angriffe, andere Veranstaltungsorte und andere Vektoren ausprobieren, wenn sie versuchen, in Ihr System zu gelangen.

Broadcast-Datenverkehr von Point-to-Site-VPNs, dies ist etwas, das wir seit der Pandemie viel mehr sehen. Alle haben alle nach Hause geschickt und alle verbinden sich über VPN mit seinen Büros. Wenn ein Angreifer VPN-Anmeldeinformationen erhält, die von überall aus verwendet werden können, verbindet er sich mit Ihrem Netzwerk, und normalerweise eines der ersten Anzeichen dafür, dass etwas durcheinander gegangen ist, ist, dass er den sogenannten Broadcast-Verkehr aussendet und im Grunde das gesamte Netzwerk anfordert: Hey, was da draußen ist, welche Server sind los, welche Dienste sind verfügbar? Das ist selten etwas, was normale Benutzer im Netzwerk tun. Es lohnt sich, einen Alarm auszulösen, wenn Sie ihn sehen.

Und abrupte Zunahme des Nicht-HTTPS-Datenverkehrs von Clientcomputern. Dies ist eigentlich etwas, das jetzt einfacher zu machen ist, da heutzutage fast alles in Bezug auf Anwendungen, mit denen Benutzer täglich interagieren, über HTTPS läuft. Fast alle Anwendungen, die Benutzer täglich verwenden, laufen über einen Webbrowser, sei es, ob Office über eine Web-API mit Microsoft-Servern über HTTPS spricht, oder ob Benutzer sich bei Dropbox anmelden, oder [Toggle] oder eine andere von einem Dutzend verschiedenen häufig verwendeten Anwendungen. Jedes Mal, wenn wir anfangen, Informationen zu sehen, die nicht über HTTPS aus dem Netzwerk gehen, ist dies oft ein Zeichen dafür, dass wir eine Art Telemetrie von Malware haben, die das Netzwerk exfiltriert, sei es Befehl und Kontrolle oder ob es tatsächlich Dateien und Daten aus diesem System exfiltriert.

Reden wir also direkt darüber, nachdem du tatsächlich getroffen wurdest. Wenn ich darüber rede, rede ich davon, wann du herausfindest, dass du getroffen wurdest. Die meisten Organisationen werden stundenlang, Tage, manchmal sogar Wochen oder Monate infiltriert sein, bevor sie feststellen, dass sie einen Eindringling hatten, und manchmal finden sie nicht heraus, dass sie einen Eindringling hatten, bis sie eine E-Mail vom Angreifer mit Lösegeldforderung erhalten haben. Jetzt, in den ersten 48 Stunden, gibt es ein paar Prioritäten, die wir hier haben. Wir bestätigen, dass tatsächlich auf Daten zugegriffen wurde. Normalerweise wissen wir von Anfang an nicht, wie viele Daten ausgegangen sind. Selbst wenn wir eine Aussage der Angreifer haben, die sagen, wie viel sie haben, ist das nicht unbedingt die Wahrheit, und fast immer wissen die Leute, die dies überhaupt herausfinden, nicht, was ihre rechtliche Exposition oder Verantwortung sind. Das ist nichts, worüber die Leute in ihrer Freizeit einfach nachlesen, weil sie neugierig darauf sind.

In Bezug auf die ersten paar Minuten, nachdem Sie herausgefunden haben, ob Sie eine Führungskraft, ein IT-Profi oder nur ein regelmäßiger Benutzer sind, besteht der erste Schritt darin, nicht zu warten. Unabhängig davon, welche Notfallleitung Sie gerade haben, unabhängig von Ihrem höchsten Eskalationsniveau in Ihrer IT-Organisation oder in Ihrer Support-Organisation ist, verwenden Sie diese Nummer. Seien Sie nicht schüchtern, denn vorausgesetzt, dass das Leck noch aktiv ist, hat das Sperren des Systems zu diesem Zeitpunkt höchste Priorität. Wecken Sie Leute auf, wenn nötig, rufen Sie Leute an, die im Urlaub sind. Ich weiß, dass es aus sozialer Sicht ein Fauxpas ist, aber es ist wirklich wichtig, dass, wenn jemand verfügbar ist, der Ihre Systeme so schnell wie möglich sperren und sichern kann, diese Person kontaktiert wird.

Ändern Sie Passwörter für jedes Konto, das möglicherweise kompromittiert wurde, und scheuen Sie sich nicht, Passwörter an anderen Stellen zu ändern. Wie John Wilson bereits erwähnt hat, könnten die operativen Auswirkungen auf das Geschehen das geringste Ihrer Probleme sein.

Wenn Sie alle Systeme anhalten, die Protokolle drehen oder löschen, wird dies normalerweise von den meisten Organisationen vergessen. Es wird eine Untersuchung geben, es wird Fragen geben, und wenn Protokolle herausgedreht, gelöscht oder anderweitig in Vergessenheit geraten, muss dies sofort gestoppt werden, da Sie möglicherweise Wochen oder Monate in Ihre Logfiles zurückgehen müssen, um festzustellen, was der ursprüngliche Eintrittspunkt ist war, und wenn Sie diese Protokolle nicht haben, wird es Ihre Verantwortung intern übernehmen, herauszufinden, was der Eintrittspunkt viel schwieriger war, und zweitens wird es später nicht gut aussehen.

Sichern Sie alle Backups und wechseln Sie zu Off-Site-Backups. Wir sehen häufig - oder beginnen, Off-Site-Backups zurück auf die Website zu verschieben, sollte ich sagen. Wenn wir aus betrieblicher Sicht ein verschlüsseltes System haben, das tatsächlich entfernt wurde, wenn dies nicht nur ein Schadensausstieg war, sondern tatsächlich Produktionssysteme gestoppt wurden, sollten Sie Ihre externen Backups wieder auf die Site bringen, damit Sie sich darauf vorbereiten können, von diesen wiederherzustellen. Eine Menge Ransomware, die wir heute auf dem Markt sehen, hat ziemlich lange Timer. Wenn Sie also wöchentliche Backups, zwei wöchentliche, sogar monatliche Backups ausführen, könnten Sie die Malware immer noch in Ihrem System aus diesen Backups haben, und wenn Sie die Wiederherstellung wiederherstellen, sehen Sie einfach alles wieder verschlüsselt. Gehen Sie und erhalten Sie die ältesten Backups, die Sie können, auch wenn Sie eine Hybrid-Wiederherstellung durchführen müssen, bei der Sie das System von einem Satz und den Daten von einem anderen wiederherstellen, ist dies möglicherweise der beste Weg nach vorne.

OK, und jetzt die fünf Fragen, die wir wirklich beantworten müssen, nachdem wir herausgefunden haben, dass Sie getroffen wurden. Zunächst einmal, wer wurde entlarvt? Wurden Kundendaten aufgenommen, Mitarbeiterdaten, Lieferantendaten? Andere Informationen, für die Sie verantwortlich sind, der klassische Fall hier sind Kreditauskünfte, aber wenn wir uns in einer PHI-Situation befinden, könnten wir in einer Arztpraxis Patienteninformationen für Patienten haben, die nicht unbedingt Kunden oder Mitarbeiter sind, aber wir sind immer noch dafür verantwortlich und die offensichtlich hätten wurde durch den Verstoß gefährdet.

Wann ist der Angreifer reingekommen und um wie viel Uhr wurden sie ausgesperrt? Auch dies wird sehr wichtig sein, um Fehlerbalken darüber zu setzen, wie viele Daten sie hätten herausbekommen können. Zu wissen, wie lange sie im System waren, kann uns helfen herauszufinden, wie viele Daten in dieser Zeit hätten übertragen werden können und wenn wir Richtlinien zur Datenentsorgung haben, wie weit sie zurück Informationen haben könnten, die wir derzeit als zerstört und gelöscht betrachten.

Wurde irgendetwas geändert? In der Regel sehen wir in der Regel keine Änderungen an Daten, in die Personen hineingehen und Betriebsdaten ändern. Wenn wir sehen, dass Informationen geändert werden, wird es wie Massenverschlüsselungen sein, da wir mit Ransomware vertraut sind, aber es ist auch wichtig zu suchen, ob neue Konten erstellt wurden. Dies ist besonders häufig bei Zielen, die wiederholten Angriffen ausgesetzt sein könnten, bei denen die Angreifer eingehen, eine Reihe von Konten für sich selbst erstellen oder Passwörter auf bestehende und selten verwendete Konten zurücksetzen, damit sie nach der Wiederherstellung wieder einsteigen können, um die Site erneut anzugreifen.

Wurden die Berechtigungen geändert? Dies kann alles sein, von der Anpassung so, dass eine Insider-Person Zugriff auf Daten erhalten kann, die sie nicht sollten, bis hin zum Einrichten einer ganzen Reihe von AWS-Buckets öffentlich lesbar, damit diese wieder von außen gelesen werden können und der Vorfall und der Verstoß nach der Wiederherstellung fortgesetzt werden, vorbei -Erkennung.

Worauf hatten sie Zugang? Häufig ist dies wiederum etwas, auf das Sie nur Fehlerbalken setzen können. Was ist das beste Case-Szenario? Vielleicht hatten sie nur Zugriff auf diese eine Maschine, von der wir sahen, dass sie verschlüsselt wurde. Was ist das Worst-Case-Szenario? Das heißt, OK, wir wissen, dass sie über diese Berechtigungsstufe verfügten und diese Berechtigungsstufe Zugriff auf die gesamte Kundendatenbank oder die gesamte Produktionsdatenbank hatte. Wir wissen nicht, ob sie wussten, dass sie Zugang dazu hatten, also haben sie es vielleicht nicht gelesen, aber das müssen wir in unser Worst-Case-Szenario einbringen.

Und was hast du dann endlich gemacht? Dies ist etwas, das wiederum häufig übersehen wird, aber alles dokumentieren, was Sie als Reaktion auf den Angriff tun, insbesondere wenn Sie kein schriftliches Verfahren haben. Gerade in den ersten Stunden und Tagen danach wird jede Maßnahme nach Treu und Glauben, um den Schaden einzudämmen und zu versuchen, die Daten zu schützen, auch wenn sich dies später als strittig herausstellt, später berücksichtigt. Löschen Sie nichts, was keine unmittelbare Bedrohung darstellt, denn es wird wiederum eine Untersuchung geben, es wird eine Nachuntersuchung geben, es kann regulatorische Konsequenzen geben, und wenn wir Dinge löschen, die später wohl relevant sein könnten, kann dies unvorhergesehene Folgen haben später in der Untersuchung prozess.

Und so denke ich jetzt, dass ich über das effektive IR-Plandesign an Jenny weitergeben werde.

Jennifer Hamilton

Ja, also sind wir zu dem Teil gekommen, in dem wir herausfinden müssen, was zu triagen ist, wie wir es triagen können, wer zuerst dabei ist. Beginnen wir also, durchzugehen, was einen effektiven Reaktionsplan für Vorfälle ausmacht.

Zuerst haben wir also wichtige Akteure. Wir haben dies mehrmals in einer Reihe verschiedener Webinare rund um Cybersicherheit und Ransomware diskutiert. Wir können nicht genug betonen, um im Voraus proaktiv zu entscheiden, wer das Sagen hat, was die uralte Frage ist. Ist es ES? Ist es legal? Ist es ein externer Anwalt? Wer ist Running Point? Und das kommt oft darauf an, wer Anweisungen geben muss, wer tatsächlich Entscheidungen trifft. Diese Dinge im Voraus sind also unglaublich wichtig, denn was Sie nicht wollen, ist, dass Sie nicht möchten, dass die Person, die einige der schwierigeren materiellen Aspekte der Reaktion auf Vorfälle berät und behandelt, auch dafür verantwortlich ist, alle Entscheidungen zu treffen und zu einem Engpass für die Kommunikation zu werden, und dies kann leicht passieren.

Wann haben Sie also eine rechtliche Verantwortung gegenüber der IT gegenüber anderen Akteuren in einem Unternehmen und einem externen Anwalt. Dies ist also ein Bereich, in dem Sie frühzeitig entscheiden müssen, wer die Entscheidung trifft, welche Arten von Benachrichtigungen möglicherweise gemacht werden müssen, was gemeldet werden muss und an wen und was noch mehr, wenn Sie eine Verletzung der Cybersicherheit gegen Daten haben, die persönliche Informationen und Gesundheitsakten enthalten, wie Mike erwähnt hat früher, oder Sie haben sogar eine Ransomware, wo - ich denke, die Statistiken sind ungefähr die Hälfte der Zeit der Ransomware, die Daten werden tatsächlich exfiltriert und erpresst, dann haben Sie Verpflichtungen, je nachdem, welche Art von Daten Sie Berichte erstellen müssen, und diese Verpflichtungen werden sehr komplex, sehr umfangreich und sehr zeitlich sensibel. Und was ich meine in Bezug auf umfangreiche, da Sie mit einer Benachrichtigung über Verstöße an alle 50 Staaten konfrontiert sein könnten, die OCR, wie Mike sagte, mehrere Länder, Europa ist groß, aber selbst China, Indien und Brasilien könnten heutzutage Teil dieser Benachrichtigung sein, und wenn wir darüber sprechen, es schnell zu tun, sind wir in vielen Fällen innerhalb von 72 Stunden sprechen. Dies wäre also sehr schwierig, wenn derjenige, der auf den Prozess der Meldung von Verstößen eingeht, auch technische Entscheidungen trifft, Anweisungen gibt, sich an externe Anwälte, PR-Firmen, Versicherungen usw. anschließt, um wirklich sorgfältig über die Arbeitsbelastung nachzudenken und wie sie ausgeglichen werden können.

Ein externer Anwalt kann bei diesen Ereignissen eine großartige Führung sein, aber es kommt wirklich nicht unbedingt auf die Rolle an, abgesehen von privilegierten Überlegungen, sondern wirklich Erfahrung und ich werde es einen Regenbogen der Erfahrung nennen, wenn es um die richtigen Leute geht, um mit dem Vorfall zu laufen und all diese verschiedenen Bewegungen zu verwalten Teile, und wenn ich einen Regenbogen der Erfahrung sage, denke ich, dass es wirklich jemand ist, der den Anfang bis zum Ende sehen kann. Der Anfang in Bezug darauf, welche Verträge Benachrichtigungen erfordern, an wen bis hin, wenn dies in Rechtsstreitigkeiten endete, hat diese Person diese Sichtlinie, was ist wirklich die Priorität, um das Unternehmen von Anfang bis Ende zu schützen? Offensichtlich können Datensicherheitserfahrung, Erfahrung in der Versicherungsbranche und im Versicherungsschutz sowie die Arbeit an den Panels entscheidend sein, den Unterschied ausmachen, und ich betone auch, wie wichtig es ist, eine Art elektronischer Entdeckungserfahrung zu haben, sowohl im Hinblick auf das Verständnis von Workflows als auch in der Krise Management und Triage, aber auch im umfangreichen — das Ausmaß der Datenflüsse um eine Organisation, woher stammen die Daten, was sind darin, wohin geht es und wie man die Risikominderungspraktiken identifiziert und priorisiert.

Und dann, abgesehen von Rechtsstreitigkeiten, hat es diese Erfahrung in der Privatsphäre. Dies ist sehr schwer zu tun, jemanden zu finden, der über dieses Spektrum an Erfahrungen verfügt, aber das sind wirklich die Leute, die Sie im Kernteam im Vergleich zum Expansionsteam haben wollen, und in der Lage, die Antwort mit einem Playbook oder in einigen Fällen ohne Spielbuch zu ermitteln. Und dann auch wieder zurück zu wem trifft Entscheidungen? Es ist normalerweise nicht dieselbe Person. Sie treffen vielleicht einige dieser Entscheidungen, aber in Bezug auf hochrangige Gating-Entscheidungen und die Berichterstattung über die Kette ist diese Erfahrung ebenfalls äußerst hilfreich. Bonus, wenn dieser Lead oder eine Gruppe von Leads von IT zu Recht auch Erfahrung in der Berichterstattung an Boards hat und das richtige Informationsniveau bereitstellt.

Wenn wir also über Rollen im Vergleich zu nicht nur Namen im Plan sprechen, ist dies eine Situation, in der sich Menschen und Organisationen häufig ändern, insbesondere in diesem Bereich. Und so möchten Sie wissen, wer - immer klar darüber sein, wer in dieser Rolle ist, der Titel geändert hat und wie erfahren Sie, wen Sie sich wann engagieren sollen. Das ist normalerweise sehr wichtig, wenn es um eDiscovery geht, und ebenso hier in einer Art Cyber-Event.

Und dann habe ich angesprochen, wer im Kernteam gegenüber dem erweiterten Team ist, und ich denke, das ist wichtig, weil Sie möchten, dass die kleinste Anzahl von Spielern, die Sie identifizieren können, den Ball vorwärts bewegt und schnell ist. Sie müssen sich aber auch an verschiedene Fachexperten wenden, die diese Sprache sprechen können. Und wir haben darüber gesprochen, dass Versicherungen ein perfekter Bereich sind, in dem jeder, der im Kernteam ist und in Richtung, Beratung oder Entscheidungen involviert ist, etwas die Sprache der Versicherer und die Police sprechen muss und intern bereits Beziehungen zu Ihrem Risikomanagement-Team entwickelt haben muss. Das ist also hilfreich, um all diese verschiedenen Dinge zu identifizieren.

Ich mache es gerne, indem ich ein RASCI-Diagramm erstelle, in dem Sie eine Übung mit einer Gruppe haben, denn es gibt viele Fachexperten, die an so etwas beteiligt sind, und wer letztendlich dafür verantwortlich ist, sicherzustellen, dass bestimmte Dinge ausgeführt werden, wer rechenschaftspflichtig ist, wer konsultiert wird und wer wer konsultiert wird wird informiert. Und diese Gegenstände, die nur dieses Teil davon mit dem Kernteam im Vergleich zum erweiterten Team durcharbeiten, haben Sie vielleicht nicht einmal Zeit, sich mitten in einem Vorfall darauf zu beziehen, aber zu verstehen, was verschiedene Gruppen zu verschiedenen Zeiten benötigen, kann äußerst hilfreich sein, wenn es um die Laufzeit geht.

Mary, bitte wiegen Sie ein.

Mary Mack

Ich freue mich sehr, etwas über das RASCI-Diagramm mit den Verantwortlichkeiten zu hören und welches Maß an Entscheidungsfindung jede Person hat. Es bringt mich zurück in die frühen Tage der Prozessbereitschaft, in denen die Leute gerade abgeholt und getan haben. Und sicherlich, in den ersten Fällen funktioniert das, aber dann bekommen Sie Leute mit Stellenbeschreibungen und einige Dinge überschneiden sich, und wenn Sie ein Kernteam im Vergleich zu einem erweiterten Team haben, ist es so wichtig, das zu klären und vorher zu besprechen. Auch wenn Sie, wie Jennifer sagte, es nicht verwenden, finde ich in Rechtsstreitigkeiten, Ermittlungen und hier in der Cyber-Entdeckung sehr wichtig zu wissen, wer die endgültige Entscheidung treffen darf. Denn sonst können Sie Zeit damit verschwenden, dies herauszufinden, und versuchen, in einem hoch aufgeladenen, gut sichtbaren und hochpolitischen Umfeld zu arbeiten. Ich denke, diese Rollen zu haben, ist das ein wunderbares Geschenk, Jennifer, die RASCI-Chart dafür.

Jennifer Hamilton

Es ist witzig, es war eine der ersten Konferenzen, an denen ich teilgenommen habe, als ich bei John Deere war, und das wurde angesprochen, und ich dachte, wow, das ist wirklich interessant, und es war wahrscheinlich eines der nützlichsten Werkzeuge in meiner Karriere, von Rechtsstreitigkeiten bis hin zur Cyber-Discovery. Daher empfehle ich Ihnen dringend, RASCI-Charts nachzuschlagen und sie zu verwenden. Auch hier ist es eine großartige Übung, Menschen zusammenzubringen und Klarheit zu schaffen. Das kann eines der wichtigsten Dinge sein, die Sie tun, um sich auf jede Art von Krisenstreit vorzubereiten.

Sprechen wir auf die gleiche Weise über Workstreams. Wir haben darüber gesprochen, Workflows zu haben und wie wichtig es ist. Auch hier haben Sie vielleicht keine Zeit, sich mitten in einer Veranstaltung darauf zu beziehen, sondern nur die Praxis, die Erfahrung, sie zusammenzustellen, damit das Team als Ganzes versteht, was ein typischer Workflow ist. Und offensichtlich gibt es in den meisten Krisensituationen eine Menge Improvisation. Es fließt nicht wirklich ordentlich. Genau wie in eDiscovery fließen die Dinge nicht ordentlich von einer Phase zur nächsten, und dort können Ihre Tischübungen hilfreich sein.

Ich finde es schwer, diese Übungen überhaupt zu machen, denn es ist ein so entmutigend Unterfangen, besonders für Teams, die das noch nie zuvor erlebt haben. Was ich also gerne in Bezug auf Rollen und Verantwortlichkeiten und die Mischung mit Workstreams denke, ist herauszufinden, welchem Risiko Ihr Unternehmen mit dem höchsten Risiko ausgesetzt ist. Lasst uns nach oben gehen, zwei, vielleicht sogar drei. Beginnen wir mit dem höchsten Risikoereignis. Und hier möchte legal wirklich involviert sein.

Legal möchte sich dazu beitragen, das Risiko einzuschätzen. Und so denke ich, dass Sie dort eine Veranstaltung haben können, die hochtechnisch ist und die Johns und die Mikes in einem sehr detailreichen Grad involviert sind, aber auch das rechtliche in Bezug auf das zu tun hat, ist dies wirklich eines der Ereignisse mit dem höchsten Risiko, und die Rückkehr zu dem, was gemeldet werden muss, kann dies wirklich antreiben entscheidung. Daten-, Datenschutz- und Verstoßbenachrichtigungen, Einhaltung der Versicherungspolicen.

Und ich werde auch hier hineinwerfen, wenn es gut ist, legal tiefer einzubeziehen oder vielleicht eine Führung zu übernehmen, da das Nicht-Playbook wichtig ist. Auch wenn Sie diese Person haben und es kein Anwalt sein muss, sondern die Person, die von Anfang bis Ende der Krise die meiste Erfahrung hat, dann kann das sehr hilfreich sein. Da es Ereignisse gibt, die passieren werden, wie Ransomware, wurden die Leute nicht auf Ereignisse vorbereitet, und ich nenne es die Nicht-Playbook-Matter. Dies kann also sein, wo Rechtswesen dazu beitragen kann, den Workflow und die Strategie wirklich zu unterstützen, wenn nicht sogar zu treiben.

Ein wichtiger Punkt hier ist auch, dass diese Dinge - und wir sprechen über Improvisation, über die wir auch parallel viel sprechen werden, Dinge geschehen gleichzeitig parallel. Also, wo ergibt es Sinn? Wenn Sie innerhalb von 72 Stunden einen Bericht erstellen müssen oder 24 Stunden Zeit haben, um einen Bericht zu erstellen, wer wird das gleichzeitig tun. Das sind also Dinge, denke ich, die alle im Voraus diskutiert und ausgearbeitet werden können.

Ich weiß nicht, Mary, ob du darüber auch irgendwelche Gedanken hattest.

Mary Mack

Ich denke, genau wie bei einer Präsentation, wenn Sie ein Skript haben und einen Umriss haben und wissen, wohin Sie gehen, ist Ransomware sicherlich da, wo Sie sind... es ist, als stecken Sie Ihren Finger in die Lichtsteckdose, und wenn Sie über das Schlimmste sprechen, was einer Organisation passieren könnte und legal wird zu diesem Zeitpunkt involviert, weil dies die höchste Risikooktave ist, denke ich, dass es so wichtig ist, den Workstream zu dokumentieren, damit Sie mindestens einen Weg hindurch haben. Es überlebt vielleicht nicht, was ist es, der Beginn des Kampfes, jeder wirft seine Handbücher aus dem Fenster und er geht nur auf die Krise ein. Aber selbst einige der Unterteile werden hilfreich sein. Und während Sie Ihre verschiedenen Cyberereignisse durcharbeiten, werden Sie sehen, welche Dinge für Ihr Unternehmen funktionieren, und können sie dann iterieren und verbessern.

Wir sind gerade für die meisten Organisationen gleich am Anfang, und es ist so wichtig, die Zeit zu investieren, um das Vertrauen und die Beziehungen zwischen den Menschen zu dokumentieren und zu entwickeln, die dies bilden müssen, im Wesentlichen Tiger Team.

Würdest du das nicht denken, Jennifer?

Jennifer Hamilton

Ja, Vertrauen und Beziehungsaufbau ist hier entscheidend. Und ich denke, dass dies ein Bereich ist, in dem Sie die tägliche Arbeit wirklich von diesen fortgeschrittenen Planungs- und Vertrauensbild-Übungen abbringen können, aber Sie wünschen sich wirklich, Sie hätten sie getan, wenn Sie sich nicht die Zeit dafür nehmen würden.

Und wenn ich davon spricht, was eine gute Kommunikation und einen Plan angeht, mag ich hier... es gibt immer all diese Ratschläge und es gibt Playbooks, die acht bis 20 Seiten lang sind. Ransomware verdient wirklich ein eigenes Playbook. Es wird zur Norm, und ob die Daten exfiltriert werden oder ob sie nur verschlüsselt und geklärt sind, dann stehen diese Szenarien auf der Liste, um Ihren Kommunikationsplan zu entwickeln.

Und ich denke, die kürzesten möglichen Pläne, desto besser, denn im wirklichen Leben, wenn Sie mehr als ein paar Seiten haben, gibt es wirklich keine Zeit, darin einzutauchen und zu analysieren und herauszufinden, wie Sie es anwenden können. Und so mag ich Dinge, die einseitig sind, ich mag mehr Aufzählungspunkte oder visuelle Visio-Typ-Diagramme und wieder nach Rolle erstellt.

Was die Menschen wissen müssen, ist, wer sie engagieren müssen und wann sie sie einbeziehen und wie sie sie einbeziehen können. Auch das ist auch nur eDiscovery 101. Wenn Sie das in einen einseitigen Plan umwandeln können, sind Sie in diesem Prozess ziemlich weit voraus und müssen auch wissen, wann Sie nicht der Lead sind. In vielen Kommunikationen handelt es sich um besondere Ereignisse, und die Krisenkommunikation ist anders als jeden Tag, selbst in einem Rechtsstreit und wie wir miteinander sprechen und wer was tut. In diesem Sinne ist es hilfreich zu lesen, es gibt einige großartige Bücher über Krisenkommunikation und das Verständnis, wie es sich sehr von einem täglichen Projekt unterscheidet, und dann einfach die Teams nutzen, die Sie nur haben müssen - auch wenn Sie eine Tischübung nur in Bezug auf Kommunikation gemacht haben - dass wäre eine wertvolle Investition.

John Wilson

Jenny, ein One-Pager, auch wenn Sie einen vollständigen Plan haben wollen, der 20, 10 ist, egal wie viele Seiten, diese Art von Karten-Ein-Pager mit der Aufschrift „Hier ist die Person, mit der ich spreche, wenn ich jemanden dafür brauche“, wird wirklich wichtig. Da diese Dinge wiederum, insbesondere wenn sie immer ausgefeilter werden, setzen sie zeitlich dringend auf: „Hey, wir haben Ihre Daten erfasst, wir wissen, dass Sie im Begriff sind, einen M- und A-Deal abzuschließen, und wir werden diese Informationen öffentlich machen, und Sie müssen unser Lösegeld in 72 Stunden zahlen“. Es kann einige sehr enge Zeitbeschränkungen geben, um herauszufinden, was passieren wird, wer involviert sein muss und alles. Es wird also wirklich wichtig, diesen One-Pager zu haben, der Ihnen hilft, den Prozess zu beschleunigen und zu wissen, an wen Sie sich wenden müssen, wann es wirklich wichtig wird.

Jennifer Hamilton

Das stimmt, John. Und sogar was zu verwenden ist und es in die Warteschlange gestellt wird, bevor das Ereignis stattfindet, ist Signal eine App, die unglaublich populär wird. Es ist auf jedermanns Telefonen, es ist verschlüsselt, und Sie möchten diese Gruppen nach Rolle haben, die dem Plan bis zu einem gewissen Grad bereits organisiert und einsatzbereit sind, also versuchen Sie nicht zu erstellen... jeden dazu zu bringen, Signal mitten in einer Veranstaltung herunterzuladen, ist keineswegs ideal, also ist das mein anderes Mitnehmen hier.

Nun, lassen Sie es uns zur Datenzuordnung verschieben. Wir können hier ein bisschen zurückreisen. Aber auch bei der Datenzuordnung ist dies eine andere Sache, die in Bezug auf die proaktive Planung der Reaktion auf Vorfälle sehr hilfreich ist, aber es kann auch nach einem Verstoß im Erkennungsprozess sehr nützlich sein. Sie haben Datenschutzteams und eDiscovery-Teams und verschiedene andere IT-Leute, die eher auf der Info-Gov-Seite sind und wahrscheinlich in einigen Organisationen bereits eine Karte, ein Diagramm oder eine Tabelle erstellt haben, die einige der kritischeren Datenflüsse durch die Organisation verfolgt, die die Art von Daten haben würden, die Sie hätten Sorgen Sie sich am meisten darüber. Wo sind die sensiblen personenbezogenen Daten? Wo sind die Krankenakten, die Finanzunterlagen, einige der Kronjuwelen des Unternehmens?

Und ich werde sagen, dass es verschiedene Gruppen gibt, im Laufe der Jahre haben wir begonnen, Datenzuordnung zu entwickeln, was, Mary, wie vor 15, 20 Jahren in Rechtsstreitigkeiten, aber es gibt verschiedene Gruppen, die es aufgenommen und damit gelaufen sind, wie die Datenschutzteams, um die DSGVO einzuhalten, und das wird auch hier eine Anforderung sein für andere neue staatliche Datenschutzgesetze, die in den letzten Monaten entstanden sind. Du wirst es tun müssen, wenn du es nicht für Europa tun müsstest.

Also, warum erfinden Sie das Rad neu und warum gehen Sie nicht zu diesen Aufzeichnungen und beschleunigen Sie die Gruppe irgendwie darüber nach, wo Sie Ihre Bemühungen um die Sanierung und die Berichterstattung konzentrieren müssen. Ob es darum geht, sich an betroffene Personen oder den Aufsichtsbehörden zu melden oder einfach nur dem Unternehmen Bericht zu erstatten: „Hey, rate mal was? Dies ist die Art von Informationen, die sich in dieser Datenbank befand, die uns vorher noch nicht einmal bewusst war“. Dies ist also der richtige Weg, um nicht Ihren Cyber-Discovery-Prozess nach Verstößen zu erhalten und auch das institutionelle Wissen zu nutzen, das Sie mit den eDiscovery-Teams, den Datenschutzteams usw. haben. Und einige Unternehmen sind dem wirklich voraus und verwenden 365, um die Aufbewahrung zu markieren und zu entwickeln.

Aber Ihr bester Freund hier ist es, die Daten nicht in der gefährdeten Position zu haben, in der sie sich befinden, und so in dem Maße, in dem dies eine Investition in eine Art proaktiver Planung sein kann. Bewahren Sie also keine Daten über seine Nutzungsdauer hinaus für das Unternehmen auf. Und dort können Sie darüber nachdenken, können Sie für einige Sanierungsprojekte budgetieren. Offensichtlich könnten Sie die Organisation wahrscheinlich auf den Kopf stellen, dies auf allen älteren Systemen, Datenbanken und E-Mail-Konten, aber wenn Sie als Organisation eine Datenschutzprüfung oder ein eDiscovery-Audit durchführen und erneut Ihre Repositorys mit dem höchsten Risiko bewerten können, wo es vielleicht Ihr ist Kundeninformationen oder Patientengesundheitsakten, und beginnen Sie klein und iterativ, sehen wir uns an, was überhaupt da ist, und lassen Sie uns herausfinden, was behoben werden muss, das weit über den Aufbewahrungsplan oder die Nutzungsdauer hinausgeht und nicht im gesetzlichen Bereich. Hier sind Sie am effektivsten bei der Verwaltung eines tatsächlicher Verstoß.

Und dann haben wir bereits Antwort und Benachrichtigung angesprochen und wie Sie sicherstellen können, dass Ihre Workflows nahtlos und parallel verlaufen. Die Reaktion auf Verstöße ist wieder ganz - wir könnten nur dazu ein ganzes Webinar haben, aber das Ziel ist es, es zu beschleunigen. In dem Maße, in dem Sie Ihr institutionelles Wissen nutzen können, wie wir darüber gesprochen haben, nutzen Sie Ihre Anbieter mehr, um... nicht nur die Unterstützung von Rechtsstreitigkeiten, eDiscovery, Dokumentenüberprüfungen durchzuführen, sondern wissen auch, wie Sie diese Informationen schnell identifizieren können? Haben sie die Technologie? Benutzen sie künstliche Intelligenz? Unterstützen sie es mit anderen Möglichkeiten, das, was da ist, auf sehr, sehr schnelle Weise zu validieren und diese Informationen in die Hände der Gruppen zu bringen, die für jede Art von Verstößen verantwortlich oder verantwortlich sind, ist entscheidend. Je mehr Sie Anbieter und Geschäftspartner und Rechtsanwälte haben, die an der Schnittstelle von IT, Rechtsstreitigkeiten, Cyber arbeiten, all diese verschiedenen Gruppen, die bereits viel verstehen, müssen auf dem Weg nichts beigebracht werden, sie sind mit Ihrem Unternehmen, Ihren Prozessen und Ihren Prozessen vertraut Menschen, lassen Sie diese vertrauenswürdigen Beziehungen aufbauen, dann kann dies einen großen Unterschied für den Erfolg der Verwaltung einer dieser Veranstaltungen machen.

Michael Sarlo

Danke, Jenny. Das war großartig. Danke, Mary, so sehr. Es gibt eine Menge, die in ein Playbook zur Reaktion auf Vorfälle steckt. Und die Workstreams nach dem Verstoß außerhalb des technischen Teils stellen wir fest, dass selbst die anspruchsvollsten Organisationen fehlen.

Eine Sache, auf die ich hinweisen möchte, haben wir angefangen, über MSAs zu sprechen und was nicht, und es gibt normalerweise eine auf der Capital One-Entscheidung nach ihrem Verstoß gegen Virginia beschaffte IT-Dienste, die vor einem Verstoß und nicht in Bezug auf eine rechtliche Angelegenheit beschafft wurden, technisch nicht unter dem Anwalt/Mandanten abgedeckt sind Privileg-Regenschirm. Daher ist es sehr wichtig, die Kommunikation auf bestimmte Weise zu verteilen und sich dessen bewusst zu sein, was Sie sich engagieren und wie Sie Engagements in Bezug auf die Reaktion auf einen Verstoß aufbauen, um sicherzustellen, dass das, was die Branche glaubt, ein privilegiertes Ereignis sein sollte. Wir glauben, dass Cyber ein rechtliches Problem ist. Sie müssen sicherstellen, dass Sie das angemessen behandeln. Jeder der führenden Breach-Trainer ist sehr anspruchsvoll, um diese Exposition zu mildern, was zu beachten ist, dass Ihr übliches Anliegen manchmal nicht das richtige Anlaufe für bestimmte Teile des Arbeitsstreams ist.

Was ist also der Workflow für die Entdeckung nach Verstößen? Wir haben nicht viel Zeit übrig, also klicken wir uns jetzt mit der Zippity-Präsentation durch diese Präsentation. In der Regel erhalten wir jedoch betroffene Datenquellen, entweder behalten wir sie vor Ort oder wir kommunizieren tatsächlich direkt mit Bedrohungsakteuren. Sie werden normalerweise an eine Art von Öffentlichkeit [e-Zines] gepostet. Wir ziehen sie in eine Infrastruktur, die wir haben, die sich vollständig für Verstöße vor Ereignissen konzentriert. Sehr wichtig. Ich denke, dass viele Daten in der Anbieter-Community zusammengeführt werden können. Stellen Sie sich vor, Sie haben Ihren großen Rechtsstreitigkeiten in einer Datenbank und jetzt dies in einer anderen, und ein Datensatz könnte mit bösartigen Dateitypen gefüllt sein. Wir kümmern uns auch um viele Zero-Day-Events. In diesen Situationen sind Sie nicht in der Lage, es zu identifizieren.

Die große Frage ist also, gibt es an dieser Stelle sensible Daten in diesem Datensatz? Und sensible Daten werden oft PII, PHI solche Dinge sein, aber für... Sie haben es mit jeder Art von geschäftlicher Sensibilität, geistigem Eigentum, Verträgen, Kommunikation mit Kunden zu tun, das ist auch alles wirklich wichtig, besonders für die Leute, die unsere Kunden kontaktieren und ihnen sagen müssen, dass Es gab einen Verstoß und befasst sich mit diesen Auswirkungen.

In der Regel wird es eine gewisse Datenverarbeitung geben. Wir bevorzugen Nuix in diesem Fall, insbesondere wenn wir möglicherweise forensische Analysen für Dateien durchführen müssen, wenn wir mehr sich verändernde Malware-Arten, MD5-Hashes oder verschiedene Dinge haben, oder wir wirklich tief in die Komponenten einer einzelnen Datei oder aus Untersuchungspunkten eintauchen möchten, aber auch um bestimmte Arten von IOCs zu identifizieren, die in Dateien eingebettet werden können, die nicht unbedingt transparent sind.

Zu diesem Zeitpunkt ist eine wirklich hochrangige Bereitstellung, die diese Verpflichtungen wirklich operationalisiert, wirklich das, was wir als Folgenabschätzungsbericht bezeichnen, und wir tun dies auf verschiedene Arten. Wir haben eine niedrige Folgenabschätzung, die wirklich sofort stattfindet, basierend auf einer riesigen Bibliothek regulärer Ausdrücke, Suchtechniken und beides aus Sicht des Inhalts, Datei- und Ordnerpfaden, die zurück in unseren proprietären ECA-Workflow angereichert ist, was wir ReviewRight Protect nennen Analytik. Und dann haben wir tatsächlich unsere eigene KI entwickelt, die wir durch viele Ereignisse verfeinert und geschärft haben, die sensible Daten sehr gut identifizieren.

Und an diesem Punkt gibt es normalerweise - entweder eng zusammengearbeitet... wir haben hier unser vollständig verwaltetes Angebot, das Sie von einem Verstoß zu einer Offenlegungsliste, sagen wir, einer Offenlegungsliste, ich meine eine Auflistung der kompromittierten Unternehmen, Menschen, Unternehmen, ihre Informationen, die kompromittiert wurden. Dann arbeiteten wir mit einem der wichtigsten Benachrichtigungsanbieter zusammen, sei es Equifax, Experian, um Adressen zu überprüfen, und dann werden Benachrichtigungen an diese Leute gesendet. Und die Uhr dauert normalerweise etwa 65 Tage, wenn Sie es mit HIPAA zu tun haben. Und wenn diese Uhr beginnt, ist es normalerweise, sobald Sie sich ein Dokument ansehen. Und Sie werden verschiedene Dinge darüber hören, wann und wo diese Uhr beginnt, und strategisch zu sein, ist für sehr groß angelegte Verstöße, mehr in mehreren Regionen, unglaublich wichtig. Es ist wirklich wichtig, ein Gefühl dafür zu bekommen, wo sich Ihre potenziellen betroffenen Personen befinden, nicht nur im Unternehmen, sondern wo sie tatsächlich leben und woher und woher ihre Daten erhoben wurden und zu welchem Zweck. Und wirklich, wenn man in jene Systeme zurückgeht, die vielleicht das CRM, vielleicht das elektronische Krankenaktensystem, dass vielleicht ein anderes System oft ein guter Indikator dafür sein kann, womit Sie es aus geografischer Sicht zu tun haben, mit welchen Regulierungsbehörden Sie es zu tun haben.

Dieser KI-Faktenabschätzungsbericht und all dieses Arbeitsprodukt durchlaufen dann tendenziell einen Workflow, in dem wir Tranchen von Dokumenten basierend auf ihren Treffern statistisch validieren, insbesondere mit den... Wir geben auch Vertrauensintervalle zurück, wie genau der Computer denkt, dass es war, und das ist besser geworden Zeit, und wir suchen nach hochwertigen Zielen, um direkt zum Data Mining zu wechseln, was wir normalerweise im eDiscovery-Bereich nennen würden, Review und/oder Extraktion, Data Mining oder Extraktion. Und Sie können einige sehr große Teams dazu bringen, diese Angelegenheiten zu bearbeiten, die tatsächlich verschiedene Arten von PII-Elementen zusammenfassen und sie mit Entitäten korrelieren.

Und das ganze Ziel hier ist es, im Grunde zu einer deduplizierten aufgerollten Liste zu gelangen und im Grunde genommen jede kleine Information über dich oder mich im Datenuniversum identifizieren zu können, woher und woher sie stammen, und im Grunde genommen diese Metadatenelemente deduplizieren zu können. Wir sprechen hier nicht über das Deduplizieren von Dokumenten, wir sprechen davon, strukturiertere Daten zu deduplizieren, die wir zusammenstellen. Und sehr wichtig, denn es wird gerade zu einer massiven Big Data-Herausforderung.

Wir verwenden eine Vielzahl von Techniken, um Daten aus KI-Sicht zu erkennen. John, willst du für eine Sekunde hier rein kommen, da du der Chief KI-Meister bist.

John Brewer

Klar. Ich weiß, dass wir wenig Zeit haben, also werde ich hier nicht zu sehr ins Detail gehen, aber der Schlüssel zu dieser Folie ist, dass wir eine Kombination älterer Techniken verwenden, Dinge wie Word2Vec-Vorlagenübereinstimmung, die im Grunde Muster in Worten verwenden, genauer gesagt Muster in der Anordnung von Wörtern in Dokumenten, um uns zu helfen bekommen irgendwie ein sehr grobes, grobes Verständnis dafür, was der Inhalt dieses Dokuments ist, damit wir intelligentere, computergestützte Abzüge über den Inhalt dort machen können und ob er relevant ist oder nicht.

Und dann verwenden wir derzeit viele andere Modelle, die verwendet werden, die sich fast in einer Forschungsphase befinden und gerade erst in die Produktion gehen, Dinge wie GPT, von denen Sie vielleicht in den Nachrichten gehört haben, sind Neo-GPT oder Transformatoren, triumvirat kognitive Modelle, was im Wesentlichen eine ausgefallene Art ist, drei zu verwenden verschiedene Algorithmen, um dieselben Informationen zu erhalten und diese Informationen dann sinnvoll zu kombinieren, um ein besseres Ergebnis für unsere Kunden zu erzielen. Stimmungserkennung, die natürlich ursprünglich als Marketinginstrument entwickelt wurde, aber in unserem speziellen Bereich bei der Entdeckung und Analyse von Verstößen sehr genutzt wird. Und dann Schlüsselsätze ohne Entitäten, was wiederum bedeutet, Menschen mit Titeln zu verbinden und diese synonym auf eine Weise zu verwenden, die ein Mensch möglicherweise kann, wenn er versucht, diese Daten für schändliche Zwecke zu verwenden. Zum Beispiel, sagen zu können, dass ein Hinweis auf den Chefdatenwissenschaftler HayStackID auch ein Hinweis auf John Brewer war.

OK, Mike, ich glaube, das sind die herausragende Punkte hier.

Michael Sarlo

Und was wir in der Lage sind, unsere Kunden zurückzubekommen - und das ist wirklich für jede Angelegenheit, in der Sie sensible Daten identifizieren müssen. Bei grenzüberschreitenden Problemen haben Sie nur in einem allgemeinen Rechtsstreit sensible Daten, möglicherweise gibt es keine Schutzanordnung, sie muss möglicherweise redigiert werden. Hoch konfigurierbar, dies ist nur eine Stockgrafik, ich habe tatsächlich eine Reihe von Dashboards und eine schwierige Datenverarbeitung, die eine unglaubliche Menge an Workflow im Zusammenhang mit Datenschutzdaten ermöglichen und erleichtern. Wenn jemand daran interessiert ist, mehr darüber zu erfahren, wenden Sie sich einfach an das HayStackID-Team, wir werden zeigen Sie Ihnen gerne eine Demo und führen Sie durch den gesamten Workflow sowohl im Zusammenhang mit Verstößen als auch bei jeder Art von allgemeinem eDiscovery-Engagement, bei dem Sie mit sensiblen Daten zu tun haben.

Und aus Sicht der Überprüfung sind wir seit etwa 10 Jahren im Remote-Review-Bereich, als es ein Fauxpas war, Remote-Rezensenten zu haben, und jetzt waren wir sozusagen gut für COVID positioniert. Wir waren schon immer technologiefähig, wo wir tatsächlich eine webbasierte Plattform haben, auf der wir unsere Rezensenten organisieren, sie verwalten und jeder Rezensent, der in unser Unternehmen kommt, tatsächlich auf seine Fähigkeit zur Überprüfung getestet wird. Wichtig hier, da ein Verstoß technisch gesehen manchmal nicht die Lizenz oder die Anforderungen eines Anwalts erfordert, Sie nicht unbedingt rechtliche Anrufe tätigen, so dass Sie manchmal auf der Überprüfungsseite sehen, was zu sehr niedrigen Preisen erscheint, es kann sich nur um Rechtsanwälte, Jurastudenten oder vielleicht Offshore handeln. Es ist entscheidend, sicherzustellen, dass diese Personen immer noch ein guter Rezensent sind und Konzepte über sensible Daten verstehen. Also haben wir einen speziellen Test und eine Bank von Experten, Datenschutzexperten in diesem Bereich von Nicht-Anwälten und Anwälten entwickelt. Versicherungsträger wollen in einigen Szenarien technisch gesehen nicht für Anwälte bezahlen, also müssen Sie manchmal auf der vorherigen Seite, auf der Anwaltskanzleiseite, die Unterschiede verstehen zwischen beiden. Die Nutzung der Tests kann jedoch zu einer sehr hohen Qualität führen.

Darüber hinaus beginnen wir für alle unsere Bewertungen immer mit einer Messgerätanalyse, was bedeutet, dass wir eine repräsentative Stichprobe der Daten erhalten, sie werden vom Management des Prüfungsteams, von den Überprüfungsleitern, vom Anwalt und dann auch von den Gutachtern codiert. Und wir vergleichen diese und haben Behebungsrunden, und dies ist schon früh eine großartige Möglichkeit, Teams an die Daten zu gewöhnen, damit jeder mit dem Protokoll und dem, was er tut, im Einklang steht. Ich empfehle dies für jede Bewertung, ob groß oder klein. Es ist eine wirklich großartige Möglichkeit, die übliche Feedback-Schleife zu verhindern, die eine Woche später auftreten kann, wenn QC-Chargen endlich verfügbar werden, oder insbesondere für sehr schnell bewegende Angelegenheiten, bei denen sich ein Bewertungsteam an einem Tag dreht und Sie drei oder vier Tage später Dokumente aus der Tür schießen und es gibt wirklich nicht die angemessene Feedbackschleifen zwischen Anwalt und einem Anbieter wie HayStackID, um alle in Einklang zu bringen.

Wirklich wichtig ist der Workflow. Die Deduplizierung der Artikelebene, die Verringerung der Bevölkerungsgröße ist unglaublich wichtig. Wir möchten in der Lage sein, Dokumentensätze zu testen, die oft nicht nach Dateityp und Pfaden auf KI stoßen, und wir möchten im Grunde genommen statistische Stichprobenmethoden verwenden können, um diese Dokumente auszuschneiden. Ebenso möchten wir verschiedene Tranchen von Taschen probieren, die auf Bedingungen oder KI treffen, um zu sehen, ob diese tatsächlich wie erwartet funktionieren, und wir würden darauf basierende Beförderungsentscheidungen treffen und alles dokumentieren, insbesondere beim Schneiden von Arbeitsabläufen ist es sehr wichtig.

All das typische Zeug, Domänenanalyse, Deduplizierung auf Artikelebene, wiederum kein Grund, dasselbe Dokument immer und immer wieder vom Standpunkt eines Anhangs zu betrachten und die Suchbegriffsanalyse außerhalb des Kontextes zu nutzen, das sind typische Erkennungszeichenfolgen für sensible Daten. Auch Batching und wirklich verständnisvoll - das, was in all diesen auftaucht, ist, dass wir LDS-Dokumente oder wirklich große Excel-Dateien, Datenbankdateien nennen würden. Wir haben nicht über Datenbanken gesprochen und wie wir damit umgehen. Das ist ein ganz anderes fortgeschrittenes Tech-Webinar, in das wir tief eingehen könnten. Beachten Sie jedoch, dass dies ein wichtiger Schlüssel sein kann und sie sind immer vorhanden, insbesondere wenn Sie Datenbanken haben, die Hunderttausende einzelner Entitäten enthalten können. Das muss wieder in die Bevölkerung zusammengeführt werden, dieser einzigartigen Liste von Personen, die auch aus Dokumenten extrahiert wird, damit Sie wirklich zwei Dinge tun. Die Deduplizierung erfolgt nicht in einem eDiscovery-Pull, es passiert eher in Big Data-Typ-Datenbanken, Hadoop, Google, Bitquery, solchen Dingen. Abhängig von der Größe und dem Umfang der Daten und der Menge einzelner Felder, die normalerweise in hierarchischer Reihenfolge dedupiert werden müssen, verwenden wir unterschiedliche Methoden. Sie können also soziale Netzwerke kombinieren - beginnen Sie mit dem Tor und dem Vornamen sowie einer Krankenaktennummer und beginnen Sie, Dinge hinzuzufügen, um eine tiefere und engere Prägnanz zu erhalten. Und verschiedene Anbieter werden hier unterschiedliche Erfolge haben. Wir haben viel aus Daten hervorgegangen und haben ziemlich viel Code geschrieben, um diese Daten zu bereinigen, damit wir bessere Deduplizierungsergebnisse erzielen.

Und im Allgemeinen durchlaufen wir einen Workflow, bei dem wir normalerweise versuchen müssen, die Dokumente im Allgemeinen zu sehen, die für eine Benachrichtigung qualifiziert sind. Es ist normalerweise in irgendeiner Weise klassifiziert, es könnte viele verschiedene Möglichkeiten geben - viele verschiedene Metadatenfelder, die wir ausfüllen. Es gibt eine Massenextraktion von Datenpunkten, die programmgesteuert weitergehen können. Wenn wir wiederholte Formulare erhalten, solche Dinge, können wir tatsächlich zu CRMs oder anderen Datenbanken zurückkehren, die sich möglicherweise beim Kunden vor Ort befinden, und würden uns dafür entscheiden, Rohdokumente herauszuwerfen, die wir möglicherweise zugunsten strukturierterer Daten betrachten, aus denen diese Daten generiert wurden, die wir uns ansehen. Wenn es sich um eine PDF-Datei handelt, die jeden Tag über eine Reihe von Kundeninformationen verfügt, sollten Sie besser auf die Plattform zurückkehren. Und eine Menge Qualitätskontrolle findet auf verschiedenen Ebenen auf der Überprüfungsseite und auch auf der Data-Science-Seite statt, und das ist auf der technischen Seite unglaublich wichtig.

Sie haben also viel mehr technische Zuflüsse, die Daten betrachten, Daten normalisieren und mit Rezensenten arbeiten als in einer typischen eDiscovery-orientierten Überprüfung.

Natürlich ist die Berichterstattung hier vollständig anpassbar und wir konzentrieren uns sehr darauf, über die verschiedenen Arten von PII-Kategorien zu berichten, die wir sehen. Auch in Situationen, in denen wir viele Deckungsunternehmen haben, solche Dinge, BaaS, in denen ein Verstoß tatsächlich 50 Verstöße darstellt, weil Sie Personen hatten, die Robosignierverträge haben und nicht wussten, worauf sie sich aus ihren vertraglichen Verpflichtungen einlassen. Und jetzt müssen Sie sich einzeln an jene Organisationen melden, die möglicherweise infiziert wurden. Manchmal kann es sehr nützlich sein, diese Berichte auf dieser Ebene zu strukturieren, sowohl die als Standpunkt eines Geschäftspartners als auch von den betroffenen Personen innerhalb dieser Kategorien benachrichtigt werden müssen.

Es gibt eine Menge Normalisierung, die weitergeht. Wir sagen Normalisierung, wir meinen Standardisierung der Daten. Sie erhalten also Vornamen, Nachnamen, erste Initiale, wenn alle ausgebrochen sind, ermöglicht es wirklich viel bessere Deduplizierungsergebnisse mit einer Vielzahl von Techniken hier, abhängig von den Daten. Die Dinge hier können sehr schwierig werden, wenn man anfängt, Adressen aus Irland zu erhalten, die ein kleines Haus am Ende einer Straße beschreiben, anstatt die Art und Weise, wie wir hier in den USA über sie nachdenken. Sie können also in verschiedenen Workstreams landen, die je nach den Regionen, aus denen die Daten stammen, völlig unterschiedlich sind.

Und dann sicherlich statistisch messen und diese Ergebnisse validieren. Es gibt ein Konzept der Verhältnismäßigkeit darin, und es ist eine Art Drücken Sie die Bohne, bis Sie jeden Ausfall bekommen. In einigen Szenarien haben einige Verstoßcoaches unterschiedliche Standpunkte dazu, und es ist wirklich eine rechtliche Entscheidung, soweit — aus Risikosicht — wie weit Sie gehen müssen. Sie können dort sitzen und diese Listen bis zum Ende der Zeit massieren, wenn Sie anfangen, sich mit Hunderttausenden von Daten über Einzelpersonen zu befassen, aber zu einem bestimmten Zeitpunkt gibt es einen Schnitt. Die Normalisierung des Namens ist sehr schwierig. Man hört Leute ziemlich viel danach fragen, aber niemand möchte den Namen von jemandem verschleiern, damit seine PII mit jemand anderem vermischt werden, sie bekommen keinen Brief, das ist ein großes Problem. Wir haben einige Technologien entwickelt, um uns teilweise dorthin zu bringen, aber Rechtsteams neigen dazu, im letzten Moment zu schüchtern, wenn Sie anfangen, sie zu bitten, sich auf Vertrauensintervalle, Fehlerspannen und solche Dinge zu einigen. Es komportiert einfach nicht.

Und es gibt keine KI, die auf magische Weise einfach einen Datensatz durchgehen und alle verschiedenen Elemente von jemandem automatisch mit jemandem verknüpfen kann. Also bekommen wir diese Frage ständig. Das größte, was Sie von hier weggehen und Sie anfangen, im Zusammenhang mit Datenschutzverletzungen über KI nachzudenken, ist, dass es sich um einen Kraftmultiplikator für Menschen handelt, und dies ist normalerweise der gleiche Fall in eDiscovery. Du wirst immer noch eine Menge Arbeitskräfte benötigen. In einigen Fällen können die Dinge auf bestimmte Weise automatisierter werden, indem sie nur die Überprüfung strukturieren und die Komplexität so weit wie möglich beseitigen, genau wie jedes andere Engagement, und einen kampfgetesteten Workflow haben. Zusammenarbeit mit jemandem, der Workflows dokumentiert, Playbooks dokumentiert und ergebnisbasiertes Arbeitsprodukt dokumentiert hat, Schutzberichte, Dinge, die Ihnen zeigen können, dass Sie zurückkommen, wenn Sie sich für einen vollständig verwalteten Prozess oder teilweise partnerschaftlichen Prozess entscheiden.

Das, meine Freunde, ist die letzte Folie und ich werde sie Rob zurückwerfen. Wir hatten eine Frage. Ich weiß nicht, ob wir Zeit für einen von ihnen haben werden, aber jemand fragte uns: „Was sind gute Anweisungen, um Phishing- und Ransomware-Versuche zu erkennen, die Expertenfälschungen sind? Wir können nicht sagen, dass sie ihre Anmeldeinformationen unter Umständen niemals anwenden sollten. Was ist die beste Vorgehensweise hier?“

Nun, die beste Vorgehensweise ist im Allgemeinen, dass Sie etwas per E-Mail erhalten, es fragt nach Ihren Anmeldeinformationen, klicken Sie nicht darauf. Sie sollten den Link immer analysieren, mit der Maus bewegen, wenn es verdächtig aussieht, ist es wahrscheinlich verdächtig. Ich klicke niemals auf einen Link von irgendeinem großen Einzelhändler, jedes Konto, von dem ich weiß, dass ich habe, irgendetwas. Ich würde im Grunde selbst auf die Seite zurückkehren, normalerweise mit einer App oder einfach nur auf die Website zugreifen, und ich würde mich dort einloggen.

Es gibt eine Menge Training hier. Wir führen hier bei HayStackID unzählige Simulationen durch. Wir erhalten gefälschte Phishing-E-Mails, Sie müssen sie melden, und so stellen wir sicher, dass unsere Mitarbeiter geschult sind. Es ist wichtig, hier wachsam zu sein. Selbst die anspruchsvollsten Menschen können dafür anfällig sein. Wir sehen, dass viele davon jetzt auch per SMS kommen, richtig, aber es gibt kostenlose Schulungen, Google bietet hier auch einige an, die vollständige Trainingsprogramme zur Erkennung von Phishing durchführen. Es gibt viel im Internet. Ich empfehle es jedem Unternehmen, das möglicherweise nicht über das Budget verfügt, um mehr Enterprise-Schulungsprogramme, Videos, all das Zeug und das Testen bereitzustellen.

Sie müssen nur davon ausgehen, dass in einigen Fällen alles schlecht ist, und sich davon fernhalten. John und John, das ist wahrscheinlich eins für dich. Wir können wahrscheinlich auch nur etwa eine Minute damit verbringen, darüber zu sprechen. Aber wir haben noch einen hier.

„Wir bereiten eine Cloud-Migration vor, wenn es um Backups und Ransomware geht, wird unveränderlicher Speicher einschließlich Backups, auf die Administratoren nicht zugreifen können, zu einem heißen Thema. Kannst du bitte diskutieren?“ Sicherlich war es auch ein heißes Thema, den administrativen Zugriff auf unsere Administratoren hier bei HayStackID zu nehmen.

Nur um eine Art Pfeife da drin. Los, John und John, welchen Rat kannst du uns geben?

John Brewer

Ich kann also sagen, dass unveränderlicher Speicher normalerweise etwas ist, was ich in Bezug auf Backups höre, und das reicht bis in die 60er oder 70er Jahre zurück, als wir einmal schreiben-viele oder WORM-Bänder hatten. Ich bin mir nicht sicher, ob dies besonders auf Ransomware anwendbar ist, da wir sie hier diskutieren, da diese Backups normalerweise immer noch in einem Lesekontext für die Administratoren zugänglich sind, da sie sonst im Falle eines Disaster Recovery-Szenarios nicht nützlich wären. Sie daran zu hindern, beschreibbar zu sein, ist definitiv praktisch, um zu verhindern, dass ein Ransomware-Angreifer diese Backups erreicht und tatsächlich verschlüsselt. Dies ist aus operativer Sicht das Worst-Case-Szenario, in dem Sie sowohl Ihr Produktionssystem als auch Ihre Backups gelöscht haben.

Aber John, wolltest du das ein bisschen mehr kommentieren?

John Wilson

Natürlich wird viel darüber geredet, aber die Kehrseite dieser Münze trägt dazu bei, die Backups zu schützen, sobald sie existieren. Das Problem ist, wenn die Backups die verschlüsselten Daten in sie schreiben, hilft Ihnen das nicht viel.

Michael Sarlo

Und lassen Sie mich auch hier eines sagen: Wir gehen in so viele Organisationen ein, die riesige Unternehmen sind, hochentwickelte Unternehmen, und wenn es darum geht, auf die Backups zuzugreifen, sind sie kaputt oder sie können nicht einmal auf irgendeine Weise wiederhergestellt werden, oder sie könnten nie in einiger Zeit wiederhergestellt werden, die vernünftig. Wir sehen es ständig.

Sie wissen also auch nie, wie gut Ihre Backups wirklich sind. Also, nur etwas, worüber man nachdenken kann, im Allgemeinen nichts damit zu tun hat.

John Brewer

Der einzige Punkt, den ich darauf hinweisen wollte, dass ich nicht sicher bin, ob ich es zuvor getan habe, ist, dass unveränderlicher Speicher Sie nicht davor bewahrt, Ihre Daten zu lösen, denn solange diese Backups noch zugänglich sind, kann jemand diese Backups stehlen und diese für einen Data-Shaming-Angriff verwenden oder anderweitig den Organisation, indem diese Daten im Gegensatz zur Verschlüsselung vorhanden sind.

Michael Sarlo

Danke Leute. Alles klar, nun, vielen Dank. Wir wissen es sehr zu schätzen. Bitte zögern Sie nicht, sich an einen von uns zu wenden, erste Initiale, Nachname, HayStackid.com. Wir würden uns freuen, von Ihnen zu teilen, zusammenzuarbeiten, zu unterrichten, zu erziehen, zu lernen.

Ich bringe es Rob Robinson an, um uns zu schließen. Nochmals vielen Dank, wir wissen es sehr zu schätzen. Danke.

Schließung

Vielen Dank, Mike, und vielen Dank an das gesamte Team und auch an unsere Unterstützer von der EDRM und ACEDS. Und zur Erinnerung an alle im Anruf ist eine Kopie der Präsentationsfolien auf der Registerkarte unter Ihrem aktuellen Anzeigefenster verfügbar, und kurz nach Ende des heutigen Anrufs wird eine On-Demand-Version der Präsentation verfügbar sein. Darüber hinaus möchten wir uns bei jedem Einzelnen von Ihnen bedanken, der sich heute die Zeit genommen hat, daran teilzunehmen. Wir wissen, wie wertvoll Ihre Zeit ist und wir sind sicherlich dankbar, dass Sie sie heute mit uns geteilt haben.

Und nicht zuletzt hoffen wir, dass Sie die Möglichkeit haben, an unserem nächsten Bildungs-Webcast teilzunehmen. Es ist für den 15. September um Mittag Ostzeit geplant und trägt den Titel Verstöße, Antworten und Herausforderungen: Cybersicherheit Essentials, die jeder Anwalt wissen sollte. Wir hoffen auf jeden Fall, dass Sie teilnehmen können.

Und nochmals vielen Dank, dass Sie heute teilgenommen haben, und dies schließt den heutigen Webcast offiziell ab. Bitte habt einen tollen Tag.

KLICKEN SIE HIER UM PRÄSENTATIONS-SLICES HERUNTERZULADEN

2021.08.11 - HayStackID - Cyber-Entdeckung von Ransomware-Vorfällen - August2021 Webcast - FINAL

HIER GEHT ES ZUR ON-DEMAND-PRÄSENT

Über HayStackID™

HayStackID ist ein spezialisiertes eDiscovery-Dienstleistungsunternehmen, das Unternehmen und Anwaltskanzleien hilft, Daten sicher zu finden, zu verstehen und daraus zu lernen, wenn sie komplexen, datenintensiven Untersuchungen und Rechtsstreitigkeiten gegenüberstehen. HayStackID mobilisiert branchenführende Cyber-Discovery-Dienste, unternehmensverwaltete Lösungen und Angebote zur rechtlichen Entdeckung, um mehr als 500 der weltweit führenden Unternehmen und Anwaltskanzleien in Nordamerika und Europa zu bedienen. HayStackID, der fast die Hälfte des Fortune 100 bedient, ist ein alternativer Cyber- und Rechtsdienstleister, der Fachwissen und technische Exzellenz mit einer Kultur des Kundendienstes mit weißem Handschuh verbindet. Neben der konsequenten Rangliste von Chambers wurde das Unternehmen kürzlich von IDC MarketScape zum weltweit führenden Anbieter von eDiscovery-Diensten und im Gartner Market Guide for E-Discovery Solutions 2021 zum repräsentativen Anbieter ernannt. Weitere Informationen zu seiner Dienstleistungssuite, einschließlich Programmen und Lösungen für einzigartige juristische Unternehmensanforderungen, finden Sie unter HayStackid.com.