[Transcripción de webcast] Ransomware, respuesta a incidentes y descubrimiento cibernético: historial, soluciones y flujos de trabajo de IA

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Nota del editor: El 11 de agosto de 2021, HayStackID compartió un webcast educativo diseñado para informar y actualizar a los profesionales de la ciberseguridad, el gobierno de la información y el descubrimiento electrónico sobre cómo las organizaciones pueden preparar, abordar y responder a incidentes relacionados con la ciberinformación.

Si bien la presentación grabada completa está disponible para su visualización bajo demanda, siempre que le resulte conveniente una transcripción de la presentación y una copia (PDF) de las diapositivas de la presentación.

[Transcripción de webcast] Ransomware, respuesta a incidentes y descubrimiento cibernético: historial, soluciones y flujos de trabajo de IA

En esta presentación, expertos en las áreas de respuesta a incidentes de ciberseguridad, descubrimiento cibernético y privacidad compartieron cómo las organizaciones pueden preparar, abordar y responder a incidentes relacionados con la ciberseguridad. Desde la corrección de ransomware hasta la respuesta a incidentes, la presentación destacó las tecnologías de detección de datos de vanguardia y los servicios de revisión de documentos comprobados para respaldar los procesos de detección, identificación, revisión y notificación exigidos por la ley tras violaciones y divulgaciones delicadas relacionadas con los datos.

Destacados del webcast

+ Es solo cuestión de tiempo: estadísticas de incidentes de seguridad e historia de ransomware

+ Los primeros 48: Detección y clasificación de incidentes de seguridad electrónica

+ Diseño efectivo del plan IR: simplicidad, escalabilidad y más allá de los detalles técnicos

+ Descubrimiento posterior a la infracción: descripción general del flujo de trabajo, uso de IA e informes de evaluación de impacto

+ HayStackID RevieWright Protect: Flujo de trabajo de extracción y revisión posterior a la infracción

Presentando expertos

+ Michael Sarlo: Michael es el director de innovación y presidente de Global Investigation and Cyber Discovery Services de HayStackID.

+ Mary Mack: Mary es la CEO y Directora Jurídica del Modelo de Referencia de Descubrimiento Electrónico.

+ John Brewer: Como científico jefe de datos, John se desempeña como director de servicios tecnológicos avanzados de HayStackID.

+ John Wilson: Como CISO y presidente de análisis forense de HayStackID, John es un examinador forense certificado, investigador privado con licencia y veterano de TI con más de dos décadas de experiencia.

+ Jenny Hamilton: Como consejera general adjunta de descubrimiento global y privacidad de HayStackID, Jenny es la ex jefa del equipo de evidencia global de John Deere.

Transcripción de presentación

Introducción

Hola, y espero que estés teniendo una semana estupenda. Me llamo Rob Robinson y, en nombre de todo el equipo de HayStackID, me gustaría darle las gracias por asistir a la presentación y el debate de hoy titulada «Del ransomware al descubrimiento cibernético: historia, soluciones y flujos de trabajo de IA». El webcast de hoy forma parte de la serie mensual de presentaciones educativas de HayStackID en la red BrightTalk y está diseñada para ayudar a los profesionales de la ciberseguridad, la gobernanza de la información y el descubrimiento electrónico a medida que enfrentan desafíos de ciberseguridad y descubrimiento cibernético. El webcast de hoy se graba para su futura visualización en la red BrightTalk y en el sitio web de HayStackID.

HayStackID también se complace hoy por destacar nuestro apoyo en colaboración con el modelo de referencia de descubrimiento electrónico. La EDRM, liderada por la CEO y directora jurídica Mary Mack, crea recursos prácticos para mejorar el descubrimiento electrónico, la privacidad, la seguridad y la gobernanza de la información, y desde 2005, la EDRM ha proporcionado estándares de liderazgo, herramientas, guías y pasos de estado de datos de prueba para fortalecer las mejores prácticas en todo el mundo. En la actualidad, la EDRM tiene presencia internacional en más de 113 países de seis continentes y sigue creciendo, y hoy también estamos agradecidos de tener hoy a Mary Mack como oradora. Mary es autora de «The Process of Elimination: The Practical Guide to Electronic Discovery», que muchos consideran el primer libro popular sobre eDiscovery, y recibió su Juris Doctor de la Northwestern University Pritzker School of Law, y también posee su credencial de CISSP o Certified Profesional de seguridad de sistemas de información. Bienvenido, Mary.

Mary Mack

Gracias, Rob.

Rob Robinson

Estamos muy contentos de poder compartirlo hoy. HayStackID también está entusiasmado de poder destacar nuestra asociación con la Asociación de Especialistas Certificados de EDiscovery, más conocida como ACEDS, y ACEDS ofrece formación, certificación, cursos de desarrollo profesional en eDiscovery y disciplinas relacionadas, y estamos encantados de asociarnos con ellos en los esfuerzos. como el webcast de hoy. Además de Miss Mary Mack, hoy cuenta con algunos presentadores expertos que son considerados algunos de los principales expertos en temas en áreas que van desde la respuesta a incidentes de ciberseguridad hasta el descubrimiento cibernético. Mary, ¿harías el honor de presentar a nuestros expertos hoy?

Mary Mack

Me encantaría mucho, Rob. Estamos muy contentos en EDRM de asociarnos con HayStackID ID y compartir un tema tan oportuno. Así que, en primer lugar está Michael Sarlo. Es director de innovación, presidente de Global Investigations and Cyber Discovery Services de HayStackID y, por supuesto, facilita las operaciones para todo lo relacionado con la estrategia forense digital y litigios tanto en los Estados Unidos como en todo el mundo. Y luego soy yo. Sabes quién soy. Y el siguiente es John Brewer y científico jefe de datos, y tengo que decir que me encanta que los científicos de datos se involucren en el descubrimiento cibernético. Es algo maravilloso y la educación en torno a eso para nuestra comunidad en general. John se desempeña como director de servicios tecnológicos avanzados de HayStackID y ha trabajado para docenas de firmas de Fortune 500 en funciones que van desde eDiscovery hasta migración de datos y administración de información, por lo que tiene una superficie muy amplia para abordar estos problemas. Y también tenemos a nuestro amigo John Wilson. Es el CISO y presidente de análisis forense de HayStackID, y además de hacer toda la tecnología, el forense y el descubrimiento electrónico, también es un testigo experto, y eso es algo raro en nuestra industria, y estamos muy, muy contentos de tener a John en la presentación. Y luego tenemos a Jennifer Hamilton, a quien conocí por primera vez en su concierto en John Deere, donde no puedo creer que hayan sido 14 años, dando forma al desarrollo de eso y liderando ese equipo de operaciones de eDiscovery allí como jefa de su equipo global de evidencia en John Deere, y ella es la Consejera General Adjunta de Global. Descubrimiento y privacidad para HayStackID.

Y con eso, tenemos un buen programa para ti y se la entregaré a Mike para que nos guíe en nuestra discusión.

Presentación básica

Michael Sarlo

Muchas gracias, Mary, Rob, y gracias a todos por unirse hoy. Esperamos que se trata de una presentación informativa. Vamos a responder preguntas. Por favor, pimienta tantos como quieras. Intentaremos llegar a todos ellos. La presentación de hoy a un alto nivel se refiere al ransomware, tú y yo y eDiscovery y las intersecciones, y vamos a hablar realmente de algunas estadísticas. Creo que es importante que todos sepan cómo llegamos a donde estamos, en lo que respecta al ecosistema de rescate. Vamos a hablar más sobre las primeras 48 horas, por así decirlo, en caso de compromiso, cualquier tipo de incidente de seguridad y mejores prácticas allí. Vamos a empezar a Jenny para profundizar más en un diseño de plan de respuesta a incidentes eficaz de alto nivel, y ir más allá de algunos detalles técnicos, especialmente cuando los profesionales de eDiscovery pueden encontrarse comprometidos y que tal vez no tengan el conjunto de habilidades típicas de respuesta a incidentes cuando creemos. sobre el incidente cibernético, y hoy vamos a aprender que hay mucho más que simplemente sellar una brecha.

Vamos a hablar de lo que es el descubrimiento posterior a la infracción. ¿Qué significa eso? ¿Cómo utilizamos la IA? ¿Cómo afecta eso a los flujos de trabajo de privacidad con los que todos hemos estado tratando desde hace muchos años? Y luego termine hablando de la oferta ReviewWright Protect de HayStackID y de nuestro enfoque para la revisión humana y la minería de datos y cómo obtenemos sinergias aprovechando nuevos tipos de IA en ese dominio.

Así que, en primer lugar, hemos visto una explosión masiva, desde 2010, en la ciberdelincuencia y la ciberguerra, y creo que es una distinción muy importante, especialmente con la forma en que los mercados de seguros, que tienden a dominar la forma en que nos enfrentamos a las infracciones, la tecnología que podemos utilizar, la respuesta a ellos, los pagos y solo el enfoque y el flujo general de todo el paradigma de respuesta a incidentes cibernéticos y de todos los actores involucrados, y hay muchos de ellos. Hemos visto una explosión bastante grande de incidentes y muchas identidades comprometidas, algunas violaciones realmente grandes en 2017/2018. Esta estadística aquí está actualizada a partir de 2021 y proporciona una mirada bastante precisa de las infracciones denunciadas, y eso es realmente algo que hay que tener en cuenta, ya que muchas organizaciones pueden ser violadas, pueden tener un rescate, pueden exfiltrarse datos, puede que no tengan un requisito normativo para informar de esa infracción, dependiendo de qué se ha accedido al tipo de datos del cliente. Hemos visto casos en que organizaciones muy grandes deberían haber denunciado un incidente y no lo hicieron y sufrieron las consecuencias desde el punto de vista de un litigio civil. Por lo tanto, vemos que la mayoría de las organizaciones, medianas y grandes, tienden a no seguir en esa dirección, aunque los problemas de reputación, la gestión de la marca, los problemas con los clientes, pueden llevar a algunas organizaciones a trabajar para construir un evento en el que tal vez no sientan que necesitan denunciarlo.

Por lo tanto, estos números son muy bajos, es lo corto y dulce de ello. Hay mucho más que hacer el día a día, especialmente en el ámbito gubernamental. A veces se producen miles de pequeñas infracciones mensualmente, en lo que respecta a nuestra infraestructura, y a nuestras agencias gubernamentales, y hay más métricas de informes que están saliendo a la luz, y que se desconectan entre este número aquí y lo que puede ser decenas de miles en el el lado del gobierno debería darle la sensación de que esto está muy poco informado. Dicho esto, solo en 2020, teníamos en peligro cerca de 300 millones de personas PHI, PII y datos confidenciales. Fueron muchas cartas que nos pidieron a ti y a mí que nos inscribimos para el monitoreo crediticio gratuito, sin duda, que salieron.

John Wilson

Sí, y bueno, Mike, solo quiero añadir una de las cosas cuando estás viendo las estadísticas, ves ese número de aumento en 2017, pero también tienes que darte cuenta de que los atacantes se han vuelto mucho más adeptos a ser muy apuntados en lo que están haciendo. Por lo tanto, están obteniendo un conjunto de datos muy rico, y no solo, solía ser simplemente agarrar el mundo, lo tomamos lo que sea que podamos tener en nuestras manos. Ahora, están muy centrados, muy dirigidos y muy intencionados sobre qué datos están recopilando o qué información se está poniendo en peligro. Así que, si bien los números son un poco más bajos que hace tres o cuatro años atrás, el daño es sustancialmente mayor.

Michael Sarlo

Eso es correcto, y hablaremos sobre la evolución de dónde estamos hasta lo que el mundo y el ciber lado llaman más tácticas de caza de juegos.

Por lo tanto, el coste medio de una brecha, trabajamos en diferentes tamaños y escalas de materia, algunos son muy transaccionales y gestionados, otros son muy táctiles. El coste medio mundial fue de unos 3,86 millones de dólares. Aquí en los Estados Unidos es más alto, alrededor de 8,64 en 2020, y eso no necesariamente tiene en cuenta parte de la pérdida tangencial de ingresos, que se produce en caso de una violación a gran escala. Mucho de esto se relaciona con flujos de trabajo de gastos postlegales, como cuando pensamos en el antiguo dicho, eDiscovery, donde tal vez el primer 15% del presupuesto sea la recopilación de data lake, tal vez ahora se haya reducido al 10%, tal vez el 15% restante esté relacionado con el procesamiento y alojamiento de eDiscovery, probablemente tenía alrededor de 25, los precios han bajado y todo lo demás estaba relacionado con la revisión de documentos y la práctica de movimiento. Puede pensar en el mismo paradigma de gasto y presupuestación en cuanto a sellar el incumplimiento, tratar las recomendaciones defensivas y el trabajo forense en lo que respecta al seguimiento y comprensión de los diferentes tipos de indicadores de compromiso. Escucharemos esa palabra IOC. Probablemente haya sido más del 30% del gasto aquí, el resto está destinado a identificar la PII, responder a diferentes reguladores y, en realidad, gran parte de un flujo de trabajo legal y, a menudo, también un flujo de trabajo habilitado para la tecnología.

Y para darle una idea, cuando guardó ese Excel en su escritorio local, o en un recurso compartido de red que tal vez tenga cierta información que no debería, el costo promedio de un registro robado aquí en Estados Unidos es de alrededor de 146 dólares, un descenso de alrededor de 1,58 dólares, y las empresas sanitarias tienden a verse muy afectadas, y hay muchas cosas personales. datos, hay muchos sistemas involucrados y sus obligaciones que suelen cumplir con un listón más alto y, en general, el OCR tiene calificadores diferentes en cuanto a quién necesita ser notificado en caso de violación de datos. Por lo general, hablando de la mayoría de las empresas que no están orientadas a la salud, que no brindan atención, gestionan datos de salud, tienen algún tipo de PII identificable, su nombre social y su nombre, o un enfoque en dos fases desencadenaría una notificación, su nombre por sí solo no activaría una notificación, y para la atención médica importa, eso ha cambiado desde hace poco. El hecho de que su nombre aparezca en el conjunto de datos crearía una carga para que la organización lo notifique.

El coste medio de enviar una carta de notificación es de un dólar de extremo a extremo, solo para enviarla. Es más alto si se ofrecen servicios de monitoreo crediticio, y en realidad se trata de menos del 10% de los que reciben una carta, si no inferior, que podrían inscribirse en el monitoreo crediticio. Así que, algo que hay que tener en cuenta. Muchos de estos hechos y estadísticas se centran en las tasas combinadas, pero a veces me hacen muchas preguntas, y a partir de las pruebas de activos con la gente, es por lo general donde terminamos normalmente.

Así que voy a comenzar a John Wilson solo para hablar sobre el ransomware, cómo funcionan y, en realidad, lo que estamos viendo en general fuera del ransomware, cómo podría entrar un rescate y una empresa, y/o simplemente cómo una empresa puede verse comprometida en general a través de varios vectores diferentes.

John Wilson

Gracias, Mike. Por lo tanto, el ransomware es esencialmente, puede pensarlo como un virus o un programa malicioso que se ejecuta en su computadora, y pueden llegar allí de muchas maneras diferentes. La diferencia clave con el ransomware frente a otros virus o actividades de programas maliciosos es que la mayoría de ransomware intenta cifrar sus datos y colocarlos en un depósito cifrado para que ya no tenga acceso a sus datos, y los modelos de ransomware originales eran muy solo que solo diría, hey, ahora he cifró todos los datos de su computadora y tiene que pagarme un rescate para volver a ingresar a sus datos, sean cuales sean esos datos. Y esos ataques de ransomware toman muchas formas, pueden pasar por ataques de phishing, pueden pasar por muchas vías diferentes, ya sea que alguien llegue un archivo en su sistema que desencadena un ransomware o alguien haga clic en un correo electrónico de phishing en la organización que luego instala algo y comienza a tomar sobre la máquina.

La interesante evolución de este mundo de ransomware es que ya no están interesados en cifrar sus datos. Ahora, están creando urgencia, están generando presión sobre los propietarios y las personas, porque son, oye, tenemos todos tus datos corporativos, ahora los hemos cifrado, y también los hemos transmitido, los hemos descargado y lo compartiremos al público, si no nos pagas el rescate en un plazo de siete días, o dentro de los 10 días, o dentro de los 30 días, sea lo que sea, según el ataque de ransomware en particular. Se están concentrando mucho más en ello. Ahora están empezando a filtrarse esos datos. Están utilizando esos datos como amenaza. Hubo un caso reciente en el que un CEO de una importante corporación fue rescatado, porque en su dispositivo, cuando lo rescataron, encontraron fotos e información que lo pusieron en una posición muy comprometedora, y harían un daño público significativo a la organización, y así ese es el tipo de cosas que están empezando a hacer ataque.

Y de manera similar, mientras hablamos un poco cuando mirabas las estadísticas, y vemos que hay una disminución en los ataques de rescate denunciados, esos ataques de rescate se están volviendo mucho más sofisticados. Por lo tanto, no son los viejos tiempos de recibir un correo electrónico de phishing con un montón de escritos y frases terribles que no tienen sentido, y muchos errores tipográficos. Microsoft anunció ayer que hay casi un clon duplicado exacto de un mensaje de Microsoft que proviene de una dirección falsificada que parece procedente de sus sistemas informáticos internos, lo que requiere que incluya información de credenciales, tiene un aspecto muy legítimo y es mucho más difícil de detectar ahora. Tienes que ser muy cauteloso sobre lo que haces clic en un correo electrónico, y ese es solo un ejemplo de la sofisticación. La sofisticación se ha trasladado también a donde ya no están, oye, voy a sacar cosas y ver a quién puedo conectarme y quién va a ejecutar mis correos electrónicos de phishing. Están enviando correos electrónicos de phishing a personas específicas que desean ingresar a esas redes específicas y a esos recursos específicos. Están siendo significativamente más dirigidos al respecto, y eso está creando desafíos importantes, porque van a salir, están aprovechando esa información de redes sociales para asegurarse de que tienen buenas posibilidades de ejecutar su ataque.

Michael Sarlo

Y se ha convertido cada vez más en un modelo de negocio altamente sofisticado para los actores de amenazas y la forma en que trabajan juntos. Trabajan en cárteles, son organizaciones criminales con jerarquías y organigramas. Existe toda una red de herramientas basadas en la web altamente sofisticadas y pulidas que permiten la colaboración entre diferentes actores con diferentes conjuntos de habilidades en el mercado de rescate. Aquellos que buscan vulnerabilidades o buscan objetivos pueden colaborar con una plataforma que podría desplegar rescate con solo tocar un botón. Luego hay negociadores que se establecen para negociar y facilitar los pagos de rescate. El primer ransomware documentado en los años 80 fue el troyano del SIDA, que en realidad era un disquete que apareció y luego encriptó su computadora y tuvo que enviar dinero a un buzón de correos con unos 200 dólares para intentar restaurar esos datos. La explosión de adviento y lo que estamos viendo aquí con el rescate se correlaciona directamente con el amanecer y el ascenso de Bitcoin. Ese es el elemento clave aquí, al poder anonimizar la recaudación de dinero para devolver sus archivos a alguien y, de nuevo, como mencionó John, no basta con tener copias de seguridad. Exfiltrarán sus datos al mismo tiempo. Por lo general, en realidad, antes de eso, alguien estará en tu red, no lo notarás, son datos externos, y luego te rescatan, y básicamente estás atrapado en una posición que incluso si pudieras restaurar los datos, si no pagas ese rescate, básicamente te avergonzarán los datos. Lo publicarán en público [e-Zines] y lo filtrarán a los medios, y todos los datos de los clientes pueden salir y puede ser muy malo.

Realmente importante, y siempre una consideración a la hora de pagar un rescate, es el concepto de atribución, quién es en realidad el atacante, y nosotros, HayStackID, todas las compañías de respuesta a incidentes, todos colaboramos en lo que se llama huellas dactilares del atacante durante cualquier evento para tratar de entender quién está detrás del ataque. Podría haber repercusiones importantes si se paga un rescate a un actor sancionado por el Estado. La OFAC entra, no les gusta eso, y muchas de estas organizaciones renombra la marca. Desaparecen y remarcan la marca una vez que reciben un gran éxito. El clima político a escala global afecta totalmente a la cantidad de ataques que vemos. Se utiliza como táctica de guerra para influir en las decisiones políticas a escala global. Hemos visto un aumento masivo de los eventos de rescate durante el último año. Parecía correlacionarse en cierta medida con las negociaciones que se están llevando a cabo sobre el oleoducto Nord Stream 2, y ahora un declive. Por lo tanto, hay otros elementos que entran en algunos de estos eventos más grandes que vemos, y la mayoría de las veces, probablemente sean actores estatales que les están permitiendo que ocurran, o los están facilitando para estos grandes ataques periodísticos, pero hay muchas cosas que ocurren en las típicas empresas criminales como bien.

Así que esa es la breve historia del rescate, y no va a desaparecer. Sin duda, se está volviendo más sofisticado y hay otros métodos a los que se están moviendo también.

John Wilson

Sí, y solo un último comentario rápido para lanzar ahí es solo en referencia a la sofisticación y el avance de la misma. Por lo tanto, la mayoría de la gente probablemente ya haya oído hablar de los ataques de Kaseya, y ahí fue donde toda una cadena de suministro comprometió el software vendido de una empresa que prestaba servicios de soporte de TI, de una compañía que proporcionaba software para las empresas de servicios de soporte de TI, y luego solo se dirigieron al corporativo, la sede, y dijo: hey, hemos comprometido a 700 de sus clientes, pagándonos X o vamos a volar a todos sus clientes. Además de eso, un par de grandes jugadores en el mundo cibernético del ransomware ahora actúan como capitalistas de riesgo del resto del mundo del ransomware, diciendo, oye, salís, te financiaremos, y si puedes conseguir algunos allanamiento, tomaremos una parte de los ingresos, y ese es un modelo completamente nuevo. que se acaba de desarrollar este año. Por lo tanto, los ataques se están volviendo significativamente más avanzados y aterradores. Gracias.

Michael Sarlo

Gracias, John. Por lo tanto, vamos a comenzar con John Brewer, nuestro científico jefe de datos, también extraordinaria respuesta a incidentes y en todo lo relacionado con TI, para hablar sobre los primeros 48 aquí y cómo debe responder y pensar en cualquier respuesta a un incidente de seguridad. Adelante, John.

John Brewer

Muchas gracias, Mike. Así que sí, hablo de las primeras 48 horas después de que descubrieras que te han golpeado, pero antes de hablar de eso, voy a hablar un poco de señales de que te van a golpear. Ahora, esto cambiará de mes a mes, por lo que es importante mantenerse al día con las recomendaciones de quienquiera que sean sus proveedores de ciberseguridad, pero las cosas que son bastante coherentes a lo largo de los tiempos, los inicios de sesión parciales de MFA. Como civilización, hemos sido muy buenos implementando MFA en sistemas empresariales críticos, y esto nos proporciona una herramienta muy útil en nuestro arsenal. Si su personal de TI o si su equipo de seguridad o su centro de operaciones de seguridad como grupo de servicio ven a muchos usuarios que inician sesión con el nombre de usuario y la contraseña correctos, pero no están comprobando la MFA, es una señal de que al menos uno de sus usuarios, a veces varios de sus usuarios, puede tener han sido comprometidos y tenemos atacantes que simplemente se están dando cuenta de eso, con la esperanza de que alguien abra su teléfono, vea el desafío de seguridad y simplemente lo acepte. Eso es algo que vemos cada vez más en estos días.

Ataques de fuerza bruta, estos son los mismos ataques que has visto desde los años 90, donde un grupo, por cualquier razón, piensa que tiene ventaja al adivinar la contraseña administrativa, tiene alguna pista, tienen algún elemento de inteligencia que les lleva a creer que si pasan por una lista de 100.000 o un millón de contraseñas, que una de ellas va a funcionar en cualquier cuenta o sistema a los que se dirija. Un repentino aumento significa que alguien cree que vale la pena tirar esos recursos a su sistema.

Los correos electrónicos de phishing llegan con dominios extraños, ahora este está empezando a estar un poco anticuado. Como dijo John Wilson antes, estamos viendo un aumento radical en el nivel de sofisticación de los correos electrónicos de phishing que están afectando a los clientes y víctimas de ataques de ransomware. Por lo tanto, si ves correos electrónicos de phishing provenientes de dominios que son casi el dominio de tu organización, o casi el dominio de tu banco, por ejemplo, tener una I y una L cambiando el nombre, reemplazando una O por cero, ese tipo de cosas, cosas que la mayoría de los usuarios no captarían inmediatamente. Todo lo que surja así, especialmente de las instituciones financieras, es un indicio de que alguien está cazando activamente a su organización.

Las cajas de salto giran hacia arriba. Ahora, esto, de nuevo, es algo que hemos visto más en el pasado. Las cajas de salto pasan de moda en TI, pero definitivamente son algo que sigue ahí fuera en muchos lugares. Para cualquiera que no lo sepa, una caja de salto es una máquina que se encuentra dentro del área segura de la red, pero que tiene acceso a ella desde el exterior. Por lo general, solo se permite conectarse desde un par de direcciones IP diferentes, por lo general desde la casa del CIO, la residencia del administrador del sistema u otra oficina, pero si una de esas ubicaciones se ve comprometida, los atacantes lo transmitirán para utilizar estas puertas traseras a través del cortafuegos. Si esas personas empiezan a dar vueltas a veces que no esperas que lo hagan, o empiezan a enviar muchas solicitudes a la red, esa es una de las señales de que estamos a punto de ser golpeados.

SMB, Kerberos, LDAP, básicamente, cada vez que sus protocolos de autenticación o uso compartido de archivos reciban solicitudes de lugares inesperados, el ejemplo clásico aquí es si el enrutador perimetral de su red comienza repentinamente a pedir archivos de contabilidad, probablemente sea una señal de que no se supone que lo haga. La mayoría de las organizaciones tendrán implementadas medidas de seguridad para sus datos más confidenciales, de modo que no se eliminen inmediatamente de esa forma, pero algunas no. Y además, si ese enfoque no funciona, de nuevo, estos ataques son impulsados por humanos, quienes intentarán otros ataques, otros lugares, otros vectores mientras intentan entrar en tu sistema.

Transmitir tráfico desde las VPN punto a sitio, esto es algo que vemos mucho más desde la pandemia; envió a todos a casa y a todos se conectan a sus oficinas a través de VPN. Si un atacante obtiene credenciales de VPN que se pueden usar desde cualquier lugar, se conectará a su red y, por lo general, una de las primeras señales de que algo se ha vuelto loco, es que enviará lo que se llama tráfico de transmisión, básicamente solicita a toda la red diciendo: oye, qué hay ahí fuera, qué servidores hay, ¿qué servicios están disponibles? Rara vez es algo que vemos que los usuarios habituales hacen en la red. Vale la pena dar una alarma si lo ves.

Y aumentos abruptos del tráfico que no es HTTPS de los equipos cliente. En realidad, esto es algo más fácil de hacer ahora, porque casi todo en estos días, en términos de aplicaciones con las que los usuarios interactúan diariamente, se ejecuta a través de HTTPS. Casi todas las aplicaciones que los usuarios utilizan día a día, se ejecutan a través de un navegador web, ya sea que Office esté hablando con los servidores de Microsoft a través de HTTPS a través de una API web, o si se trata de usuarios que inician sesión en Dropbox, o [Toggle], o cualquier otra de una docena de aplicaciones de uso común diferentes. Cada vez que empezamos a ver información que no pasa por HTTPS fuera de la red, a menudo es una señal de que tenemos algún tipo de telemetría procedente del malware que está filtrando la red, ya sea comando y control, o si realmente está filtrando archivos y datos de ese sistema.

Hablemos de ello justo después de que te hayan golpeado. Ahora, cuando hablo de esto, hablo de cuando descubres que te han golpeado. La mayoría de las organizaciones se habrán infiltrado durante horas, días, a veces incluso semanas o meses, antes de que descubran que han tenido un intruso y, a veces, no descubren que han tenido un intruso hasta que reciben un correo electrónico del atacante con una demanda de rescate. Ahora, en esas primeras 48 horas, hay un par de prioridades que tenemos aquí. Estamos confirmando que se ha accedido a los datos. Normalmente, desde el principio, no sabemos cuántos datos han salido. Incluso si tenemos una declaración de los atacantes que dice lo mucho que tienen, eso no es necesariamente la verdad, y casi siempre, las personas que lo descubren en primer lugar no saben cuáles son sus responsabilidades o exposición legal. Esto no es algo que la gente acaba de leer en su tiempo libre porque sienten curiosidad por ello.

Así que, en términos de los primeros minutos después de enterarte, si eres ejecutivo, profesional de TI o simplemente un usuario habitual, el primer paso es no esperar. Sea cual sea la línea de emergencia que tenga en curso, sea cual sea su nivel más alto de escalada en su organización de TI o de su organización de soporte, utilice ese número. No seas tímido, porque suponiendo que la fuga siga activa, bloquear el sistema es la máxima prioridad en ese momento. Despierta a la gente si es necesario, llama a la gente que está de vacaciones. Sé que es un falso pas desde una perspectiva social, pero es muy importante que si hay alguien disponible que pueda bloquear y proteger sus sistemas lo más rápido posible, se contacte con esa persona.

Cambia las contraseñas de cualquier cuenta que se haya visto comprometida y no te asustes al cambiar las contraseñas en otros lugares. Como mencionó John Wilson antes, el impacto operativo en lo que está sucediendo podría ser el menor de sus problemas.

Detener todos los sistemas que rotan o eliminan registros, esto es algo que suele olvidar la mayoría de las organizaciones. Va a haber una investigación, habrá preguntas, y si los registros se están rotando, eliminando o de otro modo, pasando al olvido, debe detenerse inmediatamente, porque es posible que deba retroceder semanas o meses en sus archivos de registro para determinar cuál es el punto de entrada original era, y si no tienes esos registros, uno, va a hacer tu responsabilidad internamente tratar de averiguar cuál era el punto de entrada mucho más difícil, y dos, no va a quedar bien más adelante.

Proteja todas las copias de seguridad y empiece a pasar a copias de seguridad externas. Vemos con frecuencia, o comenzamos a mover copias de seguridad fuera del sitio al sitio, debo decir. De nuevo, desde una perspectiva operativa, si tenemos un sistema cifrado que realmente se ha desactivado, si no se trataba de una salida de daños, sino que en realidad se detuvieron los sistemas de producción, querrá volver a llevar sus copias de seguridad externas al sitio, para que pueda prepararse para restaurar desde ellos. Un montón de ransomware que vemos en el mercado hoy en día tiene tiempos bastante largos. Por lo tanto, si está ejecutando copias de seguridad semanales, dos copias de seguridad semanales e incluso mensuales, podría tener el malware en su sistema a partir de esas copias de seguridad y, cuando lo restablezca, lo volverá a ver todo cifrado. Ir y obtener las copias de seguridad más antiguas que puede, incluso si necesita realizar alguna restauración híbrida, donde restaura el sistema desde un conjunto y los datos de otro, ese puede ser su mejor camino hacia adelante.

Vale, y ahora las cinco preguntas que tenemos que responder tras descubrir que te han golpeado. En primer lugar, ¿quién fue expuesto? ¿Se tomaron datos de clientes, datos de empleados, datos de proveedores? Otra información de la que eres responsable, el caso clásico aquí son los informes crediticios, pero ciertamente, si nos encontramos en una situación de PHI, podríamos tener en el consultorio médico información de pacientes que no son necesariamente clientes o empleados, pero seguimos siendo responsables y que obviamente lo tendrían se ha visto comprometido por la infracción.

¿Cuándo llegó el atacante y a qué hora se les cerró? Una vez más, esto va a ser muy importante para poner barras de error sobre la cantidad de datos que podrían haber obtenido. Saber cuánto tiempo estuvieron en el sistema puede ayudarnos a averiguar exactamente cuántos datos podrían haberse transferido en ese tiempo, y si tenemos políticas de eliminación de datos, hasta qué punto podrían tener información que consideramos que se ha destruido y eliminado actualmente.

¿Algo se ha alterado? Por lo general, no vemos alteraciones en los datos en los que las personas entran y cambian los datos operativos. Si vamos a ver cambiar la información, va a ser como encriptaciones masivas, ya que estamos familiarizados con el ransomware, pero también, es importante mirar donde se crearon nuevas cuentas. Esto es especialmente común en los objetivos que podrían estar sujetos a ataques repetidos, en los que los atacantes entran, crean un conjunto de cuentas por sí mismos o restablecen contraseñas en cuentas existentes y raramente usadas, de modo que puedan volver a entrar después de la restauración para atacar nuevamente el sitio.

¿Se han cambiado los permisos? Esto puede ser cualquier cosa, desde ajustarlo para que una persona interna pueda acceder a datos que no debería, hasta configurar un montón de depósitos de AWS para que puedan leerse públicamente para que puedan leerse de nuevo desde el exterior, y el incidente y la brecha continúen después de la restauración, pasado detección.

¿A qué tienen acceso? Con frecuencia, esto es, una vez más, algo en lo que solo puedes poner barras de error. ¿Cuál es el mejor escenario? Tal vez solo tenían acceso a esta máquina que vimos encriptada. Ahora, ¿cuál es el peor de los casos? Es decir, bien, sabemos que tenían este nivel de credenciales y que ese nivel de credenciales tenía acceso a toda la base de datos de clientes o a toda la base de datos de producción. No sabemos si sabían que tenían acceso a eso, así que tal vez no lo leyeron, pero eso es algo que tenemos que poner en el peor de los casos.

Y finalmente, ¿qué hiciste? Esto es algo que, de nuevo, se pasa por alto con frecuencia, pero documenta todo lo que haces en respuesta al ataque, especialmente si no tienes un procedimiento escrito en marcha. Justo en las primeras horas y días después, cualquier acción de buena fe para tratar de contener el daño y tratar de proteger los datos, aunque posteriormente resulte ser un punto confuso, va a tener en cuenta más adelante. No elimines nada que no sea una amenaza inmediata, porque, de nuevo, va a haber una investigación, habrá un seguimiento, puede haber consecuencias reglamentarias, y si eliminamos cosas que podrían ser relevantes más adelante, eso puede tener consecuencias imprevistas más adelante en la investigación proceso.

Y ahora creo que voy a pasar a Jenny sobre el diseño efectivo del plan IR.

Jennifer Hamilton

Sí, así que hemos llegado a la parte en la que tenemos que averiguar qué triplicar, cómo hacerlo, quién está primero. Por lo tanto, comencemos a revisar lo que hace que un plan de respuesta a incidentes sea efectivo.

Así que, primero, tenemos actores clave. Lo hemos discutido varias veces en varios seminarios web diferentes sobre ciberseguridad y ransomware. No podemos enfatizar lo suficiente como para decidir de antemano quién está a cargo de forma proactiva, cuál es la pregunta de antaño. ¿Es TI? ¿Es legal? ¿Es un abogado externo? ¿Quién es el punto de carrera? Y eso a menudo se reduce a quién necesita estar dando dirección, quién está tomando decisiones. Por lo tanto, esas cosas de antemano son increíblemente importantes, porque lo que no quieres es que la persona que asesore y maneje algunos de los aspectos sustantivos más desafiantes de la respuesta al incidente también se encarga de tomar todas las decisiones y convertirse en un cuello de botella para las comunicaciones, y esto puede suceder fácilmente.

Por lo tanto, ¿cuándo tiene a cargo legal frente a TI frente a otros actores de una corporación y un abogado externo? Por lo tanto, este es un área en la que tienes que decidir desde el principio y, una vez más, quién toma la decisión, qué tipo de notificaciones podrían necesitarse, qué se debe informar y a quién, y más cuando se produce una violación de la seguridad cibernética de los datos que contienen información personal, registros sanitarios, como mencionó Mike. antes, o incluso tienes un ransomware donde — creo que las estadísticas son aproximadamente la mitad del tiempo que el ransomware, los datos son realmente exfiltrados y ransomados, luego tienes obligaciones, dependiendo del tipo de datos que tengas que hacer informes, y esas obligaciones se vuelven muy complejas, muy extensas y muy oportunas sensible. Y lo que quiero decir en términos de extensa, ya que podrías estar haciendo una notificación de incumplimiento a los 50 estados, el OCR, como mencionó Mike, varios países, Europa es grande, pero incluso China, India y Brasil en estos días podrían ser parte de esta notificación, y cuando hablamos de hacerlo rápidamente, estamos hablar en un plazo de 72 horas, en muchos casos. Por lo tanto, sería muy difícil que quien sea el punto de partida en el proceso de notificación de incumplimiento también tome decisiones técnicas, proporcione orientación, interactúe con asesores externos, firmas de relaciones públicas, seguros, etc., para pensar detenidamente sobre las cargas de trabajo y cómo equilibrarlas.

El abogado externo puede ser una gran ventaja en estos eventos, pero en realidad no se trata necesariamente del papel, aparte de las consideraciones privilegiadas, sino realmente experiencia y lo llamaré un arcoíris de experiencia cuando se trata de las personas adecuadas para correr con el incidente y gestionar todos estos movimientos diferentes. partes, y cuando digo arco iris de experiencia, creo que realmente es alguien que puede ver el principio hasta el final, así que el principio en términos de qué contratos requieren notificaciones a quien, hasta si esto terminó en litigio, ¿tiene esta persona esa línea de visión de qué ¿realmente es la prioridad de proteger a la empresa desde el principio hasta el final? Obviamente, la experiencia en seguridad de datos, la experiencia en el sector de los seguros y la cobertura y el trabajo en los paneles pueden ser críticos, marcar la diferencia y también me gusta destacar la importancia de contar con algún tipo de experiencia de descubrimiento electrónico, tanto en términos de comprensión de flujos de trabajo como de crisis. gestión y clasificación, pero también en el amplio: la extensión de los flujos de datos alrededor de una organización, de dónde proceden los datos, qué contienen, hacia dónde van y cómo identificar y priorizar las prácticas de mitigación de riesgos.

Y luego, aparte de los litigios, está teniendo esa experiencia en privacidad. Esto es muy difícil de hacer, encontrar a alguien que tenga esa gama de experiencias, pero esa es la gente que quieres en el equipo principal frente a un equipo expandido, y en posición de triplicar la respuesta con un libro de jugadas o, en algunos casos, sin un libro de jugadas. Y luego también establecemos, una vez más, ¿quién está tomando decisiones? No suele ser la misma persona. Puede que estén tomando algunas de esas decisiones, pero en términos de decisiones de alto nivel de comunicación e informes a lo largo de la cadena, esa experiencia también es extremadamente útil. Bonificación si este cliente potencial o grupo de clientes potenciales desde TI hasta el legal también tiene experiencia en informes a los consejos de administración y proporciona el nivel de información adecuado.

Por lo tanto, cuando hablamos de roles y no solo de nombres en el plan, es una situación en la que las personas y las organizaciones cambian con frecuencia, especialmente en esta área. Por lo tanto, quieres saber quién — ten siempre claro quién desempeña ese papel, ha cambiado el título y cómo averiguas a quién participar, cuándo. Esto suele ser muy importante cuando se trata de eDiscovery, y también aquí en una especie de evento cibernético.

Y luego me refiero a quién está en el equipo central frente al equipo ampliado y creo que eso es importante porque quieres que el menor número de jugadores que puedas identificar mueva el balón hacia adelante y sea rápido. Pero también tendrá que ponerse en contacto con varios expertos en la materia que puedan hablar ese idioma. Y hemos hablado de que el seguro es un área perfecta, donde quien esté en el equipo principal y esté involucrado en la dirección, el asesoramiento o las decisiones necesita hablar un poco el idioma de las aseguradoras y las pólizas, y tener relaciones ya desarrolladas con su equipo de gestión de riesgos internamente. Por lo tanto, eso es útil para identificar todas esas cosas diferentes.

Me gusta hacerlo creando un gráfico RASCI en el que se realiza un ejercicio con un grupo, porque hay muchos expertos en la materia involucrados en algo como esto, y trabajando en quién es, en última instancia, responsable de asegurarse de que ciertas cosas se ejecuten, quién es responsable, quién es consultado y quién está informado. Y esos elementos, simplemente trabajando en esa parte con quien esté en el equipo principal frente al equipo ampliado, es posible que ni siquiera tengas tiempo de hacer referencia a eso en medio de un incidente, pero entender qué necesitan los diferentes grupos en diferentes momentos puede ser extremadamente útil cuando se trata de tiempo de ir.

Mary, por favor, pesa.

Mary Mack

Me emociona mucho saber acerca del gráfico RASCI con las responsabilidades y el nivel de toma de decisiones que tiene cada persona, que me lleva de vuelta a los primeros días de preparación para litigios en los que la gente acaba de recoger y hacerlo. Y ciertamente, en los primeros casos eso funciona, pero luego obtienes personas con descripciones de puestos y algunas cosas se superponen, y si tienes un equipo principal frente a un equipo ampliado, es muy importante que lo describa y lo discutas anteriormente. Incluso si, como dijo Jennifer, no lo usas, encuentro en litigios, investigaciones, y aquí en el descubrimiento cibernético, es muy importante saber quién toma la decisión final. Porque de lo contrario, puedes perder el tiempo intentando averiguarlo, tratando de trabajar en un entorno altamente cargado, muy visible y altamente político. Así que, tener esos papeles abajo, creo, es un regalo maravilloso, Jennifer, la lista RASCI para esto.

Jennifer Hamilton

Es curioso, fue una de las primeras conferencias a las que asistí cuando estuve en John Deere y eso fue criado, y pensé, vaya, eso es realmente interesante, y probablemente ha sido una de las herramientas más útiles de mi carrera, desde los litigios hasta el descubrimiento cibernético. Por lo tanto, te animo encarecidamente a que busques gráficos RASCI y los utilices. Una vez más, es un gran ejercicio para reunir a las personas y proporcionar claridad. Esta puede ser una de las cosas más importantes que haces para prepararte para cualquier tipo de conflicto de tipo de crisis.

Así que, del mismo modo, hablemos de flujos de trabajo. Hemos estado hablando de tener flujos de trabajo y de lo importante que es. Una vez más, puede que no tengas tiempo de referirte a él en medio de un evento, sino solo la práctica, la experiencia de reunirlos para que el equipo, en su conjunto, comprenda lo que es un flujo de trabajo típico. Y, obviamente, en la mayoría de las situaciones de crisis, hay mucha improvisación que ocurre. En realidad no fluye perfectamente. Al igual que en eDiscovery, las cosas no fluyen perfectamente de una fase a otra, y ahí es donde los ejercicios de mesa pueden ser útiles.

Me resulta difícil incluso hacer esos ejercicios, porque es un esfuerzo desalentador, especialmente para los equipos que realmente no lo han experimentado antes. Por lo tanto, lo que me gusta pensar en términos de funciones y responsabilidades y combinar con flujos de trabajo es averiguar cuál es el evento de mayor riesgo que puede enfrentar su organización. Bajemos a la primera, dos, quizás hasta tres. Comencemos con el evento de mayor riesgo. Y aquí es donde el legal realmente quiere involucrarse.

Legal quiere prestarse para ayudar a evaluar el riesgo. Por lo tanto, creo que ahí es donde se puede tener un evento de naturaleza altamente técnica y que necesita a los Johns y los Mikes involucrados en un grado muy granular, pero también, según lo legal, en términos legales, este es realmente uno de los eventos de mayor riesgo, y volver a lo que hay que informar puede impulsar eso. decisión. Notificaciones de datos, privacidad e incumplimiento, cumplimiento de las pólizas de seguro.

Y también me pondré aquí cuando sea bueno involucrarme más profundamente en la ley o tal vez tomar la iniciativa ya que el libro no es de jugadas importa. De nuevo, si tienes a esa persona, y no tiene que ser abogado, sino la persona que tiene más experiencia desde el principio hasta el final de la crisis, eso puede ser realmente útil. Debido a que hay eventos que van a suceder, como el ransomware, la gente no estaba preparada para eventos, y yo lo llamo la materia no relacionada con el libro de jugadas. Por lo tanto, ahí puede ser donde lo legal puede ayudar realmente a respaldar el flujo de trabajo y la estrategia, si no impulsar.

Y también, un punto clave aquí es que estas cosas, y hablamos de improvisación, también vamos a hablar mucho en paralelo, las cosas están sucediendo paralelamente al mismo tiempo. Entonces, ¿dónde tiene sentido? Si tienes que hacer un informe en 72 horas o tienes 24 horas para hacer un informe, entonces quién va a hacer qué al mismo tiempo. Por lo tanto, estas son cosas, creo, que pueden discutirse y resolverse de antemano.

No sé, Mary, si tuviste alguna idea al respecto también.

Mary Mack

Creo que al igual que con una presentación, si tienes un guión y tienes un esquema y sabes a dónde vas, ciertamente el ransomware es donde estás... es como si metieras el dedo en la toma de luz, y si estás hablando de lo peor posible que le podría pasar a una organización y volverse legal involucrados en ese momento, porque esa es la octava de riesgo más alta, creo que es tan importante documentar el flujo de trabajo, de modo que al menos tengas un camino a través. Puede que no sobreviva, qué es, el inicio de la batalla, todo el mundo arroja sus manuales por la ventana y simplemente abordan la crisis. Pero incluso algunas de las subpartes van a ser útiles. Y a medida que trabajas en tus diversos eventos cibernéticos, verás qué cosas funcionan para tu organización y luego podrás repetirlas y mejorarlas.

Estamos en este momento, algo así, para la mayoría de las organizaciones, justo al principio, y es muy importante invertir tiempo para documentar y desarrollar la confianza y las relaciones entre las personas que van a tener que formar este, en esencia, Tiger Team.

¿No lo crees, Jennifer?

Jennifer Hamilton

Sí, la confianza y la creación de relaciones es fundamental aquí. Y creo que este es un área en la que hacer el trabajo cotidiano realmente puede sacarte del curso de hacer estos ejercicios avanzados de planificación y creación de confianza, pero realmente desearías haberlos hecho si no te das tiempo para ello.

Y hablando de eso, en términos de buena comunicación y de tener un plan, aquí es donde me gusta... siempre hay todos estos consejos y hay libros de jugadas de ocho a 20 páginas de largo. El ransomware, en realidad, merece su propio libro de jugadas. Se está convirtiendo en una norma, y si los datos se exfiltran o si solo están cifrados y ransomados, estos escenarios están en la lista para desarrollar su plan de comunicación.

Y creo que los planes más cortos posibles, mejor, porque en la vida real, si tienes algo más de un par de páginas, realmente no hay tiempo para sumergirte y analizarlo, y averiguar cómo hacerlo aplicar. Por lo tanto, me gustan las cosas que son de una página, me gustan más viñetas o diagramas visuales de tipo visio, y de nuevo, elaborados por rol.

Lo que la gente necesita saber es a quién comprometerse y cuándo involucrarlos y cómo involucrarlos. Una vez más, eso es solo eDiscovery 101 también. Si puedes incluirlo en un plan de una página, estás bastante adelantado en este proceso y también necesitas saber cuándo no eres el líder. En muchas de las comunicaciones, se trata de eventos especiales, y la comunicación de crisis es diferente a la de cada día, incluso en un litigio y cómo nos hablamos entre nosotros y quién hace qué. Por lo tanto, en ese sentido, es útil leer, hay algunos libros geniales sobre las comunicaciones de crisis y la comprensión de cómo es muy diferente de un proyecto cotidiano, y luego simplemente aprovechando los equipos que tiene que tener eso, incluso si hiciste un ejercicio de mesa solo sobre comunicación, sería una inversión valiosa.

John Wilson

Jenny, una sola página, incluso si vas a tener un plan completo de 20, 10, cualesquiera que sean tantas páginas, tener ese tipo de tarjeta de memoria que dice: «Aquí está la persona con la que hablo si necesito a alguien para esto» se vuelve muy importante. Debido a que estas cosas, de nuevo, especialmente a medida que se están volviendo cada vez más sofisticadas, están poniendo urgencia en el tiempo: «Oye, hemos capturado tus datos, sabemos que estás a punto de hacer un trato de M y A, y vamos a hacer pública esa información, y tienes que pagar nuestro rescate en 72 horas». Puede haber algunas limitaciones de tiempo muy estrictas para averiguar qué va a pasar, quién debe participar y todo. Por lo tanto, tener ese buscapersonas que realmente te ayuda a acelerar el proceso y saber con quién necesitas contactar cuando es realmente importante.

Jennifer Hamilton

Así es, John. E incluso qué usar y tenerlo en cola antes de que ocurra el evento, Signal es una aplicación que se está volviendo increíblemente popular. Está en los teléfonos de todos, está encriptado, y quieres tener estos grupos por rol que sigan el plan, hasta cierto punto, ya organizados y listos para funcionar, así que no intentas crear... conseguir que todo el mundo descargue Signal en medio de un evento no es ideal por ningún medio, así que esa es mi otra cosa para llevar aquí.

Bueno, vamos a pasar al mapeo de datos. Podemos viajar de vuelta un poco aquí. Pero en el mapeo de datos, de nuevo, esta es otra cosa que resulta muy útil en términos de planificación proactiva de la respuesta a incidentes, pero también puede ser muy útil después de la infracción en el proceso de descubrimiento. Tiene equipos de privacidad y equipos de eDiscovery y varios otros profesionales de TI que están más en el lado del gobierno de la información que probablemente, en algunas organizaciones, ya hayan creado un mapa, un diagrama o una hoja de cálculo que rastrea algunos de los flujos de datos más críticos a través de la organización que tendrían el tipo de datos que tendría estar más preocupado. ¿Dónde está la información personal confidencial? ¿Dónde están los registros médicos, los registros financieros, algunas joyas de la corona de la compañía?

Y diré que hay diferentes grupos, a lo largo de los años, empezamos a crear mapas de datos, lo que, Mary, hace unos 15 o 20 años en litigio, pero hay varios grupos que lo recogieron y se dirigieron con él, como los equipos de privacidad, para cumplir con el RGPD, y eso también va a ser un requisito para llegar aquí para otras nuevas leyes de privacidad estatales que han surgido en los últimos meses. Tendrás que hacerlo, si no tenías que hacerlo por Europa.

Entonces, ¿por qué reinventar la rueda y por qué no ir a esos registros y acelerar el grupopiense en dónde debe concentrar sus esfuerzos para remediar, para informar? Ya sea que se trate de informar a personas afectadas o a los reguladores, o simplemente para informar a la empresa, «Oye, ¿adivina qué? Este es el tipo de información que había en esta base de datos de la que ni siquiera sabíamos antes». Por lo tanto, esta es la manera de obtener no su proceso de descubrimiento cibernético posterior a la infracción, y también aprovechar el conocimiento institucional que tiene con los equipos de eDiscovery, los equipos de privacidad, etc. Y algunas empresas están realmente adelantadas a esto y usan 365 para etiquetar y desarrollar la retención.

Pero tu mejor amigo aquí es no tener los datos en la posición vulnerable en la que se encuentran, y así, en la medida en que eso puede ser una inversión en el tipo de planificación proactiva. Por lo tanto, no mantener los datos más allá de su vida útil para el negocio. Y ahí es donde te metes en pensar, ¿puedes presupuestar para algunos proyectos de remediación? Obviamente, probablemente podría cambiar a la organización haciendo esto de forma general, en todos los sistemas heredados, bases de datos, cuentas de correo electrónico, pero si, como organización, puede realizar una auditoría de privacidad o una auditoría de eDiscovery y evaluar, de nuevo, sus repositorios de mayor riesgo, donde tal vez sea su información del cliente o registros médicos del paciente, y comience de forma pequeña e iterativa, veamos qué hay incluso y descubramos qué hay que remediar mucho más allá del cronograma de retención o de la vida útil, y no en espera legal, aquí será donde sea más efectivo en la gestión de un incumplimiento real.

Y luego ya hemos abordado la respuesta y la notificación, y cómo asegurarnos de que tus flujos de trabajo funcionen sin problemas y en paralelo. Una vez más, la respuesta a la brecha es completa: podríamos tener un seminario web completo sobre eso, pero el objetivo es acelerarlo. Por lo tanto, en la medida en que pueda aprovechar sus conocimientos institucionales, como hemos hablado, aproveche más a sus proveedores... no solo el soporte de litigios, el descubrimiento electrónico, las revisiones de documentos, sino que también saben cómo identificar esta información rápidamente? ¿Tienen la tecnología? ¿Utilizan inteligencia artificial? ¿Lo refuerzan con otras formas de validar lo que hay allí de una manera muy, muy rápida y poner esa información en manos de los grupos responsables o responsables de cualquier tipo de notificación de incumplimiento es fundamental. Por lo tanto, cuanto más tenga proveedores y socios comerciales y personas jurídicas que trabajan en la intersección de TI, litigios, ciber, todos estos diferentes grupos que ya entienden mucho, no tienen que enseñarse nada a lo largo del camino, están íntimamente familiarizados con su negocio, con sus procesos, con su personas, tienen esas relaciones de confianza construidas, entonces esto puede marcar una gran diferencia en el éxito de gestionar uno de esos eventos.

Michael Sarlo

Gracias, Jenny. Eso ha sido genial. Muchas gracias, Mary, muchas gracias. Hay mucho que incluye un manual de respuestas a incidentes. Y los flujos de trabajo posteriores a la brecha fuera de la pieza técnica es donde descubrimos que faltan incluso las organizaciones más sofisticadas.

Algo que sí quiero señalar es que empezamos a hablar de MSA y demás, y hay una, típicamente hablando, basada en la decisión de Capital One tras su incumplimiento de Virginia, los servicios de TI adquiridos, antes de un incumplimiento, no en relación con un asunto legal, no están cubiertos técnicamente por el abogado/cliente paraguas privilegio. Por lo tanto, bifurcar las comunicaciones de ciertas maneras y ser conscientes de ello en cuanto a quién se compromete y cómo se construyen compromisos en relación con responder a un incumplimiento es muy crítico para asegurarnos de que lo que la industria cree que debería ser un evento privilegiado, tendemos a creer que la cibería es un problema legal. Debes asegurarte de que lo estás manejando adecuadamente. Cualquiera de los principales entrenadores de brecha es altamente sofisticado en cuanto a mitigar esa exposición, lo que es algo que hay que tener en cuenta que, a veces, su uso habitual no es el correcto para ciertas partes del flujo de trabajo.

Entonces, ¿qué es el flujo de trabajo de descubrimiento posterior a la infracción? No nos queda mucho tiempo, así que vamos a hacer clic en esta presentación ahora mismo. Pero, en general, las fuentes de datos se ven afectadas, ya sea que las conservamos in situ o nos estamos comunicando directamente con los actores de la amenaza. Normalmente se publican en algún tipo de público [e-Zines]. Los incorporamos a una infraestructura que tenemos que está completamente dedicada a los eventos de incumplimiento. Muy importante. Creo que muchos datos pueden combinarse en la comunidad de proveedores. Imagina que tienes tu gran caso de litigio en una base de datos y ahora este en otra, y un conjunto de datos puede estar lleno de tipos de archivos maliciosos. También manejamos muchos eventos de día cero. En esas situaciones, no tienes capacidad para identificarlo.

Entonces, la gran pregunta es, ¿hay datos confidenciales en ese conjunto de datos en este momento? Y los datos confidenciales, a menudo, van a ser PII, PHI cosas así, pero para... se trata de cualquier tipo de sensibilidad empresarial, propiedad intelectual, contratos, comunicaciones con clientes, todo eso también es muy importante, especialmente para las personas que necesitan contactar a nuestros clientes y decirles que ha habido una infracción y lidiar con esas repercusiones.

Normalmente hablando, va a haber un poco de procesamiento de datos. Preferimos Nuix, en este caso, especialmente cuando tengamos que hacer un análisis forense de archivos si tenemos más tipos de malware cambiantes que tienden a cambiar, hash MD5 o cosas diferentes, o realmente queremos profundizar en los componentes de un archivo individual, o desde el punto de vista de la investigación, pero también para identificar ciertos tipos de IOC que pueden estar incrustados en archivos que no son necesariamente transparentes.

En ese momento, la entrega de alto nivel que realmente pone en funcionamiento estos compromisos es realmente lo que llamamos un Informe de Evaluación de Impacto, y lo hacemos de un par de formas diferentes. Tenemos lo que sería una evaluación de impacto de bajo nivel que realmente ocurre de inmediato, basada en una biblioteca masiva de expresiones regulares, técnicas de búsqueda y ambos desde el punto de vista de contenido, rutas de archivos y carpetas que se enriquecen de nuevo en nuestro flujo de trabajo propietario de ECA, lo que llamamos RevieWright Protect Análisis. Y luego hemos desarrollado nuestra propia IA que hemos perfeccionado y perfeccionado a través de muchos eventos que permiten identificar datos confidenciales.

Y en ese momento, por lo general, hay — trabajando estrechamente, o bien... tenemos aquí nuestra oferta totalmente gestionada que le hará pasar del incumplimiento a una lista de divulgación, digamos, una lista de divulgación, me refiero a una lista de las entidades que se han visto comprometidas, humanos, corporaciones, su información comprometida. Luego trabajaríamos con uno de los principales proveedores de notificaciones, ya sea Equifax, Experian para comprobar las direcciones y luego se envían notificaciones a esas personas. Y el reloj suele durar alrededor de 65 días cuando estás lidiando con HIPAA. Y cuando se inicia ese reloj, suele ser tan pronto como miras un documento. Y escucharás cosas distintas sobre cuándo y dónde empieza ese reloj, y ser estratégico al respecto es increíblemente importante para las brechas a gran escala, más en varias geografías. Es muy importante tener una idea de dónde se encuentran los interesados potenciales, no solo dentro de la empresa, sino dónde viven realmente, y de dónde y dónde se recopilaron sus datos y con qué propósito. Y, en realidad, volviendo a esos sistemas que tal vez el CRM, tal vez el sistema de registros médicos electrónicos, que tal vez algún otro sistema puede, a menudo, ser un buen indicador de lo que está tratando desde el punto de vista geográfico, con qué reguladores está tratando.

Ese informe de evaluación del impacto de la IA y todo ese producto de trabajo tienden a pasar por un flujo de trabajo en el que estamos validando estadísticamente tramos de documentos basándonos en sus resultados, específicamente con el... también devolvemos intervalos de confianza, qué tan preciso piensa el equipo, y eso ha mejorado. y buscamos objetivos de alto valor para pasar directamente a la minería de datos, lo que normalmente llamaríamos en el espacio de eDiscovery, Revisión y/o extracción, extracción o extracción de datos. Y puede hacer que algunos equipos muy grandes trabajen en estos asuntos que en realidad están recopilando diferentes tipos de elementos de PII, correlacionándolos de nuevo con las entidades.

Y el objetivo es, básicamente, llegar a una lista resumida deduplicada y, básicamente, poder identificar cada pequeña información sobre usted o sobre mí en el universo de datos, de dónde y de dónde vino y, básicamente, poder deduplicar esos elementos de metadatos. No estamos hablando de deduplicar documentos aquí, estamos hablando de deduplicar datos más estructurados que estamos recopilando. Y es muy importante, porque se convierte en un enorme desafío de big data.

Utilizamos diversas técnicas para detectar datos desde el punto de vista de la IA. John, ¿quieres entrar aquí un segundo, ya que eres el jefe jefe de IA?

John Brewer

Claro. Sé que tenemos poco tiempo, así que no voy a entrar demasiado en detalles aquí, pero la clave de esta diapositiva es que usamos una combinación de técnicas más antiguas, cosas como la coincidencia de plantillas Word2vec, que básicamente usan patrones en palabras, más precisamente, patrones en la disposición de las palabras en documentos para ayudarnos obtener una comprensión muy cruda y aproximada de cuál es el contenido de ese documento para que podamos hacer deducciones más inteligentes e informatizadas sobre el contenido allí y si es relevante o no.

Y luego usamos muchos otros modelos que se están utilizando que están casi en fase de investigación, y que están empezando a entrar en producción, cosas como GPT, de las que habrás oído hablar en las noticias son Neo-GPT o transformadores, modelos cognitivos triunvirando, que es esencialmente una forma elegante de usar tres diferentes algoritmos para obtener la misma información y luego combinar esa información de manera útil para obtener mejores resultados para nuestros clientes. Detección de sentimientos, que, por supuesto, se desarrolló originalmente como herramienta de marketing, pero que tiene un gran uso en nuestro campo particular aquí en el descubrimiento y análisis de infracciones. Y luego frases clave no pertenecientes a la entidad, que es, una vez más, asociar a las personas con títulos y poder usarlas indistintamente de una manera que un humano podría ser capaz de hacerlo, si intentara utilizar estos datos con fines nefastos. Por ejemplo, poder decir que una referencia al científico jefe de datos de HayStackID también era una referencia a John Brewer.

Vale, Mike, creo que esos son los puntos destacados aquí.

Michael Sarlo

Y lo que podemos recuperar a nuestros clientes, y esto es realmente para cualquier asunto en el que necesite identificar datos confidenciales, con problemas transfronterizos tiene datos confidenciales solo en un litigio general, puede que no haya una orden de protección en vigor, es posible que deba redactarse. Muy configurable, esto es solo un gráfico de stock, en realidad tengo una serie de paneles y una serie de datos de campo difíciles que permiten y facilitan una increíble cantidad de flujo de trabajo relacionado con el tratamiento de datos de privacidad y si alguien está interesado en aprender más sobre esto, póngase en contacto con el equipo de HayStackID, lo haremos. estará encantado de mostrarle una demostración y guiarle a través de todo el flujo de trabajo, tanto en el contexto de la infracción como para cualquier tipo de interacción general de eDiscovery en la que se trata de datos confidenciales.

Desde el punto de vista de la revisión, hemos estado en el espacio de revisión remota durante unos 10 años, cuando fue falso tener revisores remotos, y ahora estábamos bien posicionados para el COVID, por así decirlo. Siempre hemos tenido la tecnología habilitada cuando tenemos una plataforma basada en la web donde organizamos a nuestros revisores, los administramos y cualquier revisor que ingresa a nuestra empresa se prueba su capacidad de revisión. Es importante aquí porque, técnicamente, un incumplimiento a veces puede no requerir la licencia o los requisitos de un abogado, no necesariamente está haciendo llamadas legales, así que verá lo que parece ser muy bajo precio a veces en el lado de la revisión, solo puede ser asistentes legales, estudiantes de facultades de derecho o tal vez fuera del mar. Y asegurarse de que estas personas sigan siendo un buen revisor y entiendan conceptos sobre datos confidenciales es fundamental. Por lo tanto, hemos desarrollado una prueba especial y un banco de expertos, expertos en privacidad en este ámbito tanto de no abogados como de abogados, las compañías de seguros no quieren pagar técnicamente por abogados en algunos escenarios, por lo que a veces es necesario en el lado anterior, en el lado del bufete de abogados, necesita comprender las diferencias entre ambos. Sin embargo, aprovechar las pruebas puede dar lugar a resultados de alta calidad.

Además, para todas nuestras revisiones, siempre comenzamos con un análisis de indicadores, lo que significa que obtenemos una muestra representativa de los datos, los codifican la administración del equipo de revisión, los líderes de revisión, el abogado y, a continuación, también los revisores. Y los comparamos y tenemos rondas de corrección, y esta es una excelente manera, desde el principio, de aclimatar a los equipos a los datos para que todos estén en línea con el protocolo y lo que están haciendo. Lo recomiendo para cualquier asunto de revisión, grande o pequeño. Es una excelente manera de evitar el ciclo de retroalimentación habitual que puede ocurrir una semana después, cuando los lotes de control de calidad finalmente están disponibles, o especialmente para asuntos de movimiento muy rápido en los que un equipo de revisión gira en un día y estás filmando documentos por la puerta tres o cuatro días después, y realmente no hay bucles de comentarios adecuados entre el abogado y un proveedor como HayStackID para alinear a todos.

Es muy importante el flujo de trabajo. La deduplicación del nivel de artículo, reduciendo el tamaño de la población es increíblemente importante. Queremos poder tomar muestras de conjuntos de documentos que no llegan a la IA, a menudo, por tipo de archivo, rutas, y queremos poder utilizar básicamente métodos de muestreo estadístico para eliminar esos documentos. Del mismo modo, queremos tomar muestras de diferentes tramos de bolsillos que se aplican en términos o IA para ver si realmente funcionan como se esperaba, y tomaríamos decisiones de promoción basándonos en eso y documentarlo todo, especialmente en el corte de flujos de trabajo, es muy importante.

Todas las cosas típicas, análisis de dominio, deduplicación a nivel de elemento, una vez más, no hay razón para mirar el mismo documento una y otra vez desde el punto de vista de los adjuntos, aprovechando el análisis de términos de búsqueda fuera del contexto, es decir, las cadenas de detección de datos sensibles típicas. El procesamiento por lotes también y realmente comprensivo: lo que aparece en todo esto es que llamaríamos documentos LDS o archivos Excel realmente grandes, archivos de base de datos. No hablamos de bases de datos ni de cómo las manejamos. Ese es otro seminario web de tecnología avanzada en el que podríamos profundizar. Pero ten en cuenta que eso puede ser una llave importante y siempre están presentes, especialmente cuando tienes bases de datos que podrían contener cientos de miles de entidades individuales. Eso debe fusionarse de nuevo con la población, esa lista singular de individuos que también se extrae de los documentos, por lo que realmente estás haciendo dos cosas. La deduplicación no ocurre en una extracción de eDiscovery, ocurre más en bases de datos de tipos de big data, Hadoop, Google, Bitquery, cosas así. Utilizamos diferentes métodos según el tamaño y la escala de los datos y la cantidad de campos individuales que deben desduplicarse, normalmente, en un orden jerárquico. Por lo tanto, puede combinar las redes sociales: inicie la puerta y el nombre más un número de historial médico, y comience a agregar cosas para obtener una concisión más profunda y más estricta. Y los diferentes proveedores van a tener éxitos diferentes aquí. Hemos visto muchas cosas saliendo de los datos y hemos escrito bastante código para limpiar esos datos, de modo que obtengamos mejores resultados de deduplicación.

Y, en general, estamos atravesando un flujo de trabajo en el que necesitamos identificar, por lo general, tratar de ver los documentos en el ámbito, en general, que califican para recibir una notificación. Normalmente se clasifica de alguna manera, podría haber muchas formas diferentes: muchos campos de metadatos diferentes que estamos rellenando. Hay una extracción masiva de puntos de datos que puede continuar mediante programación. Si recibimos formularios repetidos, cosas por el estilo, es posible que volvamos a CRM u otras bases de datos que puedan estar in situ en el cliente, y decidiríamos expulsar documentos sin procesar que estemos buscando a favor de datos más estructurados de donde se hayan generado esos datos que estamos analizando. Si se trata de un PDF que se envía todos los días y tiene una gran cantidad de información de los clientes, es mejor que vuelvas a la plataforma. Además, se realiza un montón de control de calidad en diferentes niveles en el lado de la revisión y también en el de la ciencia de datos, y eso es increíblemente importante en el aspecto técnico.

Por lo tanto, tiene muchas más entradas técnicas para analizar datos, normalizar los datos, trabajar con revisores que en una revisión típica orientada a eDiscovery.

Por supuesto, los informes aquí son completamente personalizables y estamos muy centrados en informar sobre los diferentes tipos de categorías de PII que estamos viendo. Además, en situaciones en las que tenemos muchas entidades de cobertura, cosas como esa, BaaS donde un incumplimiento es en realidad 50 infracciones porque tenías personas que firman contratos robóticos y no sabías en qué se estaban metiendo de sus obligaciones contractuales. Y ahora, tiene que informar individualmente a aquellas organizaciones que pueden haber estado infectadas. A veces, estructurar estos informes a ese nivel, tanto de quienes necesitan ser notificados como punto de vista de socio comercial, y luego los interesados de esas categorías pueden ser muy útiles.

Hay mucha normalización que se produce. Decimos normalización, nos referimos a la estandarización de los datos. Por lo tanto, obtienes nombres, apellidos, primera inicial, conseguir todos los desglosados realmente permite obtener resultados de deduplicación mucho mejores utilizando una variedad de técnicas aquí dependiendo de los datos. Las cosas aquí pueden ser muy complicadas cuando empiezas a obtener direcciones de Irlanda que describen una pequeña casa al final de una calle, en lugar de la forma en que tendemos a pensar en ellas aquí en los Estados Unidos. Por lo tanto, es posible que termines en flujos de trabajo diferentes, totalmente diferentes según las geografías de las que proceden los datos.

Y luego, sin duda, medir estadísticamente, validar esos resultados. Hay un concepto de proporcionalidad en esto, y es una especie de exprimir el frijol hasta que obtengas cada gota. En algunos escenarios, algunos entrenadores de incumplimiento tienen puntos de vista diferentes al respecto, y en realidad es una determinación legal en cuanto a: desde el punto de vista de riesgo, hasta qué punto debe llegar. Podrías sentarte allí y masajear estas listas hasta el final de los tiempos, cuando empieces a tratar con cientos de miles de datos sobre individuos, pero en cierto punto, hay un corte. La normalización de nombres es muy difícil. Escuchas que la gente lo pide bastante, pero nadie quiere ofuscar el nombre de alguien para que su PII se mezcle con otra persona, no reciban una carta, eso es un gran problema. Hemos desarrollado cierta tecnología para llevarnos parcialmente allí, pero los equipos legales tienden a ser tímidos en el último momento en que empiezas a pedirles que se pongan de acuerdo sobre intervalos de confianza, márgenes de errores, cosas por el estilo. Simplemente no se comporta.

Y no hay IA que mágicamente pueda pasar por un conjunto de datos y asociar automáticamente todos los diferentes elementos de alguien a alguien. Así que, recibimos esta pregunta todo el tiempo. Lo más importante que hay que alejarse de aquí y empezar a pensar en la IA en el contexto de la filtración de datos es que es un multiplicador de fuerza para los humanos, y suele ser el mismo caso en eDiscovery. Aún vas a necesitar una tonelada de mano de obra. En algunos casos, las cosas pueden automatizarse más de ciertas maneras, simplemente estructurando la revisión y eliminando la complejidad en la medida de lo posible, como cualquier otro compromiso, y teniendo un flujo de trabajo probado en batalla. Trabajar con alguien que tiene flujos de trabajo documentados, guías documentadas y productos de trabajo documentados basados en resultados, informes de defensibilidad, cosas que pueden mostrarle que recuperará si decide participar en un proceso totalmente administrado o en un proceso parcialmente asociado.

Esa, amigos míos, es la última diapositiva y voy a devolvérselo a Rob. Teníamos una pregunta. No sé si vamos a tener tiempo para uno de ellos, pero alguien nos preguntó: «Entonces, ¿cuáles son buenas instrucciones para ayudar a detectar los intentos de phishing y ransomware que son falsificaciones de expertos? No podemos decir que nunca deban aplicar sus credenciales en circunstancias. ¿Cuál es la mejor práctica aquí?»

Bueno, la mejor práctica, en general, es que reciba algo por correo electrónico, pide sus credenciales, no haga clic en él. Siempre debe hacer un análisis del enlace, pasar el ratón, si parece sospechoso, es probable que sea sospechoso. Nunca, nunca, hago clic en un enlace de ningún tipo de minorista importante, ninguna cuenta que sepa que tengo, nada. Básicamente volvería al sitio yo mismo, por lo general usando una aplicación o simplemente accediendo al sitio e iniciaría sesión allí.

Hay mucha formación disponible aquí. Realizamos toneladas de simulaciones aquí en HayStackID. Recibimos correos electrónicos falsos de phishing, tienes que denunciarlos y así es como nos aseguramos de que nuestro personal esté capacitado. Es importante estar atento aquí. Incluso las personas más sofisticadas pueden ser vulnerables a esto. Vemos que muchos de estos vienen a través de mensajes de texto ahora también, cierto, pero hay entrenamientos gratuitos, Google ofrece aquí algunos aquí también que ejecutan programas completos de formación sobre la detección de phishing. Hay muchas cosas por ahí en internet. Lo recomiendo encarecidamente para cualquier organización que no tenga el presupuesto para implementar más programas de formación empresarial, vídeos, todo eso, pruebas.

Solo tienes que asumir que todo está mal, en algunos casos, y mantenerte alejado de él. John y John, este es probablemente uno para ti. Probablemente solo podamos dedicarnos aproximadamente un minuto a hablar de ello. Pero tenemos otro aquí.

«Estamos preparando una migración a la nube, cuando se trata de copias de seguridad y ransomware, el almacenamiento inmutable, incluidos los backups a los que los administradores no pueden acceder, se está convirtiendo en un tema candente. ¿Puedes discutir, por favor?» Ciertamente, quitar el acceso administrativo a nuestros administradores aquí en HayStackID ciertamente también ha sido un tema candente.

Solo para una especie de tubería ahí dentro. Adelante, John y John, ¿qué consejo nos pueden dar?

John Brewer

Por lo tanto, puedo decir que el almacenamiento inmutable suele ser algo que oigo en referencia a las copias de seguridad, y que se remonta a los años 60 o 70 cuando teníamos cintas WORM o leídas una vez escribidas. Ahora, no estoy seguro de que eso sea particularmente aplicable al ransomware ya que lo estamos discutiendo aquí, porque los administradores suelen tener acceso a esas copias de seguridad en un contexto de lectura, porque de lo contrario no serían útiles en caso de que se produzca un escenario de recuperación ante desastres. Evitar que se puedan escribir es definitivamente útil para evitar que un atacante de ransomware se alcance y encripte esas copias de seguridad, lo que es el peor de los casos desde una perspectiva operativa en la que se ha rescatado tanto su sistema de producción como sus copias de seguridad.

Pero John, ¿quieres comentar un poco más sobre eso?

John Wilson

Por supuesto, se habla mucho de ello, pero la otra cara de esa moneda ayuda a proteger las copias de seguridad una vez que existen. El problema es que si las copias de seguridad reciben los datos cifrados escritos en ellos, no le ayuda mucho.

Michael Sarlo

Y permítanme decir una cosa también aquí: entramos en tantas organizaciones que son empresas masivas, altamente sofisticadas, y cuando llega el momento de acceder a las copias de seguridad, están rotas, o ni siquiera pueden restaurarse de alguna manera o nunca podrán restaurarse en algún tiempo. razonable. Lo vemos todo el tiempo.

Por lo tanto, nunca se sabe lo buenos que son sus copias de seguridad en realidad. Así que, algo en lo que pensar, en general, no tiene relación con esto.

John Brewer

Por lo tanto, el punto que quería señalar que no estoy seguro de haber hecho anteriormente es que el almacenamiento inmutable no le impide que sus datos se rescaten, porque mientras esas copias de seguridad sigan siendo accesibles, alguien puede robar esas copias de seguridad y usarlas para un ataque avergonzado de datos o de otro modo para atacar el organización teniendo esos datos en lugar de cifrarlos.

Michael Sarlo

Gracias chicos. Muy bien, bueno, muchísimas gracias chicos. Lo agradecemos de verdad. No dude en ponerse en contacto con cualquiera de nosotros, primera inicial, apellido, Haystackid.com, estaremos encantados de compartir, colaborar, enseñar, educar, aprender de usted.

Voy a iniciarlo a Rob Robinson para cerrarnos. Gracias, de nuevo, también, lo agradecemos mucho. Gracias.

Clausura

Muchas gracias, Mike, y gracias a todo el equipo, así como a nuestros seguidores de EDRM y ACEDS. Y como recordatorio para todos los participantes en la llamada, hay disponible una copia de las diapositivas de la presentación en la pestaña situada debajo de la ventana de visualización actual y una versión bajo demanda de la presentación estará disponible poco después del final de la llamada de hoy. Además, queremos agradecer a todos y cada uno de ustedes que se tomaron el tiempo de asistir hoy. Sabemos lo valioso que es su tiempo y sin duda le agradecemos que lo haya compartido con nosotros hoy.

Y por último, pero no por ello menos importante, esperamos que tenga la oportunidad de asistir a nuestro próximo webcast educativo. Está programado para el 15 de septiembre al mediodía, hora del Este, y se titulará Infracciones, Respuestas y Desafíos: Elementos esenciales de ciberseguridad que todo abogado debe conocer. Sin duda esperamos que pueda asistir.

Y de nuevo, gracias por asistir hoy y esto concluye formalmente el webcast de hoy. Por favor, que tengas un buen día.

HAGA CLIC AQUÍ PARA DESCARGAR LOS SECTORES DE PRESENTACIÓN

2021.08.11 - HayStackID - Respuesta a incidentes de ransomware Cyber Discovery - Agosto2021 Webcast - FINAL

HAGA CLIC AQUÍ PARA VER LA PRESENTACIÓN BAJO DEMANDA

Acerca de HayStackID™

HayStackID es una firma especializada de servicios de eDiscovery que ayuda a las corporaciones y bufetes de abogados a encontrar, comprender y aprender de los datos de forma segura cuando se enfrentan a investigaciones y litigios complejos que requieren gran cantidad de datos. HayStackID moviliza servicios cibernéticos de descubrimiento cibernético líderes del sector, soluciones gestionadas por empresas y ofertas de descubrimiento legal para atender a más de 500 de las empresas y bufetes de abogados líderes del mundo en Norteamérica y Europa. Al servir a casi la mitad de la lista Fortune 100, HayStackID es un proveedor alternativo de servicios cibernéticos y legales que combina experiencia y excelencia técnica con una cultura de servicio al cliente de guante blanco. Además de ser clasificada constantemente por Chambers, IDC MarketScape y proveedor representativo de la Guía de mercado de Gartner para soluciones E-Discovery 2021 nombraron a la compañía líder mundial en servicios de eDiscovery. Para obtener más información sobre su conjunto de servicios, incluidos programas y soluciones para necesidades empresariales legales exclusivas, visite Haystackid.com.