[Webcast Transcript] Ransomware, réponse aux incidents et cyberdétection : historique, solutions et flux de travail d'IA

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Note de l'éditeur : Le 11 août 2021, HayStackID a partagé une webémission éducative conçue pour informer et mettre à jour les professionnels de la cybersécurité, de la gouvernance de l'information et de la découverte électronique sur la façon dont les entreprises peuvent préparer, traiter et répondre aux incidents liés aux cyber-incidents.

Bien que la présentation complète enregistrée soit disponible pour consultation à la demande, pour votre commodité, une transcription de la présentation ainsi qu'une copie (PDF) des diapositives de présentation sont à votre disposition.

[Webcast Transcript] Ransomware, réponse aux incidents et cyberdétection : historique, solutions et flux de travail d'IA

Dans cette présentation, des experts dans les domaines de la réponse aux incidents de cybersécurité, de la cyberdécouverte et de la confidentialité ont expliqué comment les entreprises peuvent préparer, traiter et répondre aux incidents liés à la cyber-sécurité. De la correction des ransomwares à la réponse aux incidents, la présentation a mis en évidence des technologies de découverte de données de pointe et des services éprouvés de révision de documents pour prendre en charge les processus de détection, d'identification, de révision et de notification requis par la loi après des violations et des divulgations sensibles liées aux données.

Points forts de la webdiffusion

+ Ce n'est qu'une question de temps : statistiques sur les incidents de sécurité et historique des ransomwares

+ Les 48 premiers : Détection et classification des incidents de sécurité électroniques

+ Conception efficace du plan IR : simplicité, évolutivité et au-delà des détails techniques

+ Découverte post-brèche : aperçu du flux de travail, utilisation de l'IA et rapports d'évaluation d'impact

+ HayStackID ReviewRight Protect : Workflow de révision et d'extraction post-brèche

Experts présentateurs

+ Michael Sarlo : Michael est directeur de l'innovation et président de Global Investigation and Cyber Discovery Services pour HayStackID.

+ Mary Mack : Mary est PDG et directrice juridique du modèle de référence de découverte électronique.

+ John Brewer : En tant que scientifique en chef des données, John est responsable des services technologiques avancés pour HayStackID.

+ John Wilson : En tant que CISO et président de la criminalistique chez HayStackID, John est un légiste certifié, un détective privé agréé et un vétéran informatique avec plus de deux décennies d'expérience.

+ Jenny Hamilton : En tant qu'avocate générale adjointe pour Global Discovery and Privacy chez HayStackID, Jenny est l'ancienne directrice de l'équipe Global Evidence de John Deere.

Transcription de présentation

Introduction

Bonjour, et j'espère que vous passerez une excellente semaine. Je m'appelle Rob Robinson, et au nom de toute l'équipe de HayStackID, je tiens à vous remercier d'avoir assisté à la présentation et à la discussion d'aujourd'hui intitulée « Du ransomware à la cyberdécouverte : histoire, solutions, and AI Workflows ». La webémission d'aujourd'hui fait partie de la série mensuelle de présentations éducatives de HayStackID sur le réseau BrightTalk. Elle est conçue pour aider les professionnels de la cybersécurité, de la gouvernance de l'information et de la découverte électronique face à des défis liés à la cybersécurité et à la cyberdécouverte. La webémission d'aujourd'hui est enregistrée pour être visionnée sur le réseau BrightTalk et sur le site Web HayStackID.

HayStackID est également heureux aujourd'hui de souligner notre soutien en partenariat avec le modèle de référence de découverte électronique. L'EDRM, dirigé par Mary Mack, PDG et directrice juridique, crée des ressources pratiques pour améliorer la découverte électronique, la confidentialité, la sécurité et la gouvernance des informations. Depuis 2005, l'EDRM fournit des normes de leadership, des outils, des guides et des étapes d'état des données de test pour renforcer les meilleures pratiques dans le monde entier. Actuellement, l'EDRM a une présence internationale dans plus de 113 pays répartis sur six continents, et il continue de croître. Nous sommes également reconnaissants aujourd'hui d'avoir Mary Mack comme conférencière. Mary est l'auteure de « The Process of Elimination : The Practical Guide to Electronic Discovery », qui est considéré par beaucoup comme le premier livre populaire sur eDiscovery, et elle a reçu son Juris Doctor de la Northwestern University Pritzker School of Law, et elle détient également leur diplôme de CISSP ou Certified Professionnel de la sécurité des systèmes d'information Bienvenue, Mary.

Mary Mack

Merci, Rob.

Rob Robinson

Nous sommes vraiment heureux de pouvoir vous faire partager aujourd'hui. HayStackID est également ravi de pouvoir mettre en avant son partenariat avec l'Association of Certified eDiscovery Specialists, mieux connu sous le nom d'ACEDS, et ACEDS propose des formations, des certifications et des cours de perfectionnement professionnel en eDiscovery et dans les disciplines connexes, et nous sommes ravis de nous associer avec eux dans leurs efforts. tels que la webdiffusion d'aujourd'hui. En plus de Mlle Mary Mack, il y a aujourd'hui des présentateurs experts qui sont considérés comme parmi les plus grands experts en la matière dans des domaines allant de la réponse aux incidents de cybersécurité à la cyberdécouverte. Mary, pourriez-vous faire l'honneur de présenter nos experts aujourd'hui ?

Mary Mack

J'en serais très heureux, Rob. Nous sommes très heureux chez EDRM de nous associer à HayStackID ID et de partager un sujet aussi opportun. Donc, le premier est Michael Sarlo. Il est directeur de l'innovation, président de Global Investigations and Cyber Discovery Services chez HayStackID, et il facilite bien sûr les opérations pour tout ce qui concerne la criminalistique numérique et la stratégie de contentieux aux États-Unis et dans le monde entier. Et ensuite, c'est moi. Vous savez qui je suis. La prochaine étape est John Brewer et est Chief Data Scientist, et je dois dire que j'adore absolument que les scientifiques des données s'impliquent dans la cyberdécouverte. C'est juste une chose merveilleuse et l'éducation autour de cela pour notre communauté élargie. John est responsable des services technologiques avancés pour HayStackID et il a travaillé pour des dizaines d'entreprises du Fortune 500 dans des rôles allant de la découverte électronique à la migration des données en passant par la gérance de l'information, de sorte qu'il dispose d'une surface très large pour résoudre ces problèmes. Et nous avons aussi notre ami John Wilson. Il est le CISO et président de la Forensics pour HayStackID, et en plus de faire toute la technologie, la médicolégale et la découverte électronique, il est également un témoin expert, et c'est une chose rare dans notre industrie, et nous sommes très, très heureux d'avoir John sur la présentation. Et puis nous avons Jennifer Hamilton, que j'ai rencontrée pour la première fois dans son concert à John Deere, où je n'arrive pas à croire que ce fut 14 ans, façonnant le développement de cela et dirigeant cette équipe des opérations eDiscovery là-bas à la tête de leur équipe mondiale de preuves chez John Deere, et elle est l'avocate générale adjointe pour Global Découverte et confidentialité pour HayStackID.

Et avec cela, nous avons tout un programme pour vous et je vais le remettre à Mike pour nous guider tout au long de notre discussion.

Présentation de base

Michael Sarlo

Merci beaucoup, Mary, Rob, et merci à tous d'avoir rejoint aujourd'hui. Nous espérons qu'il s'agit d'une présentation informative. Nous allons répondre à des questions. S'il vous plaît, poivrez autant que vous le souhaitez. Nous allons essayer de tous les atteindre. La présentation d'aujourd'hui à un niveau élevé porte sur les ransomwares, vous et moi et eDiscovery et les intersections, et nous allons vraiment parler de quelques statistiques. Je pense qu'il est important que tout le monde soit conscient de la façon dont nous sommes arrivés là où nous en sommes, en ce qui concerne l'écosystème de rançon. Nous allons parler davantage des 48 premières heures, pour ainsi dire, en cas de compromis, de tout type d'incidents de sécurité et de bonnes pratiques. Nous allons donner le coup d'envoi à Jenny pour vraiment approfondir une conception plus efficace de plan de réponse aux incidents de haut niveau, et aller vraiment au-delà de certains détails techniques, en particulier lorsque les praticiens de la découverte électronique peuvent être impliqués et qui n'ont peut-être pas les compétences habituelles de réponse aux incidents lorsque nous pensons. à propos du cyberincident, et nous allons apprendre aujourd'hui qu'il y a bien plus que de simplement sceller une brèche.

Nous allons parler de ce qu'est la découverte post-brèche. Qu'est-ce que cela signifie ? Comment utilisons-nous l'IA ? Comment cela a-t-il un impact sur les flux de travail de confidentialité que nous traitons tous depuis de nombreuses années maintenant ? Et terminez ensuite de parler de l'offre ReviewRight Protect de HayStackID et de notre approche de la révision humaine et de l'exploration de données et de la façon dont nous obtenons des synergies en tirant parti de nouveaux types d'IA dans ce domaine.

Donc, avant tout, nous avons assisté à une explosion massive, vraiment depuis 2010, dans le domaine de la cybercriminalité et de la cyberguerre, et je pense que c'est une distinction vraiment importante, surtout en ce qui concerne la façon dont les marchés de l'assurance, qui ont tendance à dominer la façon dont nous traitons les violations, la technologie que nous pouvons utiliser, la réponse à eux, les paiements, et seulement l'approche et le flux global de l'ensemble du paradigme de réponse aux cyberincidents et de tous les acteurs impliqués, et ils sont nombreux. Nous avons assisté à une explosion assez importante d'incidents, et de nombreuses identités compromises, quelques brèches très importantes en 2017/2018. Cette statistique est récente à partir de 2021 et offre un retour assez précis sur les violations signalées, et c'est vraiment quelque chose à savoir, car de nombreuses organisations peuvent être violées, peuvent avoir un événement de rançon, peuvent avoir des données exfiltrées, peuvent ne pas avoir d'exigence réglementaire pour signaler cette violation, selon ce que le type de données client a été consulté. Nous avons vu des cas où de très grandes organisations auraient dû signaler un incident et ne l'ont pas fait et elles en ont subi les conséquences du point de vue du contentieux civil. Nous voyons donc que la plupart des organisations, moyennes et grandes, ont tendance à ne plus aller dans cette direction, bien que les problèmes de réputation, la gestion de la marque, les problèmes de clients peuvent amener certaines organisations à travailler à la construction d'un événement où elles n'ont peut-être pas l'impression de devoir le signaler.

Donc, ces chiffres sont en fait très bas, c'est court et doux. Il y a beaucoup plus de choses au jour le jour, surtout dans la sphère gouvernementale. Nous obtenons parfois des milliers de mini-brèches sur une base mensuelle, en ce qui concerne notre infrastructure et nos agences gouvernementales, et il y a d'autres indicateurs de signalement qui y sont également mis au jour, et qui déconnectent ce nombre ici et ce qui peut être des dizaines de milliers sur le le côté du gouvernement devrait vous donner l'impression que cette situation est fortement sous-signalée. Cela dit, pour la seule année 2020, environ 300 millions de personnes ont été compromises. C'était beaucoup de lettres qui vous demandaient, vous et moi, de vous inscrire à une surveillance gratuite du crédit, c'est sûr.

John Wilson

Oui, et bien, Mike, je veux juste ajouter une des choses lorsque vous regardez les statistiques, vous voyez ce pic en 2017, mais vous devez aussi réaliser que les attaquants sont devenus beaucoup plus habiles à être très ciblés dans ce qu'ils font. Ils reçoivent donc un ensemble de données très riche, et pas seulement — avant, il ne s'agissait que d'attraper le monde, peu importe ce que nous pouvions mettre la main, nous le saisissons. Maintenant, ils sont très concentrés, très ciblés et très intentionnels sur les données qu'ils saisissent ou quelles informations sont compromises. Ainsi, même si les chiffres sont un peu plus bas qu'il y a trois ou quatre ans, les dégâts sont nettement plus élevés.

Michael Sarlo

C'est exact, et nous parlerons de l'évolution de notre position en ce qui concerne ce que le monde et le cyber-côté appellent davantage les tactiques de chasse au gibier.

Donc, le coût moyen d'une brèche, nous travaillons sur toutes les tailles et échelles de matière, d'autres sont très transactionnelles et gérées, d'autres sont très touchés. Le coût moyen mondial était d'environ 3,86 millions de dollars. Ici, aux États-Unis, en hausse, environ 8,64 en 2020, ce qui ne tient pas nécessairement compte d'une partie de la perte de revenus tangentielle qui se produit en cas de brèche à grande échelle. Une grande partie de cela est liée aux workflows de dépenses post-légales, tout comme lorsque nous pensons à l'ancien dicton, eDiscovery, où peut-être que les premiers 15 % du budget sont la collecte de données, peut-être qu'il est réduit à 10% maintenant, peut-être que les 15 % restants sont liés au traitement et à l'hébergement eDiscovery, étaient probablement environ 25. les prix ont baissé, et tout le reste était lié à l'examen des documents et à la pratique des motions. Vous pouvez penser au même paradigme des dépenses et de la budgétisation, comme sceller la brèche, traiter les recommandations défensives et le travail de la recherche légale jusqu'au suivi et à la compréhension des différents types d'indicateurs de compromis. Nous entendrons ce mot CIO. Il s'agissait probablement d'environ 30 % des dépenses ici, le reste vise tous à identifier les IPI, à répondre à différents régulateurs, et en fait un flux de travail juridique et souvent un flux de travail compatible avec la technologie.

Et pour vous donner un sens, lorsque vous avez enregistré cet Excel sur votre bureau local, ou sur un partage réseau qui contient peut-être des informations que vous ne devriez pas, le coût moyen d'un enregistrement volé aux États-Unis est d'environ 146$, en baisse d'environ 1,58$, et les entreprises de soins de santé ont tendance à être très durement touchées, et il y a beaucoup de personnel données, il y a beaucoup de systèmes impliqués, et leurs obligations répondent généralement à une barre supérieure, et de manière générale, l'OCR a des qualificatifs différents en ce qui concerne les personnes qui doivent être notifiées en cas de violation de données. En règle générale, pour la plupart des entreprises qui ne sont pas axées sur les soins de santé, qui ne fournissent pas de soins, qui gèrent des données sur la santé, qui ont un type d'IPI identifiables, votre social et votre nom, ou une approche en deux phases déclencherait une notification, votre nom seul ne déclencherait pas de notification, et pour les soins de santé c'est important, cela a changé depuis peu. Le fait que votre nom apparaisse dans l'ensemble de données créerait un fardeau pour l'organisation pour vous avertir.

Le coût moyen de l'envoi d'une lettre de notification est d'un montant de bout en bout, juste pour envoyer cette lettre. Il est plus élevé si des services de surveillance du crédit sont offerts, et il s'agit en réalité de moins de 10 % de ceux qui reçoivent une lettre, sinon inférieure, qui pourraient réellement s'inscrire à la surveillance du crédit. Donc, quelque chose dont il faut juste être conscient. Beaucoup de ces faits et statistiques sont axés sur les taux mixtes, mais je reçois beaucoup de questions impliquant cela parfois, et à partir de simples tests d'actifs avec les gens, c'est généralement là que nous finissons généralement.

Donc, je vais donner le coup d'envoi à John Wilson juste pour parler des ransomwares, de leur fonctionnement et de ce que nous voyons en général en dehors des ransomwares, de la façon dont une rançon peut entrer dans une entreprise, et/ou de la façon dont une entreprise peut être compromise en général via un certain nombre de vecteurs différents.

John Wilson

Merci, Mike. Donc, le ransomware est essentiellement, vous pouvez le considérer comme un virus ou un programme malveillant qui est exécuté sur votre ordinateur, et ils peuvent y arriver de nombreuses manières différentes. La principale différence avec les ransomwares par rapport à d'autres activités de virus ou de programmes malveillants est que la plupart des ransomwares tentent de chiffrer vos données et de les placer dans un compartiment chiffré afin que vous n'ayez plus accès à vos données, et les modèles de rançongiciels d'origine étaient tout simplement qu'ils diraient simplement, hé, j'ai maintenant a chiffré toutes les données de votre ordinateur, et vous devez me payer une rançon pour récupérer vos données, quelles que soient ces données. Et ces attaques de rançongiciels prennent de nombreuses formes, elles peuvent passer par des attaques d'hameçonnage, elles peuvent passer par de nombreuses voies différentes, que quelqu'un reçoive un fichier sur votre système qui déclenche un rançongiciel ou que quelqu'un clique sur un e-mail de hameçonnage dans l'organisation qui installe ensuite quelque chose et commence à prendre. au-dessus de la machine.

L'évolution intéressante de ce monde des ransomwares est qu'ils ne sont plus intéressés par le simple chiffrement de vos données. Maintenant, ils créent de l'urgence, ils créent une pression sur les propriétaires et les individus, parce qu'ils sont, hé, nous avons toutes vos données d'entreprise, nous les avons maintenant cryptées, et nous les avons également transmises, nous les avons téléchargées et nous allons les partager au public, si vous ne nous payez pas la rançon dans les sept jours, ou dans un délai de 10 jours, ou dans les 30 jours, quel que soit le cas, en fonction de l'attaque de rançongiciel en particulier. Ils sont de plus en plus concentrés à ce sujet. Ils commencent maintenant à exfiltrer ces données. Ils utilisent ces données comme une menace. Il y a eu un cas récent où un PDG d'une grande société a été rançonné, parce que sur son appareil, quand ils l'ont rançonné, ils ont trouvé des photos et des informations qui le mettaient dans une position très compromettante, et feraient des dommages publics importants à l'organisation, et c'est donc le genre de chose qu'ils commencent à attaque.

De même, alors que nous avons parlé un peu lorsque vous regardiez les statistiques, et que nous constatons qu'il y a une baisse des attaques de rançon signalées, ces attaques de rançon deviennent beaucoup plus sophistiquées. Donc, ce n'est pas le bon vieux temps de recevoir un courriel d'hameçonnage avec un tas d'écrits terribles et de phrases qui n'ont pas de sens, et beaucoup de fautes de frappe. Microsoft a annoncé hier qu'il y avait presque un double clone exact d'un message Microsoft provenant d'une adresse usurée qui semble provenir de vos systèmes informatiques internes, ce qui vous oblige à entrer des informations d'identification, et c'est très légitime, et ils sont beaucoup plus difficiles à détecter maintenant. Il faut être très prudent quant à ce que vous cliquez dans un e-mail, et ce n'est qu'un exemple de la sophistication. La sophistication s'est également déplacée là où ils ne sont plus seulement, hé, je vais sortir des trucs et voir qui je peux obtenir en ligne et qui va exécuter mes courriels d'hameçonnage. Ils envoient des courriels d'hameçonnage à des personnes spécifiques qu'ils souhaitent accéder à ces réseaux spécifiques et à ces ressources spécifiques. Ils sont beaucoup plus ciblés à ce sujet, ce qui crée des défis importants, parce qu'ils sortent, ils exploitent ces informations sur les réseaux sociaux pour vraiment s'assurer qu'ils ont de bonnes chances d'exécuter leur attaque.

Michael Sarlo

Et il est devenu de plus en plus un modèle économique très sophistiqué pour les acteurs de la menace et la façon dont ils travaillent ensemble. Ils travaillent dans des cartels, ce sont des organisations criminelles avec des hiérarchies et des organigrammes. Il existe tout un réseau d'outils Web hautement sophistiqués et raffinés qui permettent de collaborer entre différents acteurs ayant des compétences différentes sur le marché des rançons. Ceux qui recherchent des vulnérabilités ou recherchent des cibles peuvent alors collaborer avec une plateforme qui peut réellement déployer une rançon en appuyant simplement sur un bouton. Il y a ensuite des négociateurs qui sont mis en place pour négocier et faciliter les paiements de rançon. Le premier ransomware jamais documenté dans les années 80 était le cheval de Troie du sida, qui était en fait une disquette que vous avez introduite et qui a ensuite chiffré votre ordinateur et vous avez dû envoyer de l'argent dans une boîte postale avec environ 200 dollars pour essayer de restaurer ces données. L'explosion de l'avent et ce que nous voyons ici avec rançon sont en corrélation directe avec l'aube et la montée du Bitcoin. C'est l'élément clé ici, en étant capable d'anonymiser la collecte d'argent pour rendre ses fichiers à quelqu'un, et encore une fois, comme John l'a mentionné, il ne suffit pas d'avoir des sauvegardes. Ils exfiltrent vos données en même temps. Habituellement, en fait, avant cela, quelqu'un sera dans votre réseau, vous ne le remarquerez pas, ce sont des données à l'extérieur, puis ils vous rançonnent, et vous êtes pris dans une position que même si vous pouviez restaurer les données, si vous ne payez pas cette rançon, ils vont fondamentalement vous faire honte. Ils le publieront sur les [e-Zines] publics, et ils les divulgue aux médias, et toutes les données des clients peuvent être diffusées, et cela peut être très mauvais.

Le concept d'attribution, qui est réellement l'attaquant, et toujours une considération lors du paiement d'une rançon, est vraiment important, et nous, HayStackID, toutes les entreprises de réponse aux incidents, nous collaborons tous sur ce que l'on appelle l'empreinte digitale de l'attaquant pendant tout événement pour essayer de comprendre qui est réellement derrière le attaque. Il pourrait y avoir des répercussions majeures si une rançon est versée à un acteur sanctionné par l'État. L'OFAC arrive, ils n'aiment pas ça, et beaucoup de ces organisations rebaptiquent. Ils disparaissent et rebaptiquent une fois qu'ils ont eu un gros succès. Le climat politique à l'échelle mondiale a totalement un effet sur la quantité d'attaques que nous constatons. Il est utilisé comme tactique de guerre pour influencer les décisions politiques à l'échelle mondiale. Nous avons assisté à une hausse massive des rançons au cours de la dernière année. Il semblait être quelque peu corrélé avec les négociations en cours concernant le pipeline Nord Stream 2, puis maintenant une baisse. Il y a donc d'autres éléments qui entrent dans certains de ces événements plus importants que nous voyons, et la plupart du temps, ce sont probablement des acteurs étatiques qui leur permettent de se produire, ou qui les facilitent pour ces attaques très importantes, mais il y a beaucoup de choses qui se produisent dans les entreprises criminelles typiques comme bien.

Donc, c'est la brève histoire de la rançon, et elle ne disparaît pas. C'est sûr que c'est de plus en plus sophistiqué, et il y a d'autres méthodes vers lesquelles ils se déplacent également.

John Wilson

Oui, et il ne reste qu'un dernier commentaire rapide à faire référence à la sophistication et à l'avancement de celle-ci. Donc, la plupart des gens ont probablement déjà entendu parler des attaques de Kaseya, et c'est en fait que toute une chaîne d'approvisionnement, ils ont compromis les logiciels vendus auprès d'une entreprise qui fournissait des services de support informatique - d'une entreprise qui fournissait des logiciels aux entreprises de services de support informatique, puis ils ne sont allés qu'au l'entreprise, le siège social, et nous avons dit, hé, nous avons compromis 700 de vos clients, nous payons X, ou nous allons faire exploser tous vos clients. Et en plus de cela, quelques grands acteurs du monde des cyberlogiciels ransomwares agissent maintenant comme des capital-risque dans le reste du monde des rançongiciels, disant, hé, vous allez là-bas, nous vous financerons, et si vous pouvez obtenir des cambriolages, nous prendrons une fraction des revenus, et c'est un modèle entièrement nouveau qui vient de se développer cette année. Les attaques sont donc nettement plus avancées et effrayantes. Merci.

Michael Sarlo

Merci, John. Nous allons donc donner le coup d'envoi à John Brewer, notre scientifique en chef des données, également une réponse extraordinaire aux incidents et à tout ce qui est de l'informatique, pour parler des 48 premiers ici et de la façon dont vous devriez réagir et réfléchir à toute réponse à un incident de sécurité. Allez-y, John.

John Brewer

Merci beaucoup, Mike. Donc, oui, je parle des 48 premières heures après que vous ayez découvert que vous avez été touché, mais avant d'en parler, je vais parler un peu des signes que vous allez être touché. Maintenant, ils vont changer d'un mois à l'autre. Il est donc important de suivre les recommandations de quels que soient vos fournisseurs de cybersécurité, mais les éléments qui sont assez cohérents à travers les âges, les connexions MFA partielles. En tant que civilisation, nous avons beaucoup réussi à déployer MFA sur des systèmes d'entreprise critiques, ce qui nous donne un outil très utile dans notre arsenal. Si votre personnel informatique ou si votre équipe de sécurité ou votre centre d'opérations de sécurité en tant que groupe de services voit de nombreux utilisateurs qui se connectent avec le nom d'utilisateur et le mot de passe corrects, mais qu'ils échouent à la vérification du MFA, c'est un signe qu'au moins un de vos utilisateurs, parfois plusieurs de vos utilisateurs, peut avoir ont été compromis et nous avons des attaquants qui ne font que s'en prendre à cela, espérant que quelqu'un va ouvrir son téléphone, voir le défi de la sécurité et simplement l'accepter. C'est quelque chose que nous voyons de plus en plus ces jours-ci.

Attaques par force brute, ce sont les mêmes attaques que celles que vous avez vues depuis les années 90, où un groupe, pour quelque raison que ce soit, pense avoir un avantage à deviner le mot de passe administratif, il a un indice, il a une certaine intelligence qui les amène à croire que s'ils passent par une liste de 100 000 mots de passe, soit un million de mots de passe, que l'un d'eux fonctionne sur n'importe quel compte ou système qu'ils ciblent. Un pic soudain signifie que quelqu'un pense que cela vaut la peine de jeter ces ressources sur votre système.

Les courriels d'hameçonnage atterrissant avec des domaines étranges, celui-ci commence à être un peu daté. Comme le disait John Wilson précédemment, nous constatons une augmentation radicale du niveau de sophistication des courriels d'hameçonnage qui frappent les clients et les victimes d'attaques par ransomware. Donc, si vous voyez des e-mails d'hameçonnage provenant de domaines qui sont presque le domaine de votre organisation, ou presque le domaine de votre banque, par exemple, si un I et un L ont été retournés dans le nom, qu'un O soit remplacé par un zéro, ce genre de choses, des choses que la plupart des utilisateurs ne découvriraient pas immédiatement. Tout ce qui vient de ce genre, en particulier des institutions financières, indique que quelqu'un chasse activement votre organisation.

Les boîtes de saut tournent vers le haut. Maintenant, là encore, c'est quelque chose que nous avons vu de plus en plus dans le passé. Les boîtes à sauter sont démodées dans l'informatique, mais elles sont certainement quelque chose qui existe encore dans de nombreux endroits. Pour tous ceux qui ne le savent pas, une boîte de saut est une machine située à l'intérieur de la zone sécurisée du réseau, mais qui y a accès depuis l'extérieur. Habituellement, il n'est autorisé à être connecté qu'à partir de quelques adresses IP différentes, généralement depuis le domicile du DSI, la résidence de l'administrateur système ou d'un autre bureau, mais si l'un de ces emplacements est compromis, les pirates passent par là pour utiliser ces portes dérobées via le pare-feu. Si ceux-ci commencent à tourner à des moments où vous ne vous attendez pas, ou s'ils commencent à envoyer beaucoup de demandes au réseau, c'est l'un des signes que nous sommes sur le point d'être touchés.

SMB, Kerberos, LDAP, essentiellement, chaque fois que vos protocoles d'authentification ou de partage de fichiers reçoivent des demandes provenant d'endroits inattendus, l'exemple classique ici est que si le routeur de périmètre de votre réseau commence soudainement à demander des fichiers comptables, c'est probablement un signe que ce n'est pas censé le faire. La plupart des entreprises auront mis en place des mesures de sécurité pour leurs données les plus sensibles afin qu'elles ne soient pas immédiatement éliminées de cette façon, mais certaines ne le font pas. De plus, si cette approche ne fonctionne pas, encore une fois, ces attaques sont dirigées par des humains, qui essaieront d'autres attaques, d'autres lieux, d'autres vecteurs alors qu'ils essaient de pénétrer dans votre système.

Diffusion du trafic depuis les VPN de point à site, c'est quelque chose que nous voyons beaucoup plus depuis la pandémie ; nous avons envoyé tout le monde à la maison et tout le monde se connecte à ses bureaux via un VPN. Si un attaquant obtient des informations d'identification VPN qui peuvent être utilisées de n'importe où, il se connectera à votre réseau, et généralement l'un des premiers signes indiquant que quelque chose s'est passé, c'est qu'il envoie ce qu'on appelle du trafic de diffusion, demande essentiellement à l'ensemble du réseau en disant, hé, ce qu'il y a là-bas, quels serveurs sont en place, quels sont les services disponibles ? C'est rarement quelque chose que nous voyons faire des utilisateurs réguliers sur le réseau. Cela vaut la peine de déclencher une alarme si vous le voyez.

Et une augmentation brutale du trafic non HTTPS provenant des machines clientes. C'est en fait quelque chose qui est plus facile à faire maintenant, car presque tout ce qui est de nos jours en termes d'applications avec lesquelles les utilisateurs interagissent quotidiennement passe par HTTPS. Presque toutes les applications que les utilisateurs utilisent quotidiennement, s'exécutent via un navigateur Web, qu'il s'agisse d'Office qui communique avec des serveurs Microsoft via HTTPS via une API Web, ou qu'il s'agisse d'utilisateurs qui se connectent à Dropbox, à [Toggle], ou à toute autre des douzaines d'applications couramment utilisées. Chaque fois que nous commençons à voir des informations qui ne passent pas par HTTPS hors du réseau, c'est souvent un signe que nous avons une sorte de télémétrie provenant de logiciels malveillants qui exfiltrent le réseau, qu'il s'agisse de commandes et de contrôle, ou si elle exfiltre réellement des fichiers et des données de ce système.

Alors, parlons de ça juste après que vous ayez été frappé. Maintenant, quand je parle de ça, je parle du moment où vous découvrez que vous avez été touché. La plupart des organisations auront été infiltrées pendant des heures, des jours, parfois même des semaines ou des mois, avant de découvrir qu'elles ont eu un intrus, et parfois elles ne découvrent pas qu'elles ont eu un intrus avant d'avoir reçu un e-mail de l'attaquant avec une demande de rançon. Maintenant, au cours de ces 48 premières heures, il y a quelques priorités que nous avons ici. Nous confirmons que les données ont effectivement été consultées. Habituellement, dès le début, nous ne savons pas combien de données ont été distribuées. Même si nous avons une déclaration des agresseurs disant combien ils ont, ce n'est pas forcément la vérité, et presque toujours, les personnes qui le découvrent en premier lieu ne savent pas quelle est leur exposition juridique ou leurs responsabilités. Ce n'est pas quelque chose que les gens se contentent de lire pendant leur temps libre parce qu'ils sont curieux de le faire.

Donc, comme les deux premières minutes après l'avoir découvert, que vous soyez un cadre, un professionnel de l'informatique ou simplement un utilisateur régulier, la première étape est de ne pas attendre. Quelle que soit la ligne d'urgence en cours, quel que soit votre niveau d'escalade le plus élevé dans votre organisation informatique ou dans votre organisation de support, utilisez ce numéro. Ne soyez pas timide, car en supposant que la fuite soit toujours active, le verrouillage du système est la priorité la plus élevée à ce moment-là. Réveillez-vous si nécessaire, appelez les gens en vacances. Je sais que c'est un faux pas d'un point de vue social, mais il est vraiment important que s'il existe quelqu'un qui puisse verrouiller et sécuriser vos systèmes le plus rapidement possible, cette personne soit contactée.

Changez les mots de passe sur n'importe quel compte qui a été compromis, et n'hésitez pas à modifier les mots de passe à d'autres endroits. Comme John Wilson l'a mentionné plus tôt, l'impact opérationnel de ce qui se passe pourrait être le moindre de vos problèmes.

En arrêtant tous les systèmes qui font pivoter ou supprimer des journaux, c'est quelque chose qui est généralement oublié par la plupart des organisations. Il va y avoir une enquête, il y aura des questions, et si les journaux sont tournés, supprimés ou autrement, passent dans l'oubli, cela doit être arrêté immédiatement, car vous devrez peut-être revenir en arrière des semaines ou des mois dans vos fichiers journaux afin de déterminer le point d'entrée initial était, et si vous n'avez pas ces journaux, un, cela vous assurera la responsabilité interne d'essayer de savoir quel point d'entrée était beaucoup plus difficile, et deuxièmement, cela ne sera pas bon plus tard.

Et sécurisez toutes les sauvegardes et commencez à passer aux sauvegardes hors site. Nous voyons souvent — ou commençons à déplacer des sauvegardes hors site vers le site, je dois dire. Encore une fois, d'un point de vue opérationnel, si nous avons un système chiffré qui a été supprimé, s'il ne s'agissait pas seulement d'une sortie de dommages, mais que les systèmes de production ont été arrêtés, vous allez vouloir ramener vos sauvegardes hors site sur le site, afin que vous puissiez vous préparer à les restaurer. Beaucoup de ransomwares que nous voyons sur le marché aujourd'hui ont des temps assez longs. Ainsi, si vous exécutez des sauvegardes hebdomadaires, deux sauvegardes hebdomadaires, voire mensuelles, vous pouvez toujours avoir le logiciel malveillant dans votre système à partir de ces sauvegardes, et lorsque vous effectuez une restauration, vous verrez tout simplement chiffré à nouveau. Obtenir les sauvegardes les plus anciennes que vous pouvez, même si vous avez besoin d'effectuer une restauration hybride, où vous restaurez le système à partir d'un ensemble et les données d'un autre, c'est peut-être votre meilleure voie à suivre.

OK, et maintenant les cinq questions auxquelles nous devons vraiment répondre après avoir découvert que vous avez été touché. Tout d'abord, qui a été exposé ? Les données client ont-elles été prises, les données des employés, les données des fournisseurs ? D'autres informations dont vous êtes responsable, le cas classique ici est celui des rapports de crédit, mais certainement, si nous sommes dans une situation de PHI, nous pourrions avoir dans un cabinet médical des informations sur les patients qui ne sont pas nécessairement des clients ou des employés, mais nous sommes toujours responsables et qui auraient évidemment a été compromis par la brèche.

Quand l'attaquant est-il arrivé et à quelle heure ont-ils été bloqués ? Encore une fois, il va être très important de placer des barres d'erreur sur la quantité de données qu'ils auraient pu obtenir. Le fait de savoir combien de temps ils ont été dans le système peut nous aider à déterminer exactement la quantité de données qui auraient pu être transférées à ce moment-là, et si nous avons des politiques d'élimination des données, jusqu'où elles pourraient avoir des informations que nous considérons actuellement comme détruites et supprimées.

Quelque chose a-t-il été modifié ? Aujourd'hui, généralement, nous ne voyons pas d'altération des données là où les gens se rendent et modifient les données opérationnelles. Si les informations sont modifiées, ce sera comme des chiffrements de masse, car nous connaissons bien les ransomwares, mais il est également important de voir si de nouveaux comptes ont été créés. Cela est particulièrement fréquent pour les cibles susceptibles de faire l'objet d'attaques répétées, où les attaquants se rendent, créent un ensemble de comptes pour eux-mêmes ou réinitialisent les mots de passe sur des comptes existants et rarement utilisés, afin qu'ils puissent revenir après la restauration pour attaquer à nouveau le site.

Les autorisations ont-elles été modifiées ? Cela peut aller de l'ajuster pour qu'une personne interne puisse accéder à des données qu'elle ne devrait pas, jusqu'à la configuration de tout un tas de compartiments AWS lisibles publiquement afin qu'elles puissent être lues à nouveau de l'extérieur, et l'incident et la brèche se poursuivent après la restauration, passé détection.

À quoi ont-ils eu accès ? Souvent, là encore, c'est quelque chose sur lequel vous ne pouvez mettre que des barres d'erreur. Quel est le meilleur scénario ? Peut-être qu'ils n'avaient accès qu'à cette seule machine que nous avons vu être cryptée. Quel est le pire des scénarios ? En d'autres mots, nous savons qu'ils possédaient ce niveau d'informations d'identification et que ce niveau d'informations d'identification avait accès à l'ensemble de la base de données client ou à la base de données de production complète. Nous ne savons pas s'ils savaient qu'ils avaient accès à cela, alors peut-être qu'ils ne l'ont pas lu, mais c'est quelque chose que nous devons mettre en place dans notre pire scénario.

Et enfin, qu'avez-vous fait ? C'est quelque chose qui, encore une fois, est souvent négligé, mais documentez tout ce que vous faites en réponse à l'attaque, surtout si vous n'avez pas de procédure écrite en place. Juste dans les premières heures et les premiers jours suivants, toute action de bonne foi visant à limiter les dommages et à tenter de protéger les données, même si cela s'avère par la suite sans objet, sera prise en compte ultérieurement. Ne supprimez rien qui ne constitue pas une menace immédiate, car, encore une fois, il y aura une enquête, il y aura un suivi, il peut y avoir des conséquences réglementaires, et si nous supprimons des éléments qui pourraient être pertinents ultérieurement, cela peut avoir des conséquences imprévues ultérieurement. processus.

Et maintenant, je pense que je vais passer à Jenny sur la conception efficace du plan IR.

Jennifer Hamilton

Oui, nous en sommes donc arrivés à la partie où nous devons déterminer ce qu'il faut trier, comment le trier, qui est en premier. Commençons donc par passer en revue ce qui constitue un plan de réponse efficace aux incidents.

Donc, d'abord, nous avons des acteurs clés. Nous en avons discuté plusieurs fois dans différents webinaires autour de la cybersécurité et des ransomwares. Nous ne pouvons pas assez insister pour décider à l'avance de la personne responsable, qui est la question de la vieillesse. Est-ce que c'est l'informatique ? Est-ce légal ? Est-ce que c'est un avocat extérieur ? Qui est Running Point ? Et cela revient souvent à savoir qui doit fournir une orientation, qui prend réellement des décisions. Donc, ces choses à l'avance sont incroyablement importantes, car ce que vous ne voulez pas, c'est que vous ne voulez pas que la personne qui conseille et gère certains des aspects fondamentaux les plus difficiles de la réponse à l'incident, soit également chargée de prendre toutes les décisions et de devenir un goulot d'étranglement pour les communications. peut facilement se produire.

Donc, quand avez-vous la responsabilité juridique par rapport à l'informatique par rapport à d'autres acteurs d'une société et d'un avocat externe ? Il s'agit donc d'un domaine dans lequel vous devez décider très tôt et, encore une fois, qui prend la décision, quels types de notifications peuvent devoir être effectuées, ce qui doit être signalé et à qui, et plus encore, lorsque vous avez une violation de la cybersécurité des données contenant des informations personnelles, des dossiers médicaux, comme Mike l'a mentionné. plus tôt, ou vous avez même un ransomware où — je pense que les statistiques sont environ la moitié du temps que le rançongiciel, les données sont réellement exfiltrées et rançonnées, puis vous avez des obligations, en fonction du type de données que vous devez faire des rapports, et ces obligations deviennent très complexes, très étendues et très temporelles sensible. Et ce que je veux dire en termes de vaste, car il est possible que vous fassiez face à une notification de violation aux 50 États, l'OCR, comme Mike l'a mentionné, plusieurs pays, l'Europe étant une grande, mais même la Chine, l'Inde et le Brésil de nos jours pourraient faire partie de cette notification, et lorsque nous parlons de le faire rapidement, nous sommes en parlant dans les 72 heures, dans de nombreux cas. Il serait donc très difficile de faire en sorte que quiconque exécute le processus de notification des infractions prenne également des décisions techniques, donne des orientations, interfacant les avocats extérieurs, les cabinets de relations publiques, les assurances, etc., réfléchisse sérieusement aux charges de travail et à la façon de les équilibrer.

Les avocats extérieurs peuvent être une excellente piste dans ces événements, mais cela ne se résume pas nécessairement au rôle mis à part les considérations de privilège, mais vraiment de l'expérience et je vais appeler cela un arc-en-ciel d'expérience quand il s'agit des bonnes personnes de courir avec l'incident et de gérer tous ces mouvements différents. et quand je dis arc-en-ciel d'expérience, je pense que c'est vraiment quelqu'un qui peut voir le début jusqu'à la fin, de sorte que le début, en termes de contrats qui exigent des notifications, à qui, si cela se terminait par un litige, est-ce que cette personne a cette ligne de vue quant à ce que est-ce vraiment la priorité de protéger l'entreprise du tout début à la fin ? De toute évidence, l'expérience en sécurité des données, l'expérience dans le secteur de l'assurance et la couverture, ainsi que le travail sur les panneaux peuvent être essentiels, faire la différence, et j'aime également souligner à quel point il est important d'avoir un type d'expérience de découverte électronique, à la fois en termes de compréhension des flux de travail et de crise. la gestion et le triage, mais aussi, dans une large mesure, l'étendue des flux de données autour d'une organisation, d'où proviennent les données, ce qui s'y trouve, où elles vont et comment identifier et prioriser les pratiques d'atténuation des risques.

Et puis, outre les litiges, il s'agit d'avoir cette expérience en matière de protection de la vie privée. C'est très difficile à faire, de trouver quelqu'un qui a cette gamme d'expériences, mais ce sont vraiment les personnes que vous voulez faire partie de l'équipe principale par rapport à l'équipe élargi, et qui est en mesure de trier la réponse avec un playbook ou, dans certains cas, sans livret de jeu. Et puis aussi établir, encore une fois, à savoir qui prend les décisions ? Ce n'est généralement pas la même personne. Ils prennent peut-être certaines de ces décisions, mais en termes de décisions de haut niveau et de rapports à travers la chaîne, cette expérience est également extrêmement utile. Bonus si ce prospect ou groupe de prospects, de l'informatique au juridique, a également de l'expérience dans les rapports aux conseils d'administration et fournit le niveau d'information approprié.

Ainsi, lorsque nous parlons de rôles plutôt que de noms sur le plan, c'est une situation où les personnes et les organisations changent fréquemment, surtout dans ce domaine. Par conséquent, vous voulez savoir qui — toujours savoir qui joue ce rôle, le titre a changé et comment déterminer à qui s'engager, quand. C'est généralement très important quand il s'agit de la découverte électronique, et de même ici dans une sorte de cyberévénement.

Ensuite, j'ai abordé qui fait partie de l'équipe principale par rapport à l'équipe élargie et je pense que c'est important parce que vous voulez que le plus petit nombre de joueurs que vous puissiez identifier fasse avancer le ballon et être rapide. Mais vous devrez également contacter divers experts en la matière qui parlent cette langue. Et nous avons parlé du fait que l'assurance est un domaine parfait, où quiconque fait partie de l'équipe principale et impliqué dans la direction, les conseils ou les décisions doit parler quelque peu la langue des assureurs et des polices, et avoir des relations déjà développées avec votre équipe de gestion des risques en interne. C'est donc utile pour identifier toutes ces choses différentes.

J'aime le faire en créant un tableau RASCI où vous faites un exercice avec un groupe, car il y a beaucoup d'experts en la matière impliqués dans quelque chose comme celui-ci et qui est, en fin de compte, responsable de s'assurer que certaines choses sont exécutées, qui est responsable, qui est consulté et qui est informé. Et ces éléments, simplement en travaillant à travers cette partie de l'équipe centrale par rapport à l'équipe élargie, vous n'avez peut-être même pas le temps de faire référence à cela au milieu d'un incident, mais comprendre ce dont les différents groupes ont besoin à différents moments peut être extrêmement utile lorsqu'il s'agit de l'heure du départ.

Mary, s'il vous plaît, pesez.

Mary Mack

Je suis tellement excité d'entendre parler du tableau RASCI avec les responsabilités et le niveau de prise de décision de chaque personne, cela me ramène aux premiers jours de préparation aux litiges où les gens viennent de prendre et de le faire. Et certainement, dans les premiers cas qui fonctionnent, mais vous obtiendrez ensuite des personnes avec des descriptions de poste et certaines choses se chevauchent, et si vous avez une équipe centrale plutôt qu'une équipe élargie, il est si important de le faire et d'en discuter avant. Même si, comme l'a dit Jennifer, vous ne l'utilisez pas, je trouve dans les litiges, les enquêtes et ici dans la cyberdécouverte, il est très important de savoir qui prend la décision finale. Sinon, vous pouvez perdre du temps à essayer de comprendre cela, en essayant de travailler dans un environnement très chargé, très visible et hautement politique. Donc, avoir ces rôles baissés, je pense, c'est un merveilleux cadeau, Jennifer, le tableau RASCI pour cela.

Jennifer Hamilton

C'est drôle, c'était l'une des premières conférences auxquelles j'ai assisté lorsque j'étais à John Deere et qui a été évoquée, et j'ai pensé que c'était vraiment intéressant, et c'est probablement l'un des outils les plus utiles de ma carrière, du contentieux à la cyberdécouverte. Je vous encourage donc vivement à consulter les cartes RASCI et à les utiliser. Encore une fois, c'est un excellent exercice pour rassembler les gens et apporter de la clarté. Cela peut être l'une des choses les plus importantes que vous faites pour vous préparer à tout type de conflit de type crise.

Donc, de la même manière, parlons de flux de travail. Nous avons parlé de la mise en place de flux de travail et de l'importance qu'ils sont. Encore une fois, vous n'avez peut-être pas le temps de vous y référer au milieu d'un événement, mais seulement la pratique, l'expérience de les assembler afin que l'équipe, dans son ensemble, comprenne ce qu'est un flux de travail typique. Et évidemment, dans la plupart des situations de crise, il y a beaucoup d'improvisations qui se produisent. Il ne coule pas vraiment bien. Tout comme dans eDiscovery, les choses ne circulent pas parfaitement d'une phase à l'autre, et c'est donc là que vos exercices de table peuvent être utiles.

Je trouve même difficile d'avoir ces exercices, car c'est une entreprise tellement intimidante, surtout pour les équipes qui n'ont vraiment pas connu cela auparavant. Par conséquent, ce que j'aime penser en termes de rôles et de responsabilités et de fusion avec les flux de travail, c'est déterminer quel est le risque le plus élevé auquel votre organisation peut faire face. Allons au top un, deux, peut-être même trois. Commençons par l'événement à risque le plus élevé. Et c'est là que le droit veut vraiment être impliqué.

Legal veut se prêter à l'évaluation du risque. Et donc, je pense que c'est là que vous pouvez organiser un événement de nature très technique et nécessiter l'implication des Johns et des Mikes à un degré très granulaire, mais aussi de faire en sorte que, selon le plan juridique, c'est vraiment l'un des événements les plus à risque, et revenir à ce qui doit être signalé peut vraiment conduire à cela. décision. Notifications de données, de confidentialité et de violation, conformité aux polices d'assurance.

Et je vais aussi me lancer ici quand il sera bon de s'impliquer plus profondément dans le droit ou peut-être de prendre les devants, car ce n'est pas le playbook qui compte. Encore une fois, si vous avez cette personne et qu'elle n'a pas besoin d'être avocat, mais celle qui a le plus d'expérience du début à la fin de la crise, cela peut être vraiment utile. Parce qu'il y a des événements qui vont se produire, comme les ransomwares, les gens n'étaient pas préparés à l'événement, et j'appelle cela le non-Playbook Matter. Ainsi, c'est peut-être là que le droit peut réellement aider à soutenir le flux de travail et la stratégie, sinon la conduite.

Et aussi, un point clé ici est que ces choses — et nous parlons d'improvisation, nous allons aussi beaucoup parler en parallèle, les choses se passent en parallèle en même temps. Alors, où est-ce logique ? Si vous devez faire un rapport dans 72 heures ou si vous avez 24 heures pour faire un rapport, alors qui va faire quoi en même temps. Donc, ce sont des choses, je pense, qui peuvent toutes être discutées et élaborées à l'avance.

Je ne sais pas, Mary, si vous y aviez aussi des pensées.

Mary Mack

Je pense tout comme pour une présentation, si vous avez un script et que vous avez un plan et que vous savez où vous allez, certainement le ransomware est là où vous êtes... c'est comme si vous mettiez votre doigt dans la prise lumineuse, et si vous parlez de la pire chose possible qui pourrait arriver à une organisation et devenir légale. impliqué à ce moment-là, parce que c'est l'octave de risque la plus élevée, je pense qu'il est si important de documenter le flux de travail, de sorte que vous ayez au moins un chemin à parcourir. Il peut ne pas survivre, qu'est-ce que c'est, au début de la bataille, tout le monde jette ses manuels par la fenêtre et il ne fait que remédier à la crise. Mais même certaines sous-parties vont être utiles. Et au fur et à mesure que vous travaillez à travers vos différents cyberévénements, vous verrez quels éléments fonctionnent pour votre organisation, puis vous pourrez les itérer et les améliorer.

Nous sommes actuellement, en quelque sorte, pour la plupart des organisations, au tout début, et il est si important d'investir le temps de documenter et de développer la confiance et les relations entre les personnes qui vont devoir former cette équipe Tiger Team.

Ne penseriez-vous pas, Jennifer ?

Jennifer Hamilton

Oui, la confiance et l'établissement de relations sont essentiels ici. Et je pense que c'est un domaine dans lequel le travail quotidien peut vraiment vous empêcher de faire ces exercices de planification avancée et de renforcement de la confiance, mais vous auriez vraiment aimé les avoir fait si vous n'avez pas pris le temps de le faire.

Et en parlant de cela, en termes de bonne communication et d'avoir un plan, c'est là que j'aime... il y a toujours tous ces conseils et il y a des playbooks de huit à 20 pages. Les ransomwares méritent vraiment leur propre playbook. Cela devient une norme, et que les données soient exfiltrées ou qu'elles soient simplement cryptées et rançonnées, ces scénarios sont alors chauds sur la liste pour développer votre plan de communication.

Et je pense que les plans les plus courts possibles, mieux c'est, car dans la vraie vie, si vous avez quelque chose de plus que quelques pages, il n'y a vraiment pas le temps de plonger et de l'analyser et de trouver comment le faire appliquer. Et donc, j'aime les choses d'une page, j'aime davantage les puces ou les diagrammes visuels de type visio, et encore une fois, conçus par rôle.

Ce que les gens doivent savoir, c'est qui s'engager et quand les engager et comment les engager. Encore une fois, ce n'est que l'eDiscovery 101. Si vous pouvez intégrer cela dans un plan d'une page, vous êtes assez en avance dans ce processus et vous devez également savoir quand vous n'êtes pas le chef de file. Dans la plupart des communications, il s'agit d'événements spéciaux, et la communication de crise est différente de chaque jour, même dans le cadre d'un litige et de la façon dont nous nous parlons et qui fait quoi. Et donc, en ce sens, il est utile de lire, il existe d'excellents livres sur la communication de crise et la compréhension en quoi c'est très différent d'un projet quotidien, puis simplement tirer parti des équipes que vous devez simplement avoir cela, même si vous avez fait un exercice sur table uniquement sur la communication, que serait un investissement précieux.

John Wilson

Jenny, une pager, même si vous allez avoir un plan complet de 20, 10, peu importe le nombre de pages, avoir ce genre de carte flash qui dit : « Voici la personne à qui je parle si j'ai besoin de quelqu'un pour cela » devient vraiment important. Parce que ces choses, encore une fois, surtout à mesure qu'elles deviennent de plus en plus sophistiquées, elles mettent l'urgence du temps : « Hé, nous avons capturé vos données, nous savons que vous êtes sur le point de faire un accord M and A, et nous allons rendre cette information publique, et vous devrez payer notre rançon en 72 heures ». Il peut y avoir des contraintes de temps très serrées pour déterminer ce qui va se passer, qui doit être impliqué et tout. Donc, avoir ce téléavertisseur qui vous aide vraiment à accélérer le processus et à savoir qui vous devez contacter quand il devient vraiment important.

Jennifer Hamilton

C'est vrai, John. Et même ce qu'il faut utiliser et qu'il soit mis en file d'attente avant que l'événement ne se produise, Signal est une application qui devient incroyablement populaire. C'est sur les téléphones de tout le monde, il est crypté, et vous voulez que ces groupes par rôle suivent le plan, dans une certaine mesure, déjà organisés et prêts à partir, donc vous n'essayez pas de créer... amener tout le monde à télécharger Signal au milieu d'un événement n'est en aucun cas idéal, donc c'est mon autre plat à emporter ici.

Eh bien, passons à la cartographie des données. Nous pouvons revenir un peu ici. Mais dans le mappage de données, encore une fois, c'est une autre chose très utile en termes de planification proactive de la réponse aux incidents, mais elle peut également être très utile après une violation dans le processus de découverte. Vous avez des équipes de protection de la vie privée, des équipes de découverte électronique et d'autres responsables informatiques qui sont plus du côté des informations et qui, dans certaines organisations, ont probablement déjà créé une carte, un diagramme ou une feuille de calcul qui suit certains des flux de données les plus critiques à travers l'organisation qui auraient le type de données que vous voudriez. soyez le plus préoccupé par cette question. Où sont les informations personnelles sensibles ? Où sont les dossiers médicaux, les dossiers financiers, certains joyaux de la couronne de l'entreprise ?

Et je dirai qu'il y a différents groupes. Au fil des ans, nous avons commencé à proposer des cartographies de données, Mary, comme il y a 15 ou 20 ans en litige, mais il y a plusieurs groupes qui l'ont récupérée et exécutée avec elle, comme les équipes de protection de la vie privée, pour se conformer au RGDP, et cela va également être une exigence à venir ici pour d'autres nouvelles lois de l'État sur la protection de la vie privée qui ont vu le jour ces derniers mois. Vous allez devoir le faire, si vous n'aviez pas à le faire pour l'Europe.

Alors, pourquoi réinventer la roue et pourquoi ne pas accéder à ces enregistrements et accélérer le groupe, réfléchissez à l'endroit où vous devez concentrer vos efforts pour remédier, pour les rapports. Qu'il s'agisse de signaler aux personnes touchées ou aux organismes de réglementation, ou simplement de signaler à l'entreprise : « Hé, devinez quoi ? C'est le type d'informations contenues dans cette base de données dont nous n'étions même pas au courant auparavant ». C'est donc la voie à suivre pour ne pas utiliser votre processus de cyberdécouverte post-brèche et de tirer parti des connaissances institutionnelles que vous possédez avec les équipes eDiscovery, les équipes de confidentialité, etc. Certaines entreprises devancent vraiment cela et utilisent 365 pour marquer et développer la rétention.

Mais votre meilleur ami ici est de ne pas avoir les données dans la position vulnérable dans laquelle elles se trouvent, et donc, dans la mesure où cela peut être un investissement dans le genre de planification proactive. Donc, ne pas conserver les données au-delà de leur durée de vie utile pour l'entreprise. Et c'est là que vous réfléchissez à la possibilité de prévoir un budget pour certains projets d'assainissement. De toute évidence, vous pourriez probablement démentir l'organisation en faisant cela dans tous les systèmes hérités, les bases de données, les comptes de messagerie, mais si, en tant qu'organisation, vous pouvez effectuer un audit de confidentialité ou eDiscovery et évaluer, encore une fois, vos référentiels les plus à risque, où c'est peut-être votre les informations sur les clients ou les dossiers médicaux des patients, et commençons petits et itératifs, voyons ce qu'il y a même et voyons ce qui doit être corrigé qui dépasse largement le calendrier de conservation ou la durée de vie utile, et non en attente légale, c'est là que vous serez le plus efficace pour gérer un brèche réelle.

Ensuite, nous avons déjà abordé la réponse et la notification, et comment nous assurer que vos flux de travail se déroulent de manière transparente et parallèle. La réponse à la brèche, encore une fois, est complète — nous pourrions avoir un webinaire complet à ce sujet, mais l'objectif est de l'accélérer. Donc, dans la mesure où vous pouvez tirer parti de vos connaissances institutionnelles, comme nous l'avons dit, tirer parti de vos fournisseurs pour... non seulement le support contentieux, la découverte électronique, les examens de documents, mais savent également comment identifier ces informations rapidement ? Est-ce qu'ils disposent de la technologie ? Utilient-ils l'intelligence artificielle ? Est-ce qu'ils l'appuient avec d'autres moyens de valider ce qui s'y trouve de manière très, très rapide et d'obtenir cette information entre les mains des groupes responsables ou responsables de toute sorte de notification de violation est essentielle. Donc, plus vous avez de fournisseurs, de partenaires commerciaux et de juristes qui travaillent à l'intersection de l'informatique, du litige, du cybernétique, tous ces différents groupes qui comprennent déjà beaucoup, n'ont rien à apprendre en cours de route, ils connaissent parfaitement votre entreprise, vos processus, votre les gens, font construire ces relations de confiance, alors cela peut faire une énorme différence dans le succès de la gestion de l'un de ces événements.

Michael Sarlo

Merci, Jenny. C'était génial. Merci beaucoup, Mary. Il y a beaucoup de choses qui entrent dans un livret de réponse aux incidents. Et les flux de travail post-brèche en dehors de la pièce technique sont là où nous constatons que même les organisations les plus sophistiquées font défaut.

Une chose que je tiens à souligner, c'est que nous avons commencé à parler de MSA et d'autres choses, et il y a généralement une décision basée sur la décision Capital One après leur rupture hors de Virginie, les services informatiques achetés, avant une violation, et non en relation avec une affaire juridique, ne sont pas techniquement couverts par l'avocat/client parapluie privilège. Il est donc essentiel de bifurquer les communications de certaines manières et d'être conscient que, pour ce qui vous engagez et comment vous construisez des engagements pour répondre à une violation, est très essentiel pour nous assurer que ce que l'industrie estime être un événement privilégié, nous avons tendance à croire que la cybersécurité est un problème juridique. Vous devez vous assurer que vous gérez cela de manière appropriée. Tous les principaux entraîneurs de brèche sont très sophistiqués en ce sens pour atténuer cette exposition, ce qui est quelque chose à savoir que parfois votre choix habituel n'est pas la bonne solution pour certaines parties du flux de travail.

Quel est donc le flux de travail de découverte post-brèche ? Il ne nous reste plus beaucoup de temps, donc nous allons maintenant faire un clic zippé sur cette présentation. Mais de façon générale, nous avons des sources de données impactées, soit nous les préservons sur place, soit nous communiquons directement avec les acteurs de la menace. Ils sont généralement affichés auprès d'un certain type de public [e-Zines]. Nous les faisons entrer dans une infrastructure dont nous disposons entièrement dédiée aux événements de brèche. Très important. Je pense que beaucoup de données peuvent être combinées dans la communauté des fournisseurs. Imaginez que vous ayez votre dossier de litige important dans une base de données et maintenant dans une autre, et qu'un ensemble de données peut être rempli de types de fichiers malveillants. Nous gérons également de nombreux événements zéro jour. Dans ces situations, vous n'avez aucune capacité à l'identifier.

La grande question est donc de savoir s'il y a des données sensibles dans cet ensemble de données à ce stade ? Et les données sensibles, souvent, seront des PII, des choses comme ça, mais pour... vous avez affaire à n'importe quel type de sensibilité commerciale, de propriété intellectuelle, de contrats, de communications avec les clients, tout cela est également très important, en particulier pour les personnes qui doivent contacter nos clients et leur dire que il y a eu une brèche et il y a eu des problèmes avec ces répercussions.

En règle générale, il y aura un traitement de données. Nous préférons Nuix, dans ce cas, surtout lorsque nous devrons peut-être effectuer des analyses médico-légales sur les fichiers si nous avons des types plus changeants de logiciels malveillants qui ont tendance à changer, des hachages MD5 ou des choses différentes, ou si nous voulons vraiment approfondir les composants d'un fichier individuel ou d'un point de vue de l'enquête, mais également pour identifier certains types de CIO qui peuvent être intégrés dans des fichiers qui ne sont pas nécessairement transparents.

À ce moment-là, la prestation de très haut niveau qui met réellement en œuvre ces engagements est vraiment ce que nous appelons un rapport d'évaluation d'impact, et nous le faisons de deux manières différentes. Nous avons une évaluation d'impact de faible niveau qui se produit immédiatement, basée sur une vaste bibliothèque d'expressions régulières, de techniques de recherche, et à la fois du point de vue du contenu, du point de vue des chemins de fichiers et de dossiers qui est enrichi à nouveau dans notre flux de travail ECA propriétaire, ce que nous appelons ReviewRight Protect. Analytics. Ensuite, nous avons développé notre propre IA que nous avons affinée et affinée à travers de nombreux événements qui permettent d'identifier les données sensibles.

Et à ce stade, généralement, il y a — travailler en étroite collaboration, non plus... nous avons ici notre offre entièrement gérée qui vous fera passer d'une violation à une liste de divulgation, disons, je veux dire une liste des entités qui ont été compromises, des humains, des entreprises, de leurs informations qui ont été compromises. Ensuite, nous travaillerions avec l'un des principaux fournisseurs de notifications, que ce soit Equifax ou Experian pour vérifier les adresses, puis les notifications sont envoyées à ces personnes. Et l'horloge dure généralement environ 65 jours lorsque vous avez affaire à HIPAA. Et lorsque cette horloge démarre, c'est généralement dès que vous regardez un document. Et vous entendrez différentes choses sur le moment et l'endroit où cette horloge commence, et le fait d'être stratégique à ce sujet est extrêmement important pour les brèches à très grande échelle, plus dans plusieurs régions géographiques. Il est vraiment important d'avoir une idée de l'emplacement de vos personnes concernées potentielles, non seulement au sein de l'entreprise, mais aussi de l'endroit où elles vivent réellement, d'où et d'où leurs données ont été collectées et dans quel but. Et vraiment, en revenant à ces systèmes que peut-être le CRM, peut-être le système de dossiers médicaux électroniques, que peut-être un autre système peut, souvent, être un bon indicateur de ce que vous avez affaire d'un point de vue géographique, de quels régulateurs vous avez affaire.

Ce rapport d'évaluation d'impact de l'IA et tout ce produit de travail ont tendance à passer par un flux de travail dans lequel nous validons statistiquement des tranches de documents en fonction de leurs résultats, en particulier avec... nous retournons également des intervalles de confiance, la précision de l'ordinateur, et cela s'est amélioré et nous recherchons des cibles à valeur ajoutée pour passer directement à l'exploration de données, ce que nous appellerions généralement dans l'espace eDiscovery, Review et/ou extraction, data mining ou extraction, data mining ou extraction. Et vous pouvez faire travailler de très grandes équipes sur ces questions qui rassemblent différents types d'éléments PII, en les reliant à des entités.

Et tout l'objectif ici est d'accéder à une liste déroulée dédupliquée et, fondamentalement, de pouvoir identifier chaque petite information sur vous ou moi dans l'univers des données, d'où et d'où elles proviennent, et fondamentalement, de pouvoir dédupliquer ces éléments de métadonnées. Il ne s'agit pas de dédupliquer des documents ici, mais de dédupliquer des données plus structurées que nous rassemblons. Et c'est très important, car il s'agit simplement d'un énorme défi de Big Data.

Nous utilisons diverses techniques pour détecter les données du point de vue de l'IA. John, voulez-vous venir ici une seconde, puisque vous êtes le maître en chef de l'IA.

John Brewer

Bien sûr. Je sais que nous manquons de temps, donc je n'entrerai pas trop dans les détails ici, mais le principal point à retenir de cette diapositive est que nous utilisons une combinaison de techniques plus anciennes, comme la correspondance de modèles Word2vec, qui utilisent essentiellement des motifs en mots, plus précisément, des motifs dans la disposition des mots dans les documents pour nous aider obtenir une compréhension grossière et grossière du contenu de ce document afin que nous puissions faire des déductions informatisées plus intelligentes sur le contenu et si c'est pertinent ou non.

Ensuite, nous utilisons actuellement beaucoup d'autres modèles qui sont presque en phase de recherche et qui commencent tout juste à entrer en production, comme le GPT, dont vous avez peut-être entendu parler dans les nouvelles est le néo-GPT ou les transformateurs, les modèles cognitifs triumvirés, ce qui est essentiellement une façon sophistiquée d'utiliser trois différents algorithmes pour obtenir les mêmes informations, puis combiner utilement ces informations afin d'obtenir de meilleurs résultats pour nos clients. La détection des sentiments, qui a bien sûr été développée à l'origine comme un outil de marketing, mais qui a beaucoup d'utilité dans notre domaine particulier dans la découverte et l'analyse des brèches. Ensuite, des phrases clés non entités, c'est-à-dire, une fois encore, associer des personnes à des titres et être en mesure de les utiliser de manière interchangeable de manière à ce qu'un humain puisse le faire, s'ils essayaient d'utiliser ces données à des fins néfastes. Par exemple, le fait de pouvoir dire qu'une référence au scientifique en chef des données HayStackID était également une référence à John Brewer.

OK, Mike, je pense que c'est là le point le plus marquant.

Michael Sarlo

Et ce que nous sommes en mesure de récupérer nos clients — et c'est pour tous les cas où vous devez identifier des données sensibles, avec des problèmes transfrontaliers, vous avez des données sensibles dans un litige général, il peut ne pas y avoir d'ordre de protection en place, il peut être nécessaire de les expurger. Très configurable, il ne s'agit que d'un graphique de stock, j'ai en fait une série de tableaux de bord et une quantité difficile de données sur le terrain qui permet et facilite une quantité incroyable de flux de travail lié au traitement des données de confidentialité et si quelqu'un souhaite en savoir plus à ce sujet, contactez simplement l'équipe HayStackID, nous allons soyez heureux de vous montrer une démonstration et de vous guider tout au long du flux de travail, à la fois dans le contexte d'une violation et pour tout type d'engagement général de découverte électronique dans lequel vous avez affaire à des données sensibles.

Et du point de vue de l'examen, et nous sommes dans l'espace d'examen à distance depuis environ 10 ans, alors que c'était un faux pas d'avoir des réviseurs à distance, et maintenant nous étions bien positionnés pour COVID, pour ainsi dire. Nous avons toujours été dotés d'une technologie grâce à laquelle nous disposons d'une plateforme Web où nous organisons nos réviseurs, nous les gérons et tous les réviseurs entrant dans notre entreprise sont testés sur leur capacité de révision. Important ici parce que, techniquement, une violation peut parfois ne pas nécessiter la licence ou les exigences d'un avocat, vous ne faites pas nécessairement des appels légaux. Vous verrez donc ce qui semble être un prix très bas parfois du côté de l'examen, il peut s'agir simplement de parajuristes, d'étudiants en droit ou peut-être de l'étranger. Il est essentiel de s'assurer que ces personnes restent un bon réviseur et comprennent les concepts relatifs aux données sensibles. Nous avons donc développé un test spécial et un banc d'experts, des experts en protection de la vie privée dans ce domaine tant des non-avocats que des avocats, les compagnies d'assurance ne veulent pas techniquement payer pour les avocats dans certains scénarios, donc vous devez parfois, du côté du cabinet d'avocats, comprendre les différences. entre les deux. Mais la mise à profit des tests peut donner lieu à des résultats de très haute qualité.

De plus, pour tous nos examens, nous commençons toujours par une analyse de jauge, ce qui signifie que nous obtenons un échantillon représentatif des données. Il est codé par la direction de l'équipe de révision, les responsables de l'évaluation, par les avocats, puis par les évaluateurs. Et nous les comparons et avons des cycles de correction, et c'est un excellent moyen, dès le début, d'amener les équipes à s'acclimater aux données afin que tout le monde soit en conformité avec le protocole et ce qu'ils font. Je le recommande pour toute question de révision, grande ou petite. C'est un excellent moyen d'empêcher la boucle de rétroaction habituelle qui peut se produire une semaine plus tard, lorsque des lots de QC sont enfin disponibles, ou surtout pour des questions très rapides où une équipe de révision arrive en une journée et que vous tournez des documents trois ou quatre jours plus tard et qu'il n'y a vraiment pas de des boucles de rétroaction appropriées entre l'avocat et un fournisseur comme HayStackID pour aligner tout le monde.

Le flux de travail est vraiment important. La dédoublure au niveau de l'article, la réduction de la taille de la population est extrêmement importante. Nous voulons pouvoir échantillonner des ensembles de documents qui ne touchent pas l'IA, souvent par type de fichier, chemins, et nous voulons pouvoir utiliser essentiellement des méthodes d'échantillonnage statistique pour couper ces documents. De même, nous voulons échantillonner différentes tranches de poches qui touchent des termes ou de l'IA pour voir si elles fonctionnent réellement comme prévu, et nous prendrions des décisions de promotion basées sur cela et documenterions tout, surtout dans la réduction des flux de travail, c'est très important.

Tous les éléments typiques, l'analyse du domaine, la déduplication au niveau des éléments, encore une fois, aucune raison de regarder le même document encore et encore du point de vue des pièces jointes, tirant parti de l'analyse des termes de recherche en dehors du contexte, ce sont des chaînes de détection de données sensibles typiques. Un lot aussi, et vraiment compréhensif — la chose qui apparaît dans tous ces éléments, c'est que nous appellerions des documents LDS ou des fichiers Excel vraiment volumineux, des fichiers de base de données. Nous n'avons pas parlé de bases de données et de la façon dont nous les gérons. Il s'agit d'un tout autre webinaire sur les technologies de pointe que nous pourrions approfondir. Mais notez que cela peut être une clé à molette majeure et elle est toujours présente, surtout lorsque vous disposez de bases de données pouvant contenir des centaines de milliers d'entités individuelles. Cela doit être fusionné dans la population, cette liste singulière d'individus qui est également extraite de documents, donc vous faites vraiment deux choses. La dédoublure ne se produit pas dans une extraction eDiscovery, elle se produit davantage dans les bases de données de type Big Data, Hadoop, Google, Bitquery, etc. Nous utilisons différentes méthodes en fonction de la taille et de l'échelle des données et de la quantité de champs individuels qui doivent être dédupés, généralement dans un ordre hiérarchique. Vous pouvez donc combiner les réseaux sociaux : commencez par la porte et le prénom ainsi qu'un numéro de dossier médical, et vous commencez à ajouter des éléments pour obtenir une concision plus profonde et plus serrée. Et les différents fournisseurs vont connaître des succès différents ici. Nous avons vu beaucoup de données sortir et nous avons écrit un peu de code pour nettoyer ces données, afin d'obtenir de meilleurs résultats de déduplication.

En général, nous sommes en train de passer par un flux de travail où nous devons identifier, généralement, essayer de voir les documents dans leur portée, en général, susceptibles d'être notifiés. Il est généralement classé d'une manière ou d'une autre, il peut y avoir de nombreuses manières différentes : de nombreux champs de métadonnées différents que nous remplissons. Il existe une extraction massive de points de données qui peuvent se poursuivre par programmation. Si nous obtenons des formulaires répétés, des choses comme ça, nous pouvons en fait revenir aux CRM ou à d'autres bases de données qui peuvent être présentes sur place chez le client, et nous choisirions de supprimer les documents bruts que nous examinons peut-être en faveur de données plus structurées d'où ces données ont pu être générées que nous examinons. S'il s'agit d'un PDF envoyé chaque jour et qui contient un tas d'informations client, il vaut mieux revenir sur la plateforme. Et une tonne de contrôle de la qualité se poursuit à différentes couches du côté de la revue et aussi du côté de la science des données, ce qui est extrêmement important sur le plan technique.

Par conséquent, vous avez beaucoup plus d'entrées techniques en examinant les données, en normalisant les données, en travaillant avec des réviseurs que dans une revue orientée eDiscovery typique.

Bien sûr, les rapports ici sont entièrement personnalisables et nous sommes très concentrés sur les différents types de catégories d'IPI que nous voyons. De plus, dans des situations où nous avons beaucoup d'entités de couverture, des choses comme ça, BaaS où une violation est en fait 50 violations parce que vous aviez des personnes qui signent des contrats de robotisation et ne savaient pas ce qu'ils obtenaient de leurs obligations contractuelles. Et maintenant, vous devez signaler individuellement les organisations qui ont pu être infectées. Parfois, la structuration de ces rapports à ce niveau, de ceux qui doivent être notifiés en tant que point de vue des partenaires commerciaux, puis des personnes concernées dans ces catégories peut s'avérer très utile.

Il y a beaucoup de normalisation qui se poursuit. Nous parlons de normalisation, de normalisation des données. Ainsi, vous obtenez des prénoms, des noms de famille, des premières initiales, le fait d'obtenir tous les résultats de déduplication permet de bien meilleurs résultats de déduplication à l'aide d'une variété de techniques en fonction des données. Les choses peuvent devenir très difficiles lorsque vous commencez à obtenir des adresses irlandaises qui décrivent une petite maison au bout d'une rue, plutôt que la façon dont nous avons tendance à les penser ici aux États-Unis. Vous pouvez donc vous retrouver dans différents flux de travail, entièrement différents en fonction des géographies d'où proviennent les données.

Et puis, certainement, mesurer statistiquement, valider ces résultats. Il y a un concept de proportionnalité là-dedans, et c'est un peu presser le haricot jusqu'à ce que vous obteniez chaque décroche. Dans certains scénarios, certains entraîneurs de violations ont des points de vue différents là-dessus, et c'est vraiment une décision juridique en ce qui concerne le risque, jusqu'où vous devez aller. Vous pouvez vous asseoir là et masser ces listes jusqu'à la fin des temps lorsque vous commencez à traiter des centaines de milliers de données sur des individus, mais à un certain moment, il y a une coupure. La normalisation des noms est très difficile. Vous entendez les gens le demander un peu, mais personne ne veut obscurcir le nom de quelqu'un pour que leurs IPI soient mélangés à quelqu'un d'autre, ils ne reçoivent pas de lettre, c'est un gros problème. Nous avons développé une technologie pour nous y amener partiellement, mais les équipes juridiques ont tendance à s'en tenir au dernier moment lorsque vous commencez à leur demander de convenir des intervalles de confiance, des marges d'erreurs, des choses comme ça. Il n'est tout simplement pas comporter.

Et il n'y a pas d'IA qui puisse par magie passer par un jeu de données et associer automatiquement tous les différents éléments d'une personne à quelqu'un. Nous recevons donc cette question tout le temps. La chose la plus importante pour s'éloigner d'ici et que vous commencez à penser à l'IA dans le contexte d'une violation de données, c'est qu'il s'agit d'un multiplicateur de force pour les humains, et c'est généralement le même cas dans eDiscovery. Vous allez toujours avoir besoin d'une tonne de main-d'œuvre. Dans certains cas, les choses peuvent être plus automatisées de certaines manières, simplement en structurant la révision et en supprimant autant que possible la complexité, comme n'importe quel autre engagement, et en ayant un flux de travail testé au combat. Travailler avec quelqu'un qui possède des workflows documentés, des playbooks documentés et des produits de travail basés sur les résultats documentés, des rapports de défensibilité, des éléments qu'ils peuvent vous montrer que vous reviendrez si vous choisissez de vous engager dans un processus entièrement géré ou partiellement en partenariat.

C'est la dernière diapositive, mes amis, et je vais la remettre à Rob. Nous avions une question à poser. Je ne sais pas si nous allons avoir du temps pour l'un d'entre eux, mais quelqu'un nous a demandé : « Alors, quelles sont les bonnes instructions pour aider à repérer les tentatives d'hameçonnage et de ransomware qui sont des falsifications expertes ? Nous ne pouvons pas dire qu'ils ne devraient jamais appliquer leurs informations d'identification dans les circonstances. Quelle est la meilleure pratique ici ? »

Eh bien, la meilleure pratique, en général, c'est que vous recevez quelque chose par e-mail, qu'il vous demande vos informations d'identification, ne cliquez pas dessus. Vous devez toujours analyser le lien, survoler votre souris, si elle semble suspecte, elle est probablement suspecte. Je ne clique jamais, jamais sur un lien d'un grand détaillant, d'un compte que je connais, quoi que ce soit. Je retournerais moi-même sur le site en utilisant une application ou en accédant simplement au site et je me connectais là.

Il y a beaucoup de formations disponibles ici. Nous effectuons des tonnes de simulations ici à HayStackID. Nous recevons de faux courriels d'hameçonnage, vous devez les signaler, et c'est ainsi que nous veillons à ce que notre personnel soit formé. Il est important d'être vigilant ici. Même les personnes les plus sophistiquées peuvent y être vulnérables. Nous voyons que beaucoup d'entre eux viennent par SMS maintenant, mais il y a des formations gratuites, Google propose ici également des programmes de formation complets sur la détection du hameçonnage. Il y a beaucoup de choses sur Internet. Je le recommande vivement à toute organisation qui n'a peut-être pas le budget nécessaire pour déployer plus de programmes de formation d'entreprise, de vidéos, de tout cela, de tests.

Il suffit de supposer que tout va mal, dans certains cas, et de rester à l'écart. John et John, c'est probablement une chose pour vous. Nous ne pouvons probablement y consacrer qu'une minute à en parler. Mais nous en avons un autre ici.

« Nous préparons une migration dans le cloud, en ce qui concerne les sauvegardes et les ransomwares, le stockage immuable, y compris les sauvegardes auxquelles les administrateurs n'ont pas accès, devient un sujet brûlant. Pouvez-vous en discuter, s'il vous plaît ? » Certes, enlever l'accès administratif à nos administrateurs ici chez HayStackID a certainement été un sujet brûlant également.

Juste pour une sorte de tuyau là-dedans. Allez-y, John et John, quels conseils pouvez-vous nous donner ?

John Brewer

Donc, je peux dire que le stockage immuable est généralement quelque chose que j'entends en référence aux sauvegardes, et cela remonte aux années 60 ou 70 lorsque nous avions des bandes en lecture seule ou WORM. Maintenant, je ne suis pas sûr que cela soit particulièrement applicable aux ransomwares, car ces sauvegardes sont généralement toujours accessibles aux administrateurs dans un contexte de lecture, car sinon elles ne seraient pas utiles en cas de scénario de reprise après sinistre. Les empêcher d'être accessibles en écriture est certainement utile pour empêcher un attaquant de rançongiciel de toucher la main et de crypter ces sauvegardes, ce qui est le pire des cas du point de vue opérationnel où votre système de production et vos sauvegardes ont été rançonnés.

Mais John, vouliez-vous commenter un peu plus cela ?

John Wilson

Bien sûr, on en parle beaucoup, mais le revers de cette pièce contribue à protéger les sauvegardes une fois qu'elles existent. Le problème est que si les sauvegardes obtiennent les données chiffrées qui leur sont écrites, cela ne vous aide pas beaucoup.

Michael Sarlo

Et permettez-moi de dire une chose ici aussi : nous entrons dans de nombreuses organisations qui sont des entreprises massives, très sophistiquées, et quand vient le temps d'accéder aux sauvegardes, elles sont cassées, ou elles ne sont même pas en mesure d'être restaurées d'une certaine manière ou elles ne pourraient jamais être restaurées dans un certain temps. raisonnable. Nous le voyons tout le temps.

Ainsi, vous ne savez jamais non plus à quel point vos sauvegardes sont vraiment bonnes. Donc, il y a juste quelque chose à penser, en général, sans rapport avec cela.

John Brewer

Donc, le seul point que je voulais souligner que je ne suis pas sûr de l'avoir fait auparavant est que le stockage immuable ne vous évitent pas de faire rançonner vos données, car tant que ces sauvegardes sont toujours accessibles, quelqu'un peut voler ces sauvegardes et les utiliser pour une attaque de shaming de données ou autrement pour attaquer le en disposant de ces données plutôt que de les chiffrer.

Michael Sarlo

Merci les gars. Très bien, merci beaucoup les gars. Nous l'apprécions vraiment. N'hésitez pas à contacter n'importe lequel d'entre nous, première initiale, nom de famille, Haystackid.com, nous serions heureux de partager, collaborer, enseigner, éduquer, apprendre de vous.

Je vais donner le coup d'envoi à Rob Robinson pour nous fermer. Merci, encore une fois, nous l'apprécions vraiment. Merci.

Clôture

Merci beaucoup, Mike, et merci à toute l'équipe, ainsi qu'à nos supporters de l'EDRM et de l'ACEDS. Et pour rappel à tous les participants, une copie des diapositives de présentation est disponible dans l'onglet situé sous votre fenêtre de visualisation actuelle et une version à la demande de la présentation sera disponible peu après la fin de l'appel d'aujourd'hui. De plus, nous tenons à remercier tous ceux qui ont pris le temps d'y assister aujourd'hui. Nous savons à quel point votre temps est précieux et nous sommes certainement reconnaissants que vous le partagiez avec nous aujourd'hui.

Enfin, nous espérons que vous aurez l'occasion d'assister à notre prochaine webdiffusion éducative. Il est prévu pour le 15 septembre à midi, heure de l'Est, et il sera intitulé Breaches, Responses, and Challenges : Cybersecurity Essentials That Every Lawyer That Every Lawyer Hit Know. Nous espérons certainement que vous pourrez y assister.

Encore une fois, je vous remercie d'avoir assisté aujourd'hui et la diffusion Web d'aujourd'hui s'achève officiellement. S'il vous plaît, bonne journée.

CLIQUEZ ICI POUR TÉLÉCHARGER DES TRANCHES DE PRÉSENTATION

2021.08.11 - HayStackID - Cyber Discovery de réponse aux incidents de ransomware - Webcast d'août 2021 - FINAL

CLIQUEZ ICI POUR LA PRÉSENTATION À LA DEMANDE

À propos de HayStackID™

HayStackID est un cabinet spécialisé de services de découverte électronique qui aide les entreprises et les cabinets d'avocats à trouver, comprendre et apprendre des données en toute sécurité lorsqu'elles sont confrontées à des enquêtes et à des litiges complexes et gourmands en données. HayStackID mobilise des services de cyberdécouverte de pointe, des solutions gérées par entreprise et des offres de découverte juridique pour desservir plus de 500 des plus grandes sociétés et cabinets d'avocats du monde en Amérique du Nord et en Europe. Au service de près de la moitié des entreprises Fortune 100, HayStackID est un fournisseur alternatif de services cybernétiques et juridiques qui combine expertise et excellence technique avec une culture du service à la clientèle en gant blanc. En plus d'être régulièrement classée par Chambers, l'entreprise a récemment été nommée leader mondial des services de découverte électronique par IDC MarketScape et fournisseur représentatif dans le Guide du marché Gartner 2021 pour les solutions E-Discovery. Pour plus d'informations sur sa suite de services, y compris les programmes et les solutions répondant aux besoins légaux uniques de l'entreprise, rendez-vous sur Haystackid.com.