[Webcast Transcript] Ransomware, reactie op incidenten en cyberontdekking: geschiedenis, oplossingen en AI-workflows

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Opmerking van de redactie: Op 11 augustus 2021 deelde HayStackID een educatieve webcast die is ontworpen om cyberbeveiliging, informatiebeheer en eDiscovery-professionals te informeren en bij te werken over hoe organisaties cybergerelateerde incidenten kunnen voorbereiden, aanpakken en erop kunnen reageren.

Hoewel de volledig opgenomen presentatie beschikbaar is voor weergave op aanvraag, is voor uw gemak een transcript van de presentatie en een kopie (PDF) van de presentatiedia's.

[Webcast Transcript] Ransomware, reactie op incidenten en cyberontdekking: geschiedenis, oplossingen en AI-workflows

In deze presentatie hebben experts op het gebied van cyberbeveiligingsincidenten, cyberdetectie en privacy gedeeld hoe organisaties cybergerelateerde incidenten kunnen voorbereiden, aanpakken en erop kunnen reageren. Van ransomware-herstel tot incidentrespons, de presentatie benadrukte geavanceerde technologieën voor gegevensdetectie en beproefde documentbeoordelingsservices ter ondersteuning van de detectie-, identificatie-, herzienings- en meldingsprocessen die wettelijk vereist zijn na gevoelige inbreuken en openbaarmaking van gegevens.

Highlights van webcast

+ Het is slechts een kwestie van tijd: statistieken over beveiligingsincidenten en de geschiedenis van ransomware

+ De eerste 48: detectie en classificatie van elektronische beveiligingsincidenten

+ Effectief IR-plan ontwerp: eenvoud, schaalbaarheid en verder dan de technische details

+ Ontdekking na inbreuken: overzicht van workstream, gebruik van AI en impactbeoordelingsrapportage

+ HaystackID ReviewRight Protect: Workflow voor beoordeling en extractie na inbreuken

Experts presenteren

+ Michael Sarlo: Michael is de Chief Innovation Officer en President of Global Investigation and Cyber Discovery Services voor HaystackID.

+ Mary Mack: Mary is de CEO en Chief Legal Officer van het Electronic Discovery Reference Model.

+ John Brewer: Als Chief Data Scientist fungeert John als hoofd van Advanced Technology Services voor HaystackID.

+ John Wilson: Als CISO en President of Forensisch onderzoek bij HaystackID is John een gecertificeerde forensisch examinator, erkende privédetective en IT-veteraan met meer dan twee decennia ervaring.

+ Jenny Hamilton: Als Deputy General Counsel for Global Discovery and Privacy bij HaystackID is Jenny het voormalige hoofd van het Global Evidence Team van John Deere.

Presentatie transcript

Inleiding

Hallo, en ik hoop dat je een geweldige week hebt. Mijn naam is Rob Robinson, en namens het hele team van HaystackID wil ik u bedanken voor het bijwonen van de presentatie en discussie van vandaag met de titel „Van Ransomware tot Cyber Discovery: Geschiedenis, Solutions en AI Workflows”. De webcast van vandaag maakt deel uit van de maandelijkse reeks educatieve presentaties van HaystackID op het BrightTalk-netwerk en is ontworpen om cybersecurity, informatiebeheer en eDiscovery-professionals te helpen bij cyberbeveiliging en cyberontdekking. De webcast van vandaag wordt opgenomen voor toekomstige weergave op het BrightTalk-netwerk en vanaf de HayStackID-website.

HaystackID is vandaag ook verheugd om onze steun te benadrukken in samenwerking met het Electronic Discovery Reference Model. De EDRM, onder leiding van CEO en Chief Legal Officer Mary Mack, creëert praktische middelen om eDiscovery, privacy, beveiliging en informatiebeheer te verbeteren. Sinds 2005 levert de EDRM leidinggevende standaarden, tools, handleidingen en testgegevens over de hele wereld om best practices te versterken. Momenteel is de EDRM internationaal aanwezig in meer dan 113 landen, verspreid over zes continenten, en ze blijven groeien, en we zijn vandaag ook dankbaar dat we Mary Mack vandaag als spreker hebben. Mary is de auteur van „The Process of Elimination: The Practical Guide to Electronic Discovery”, dat door velen wordt beschouwd als het eerste populaire boek over eDiscovery, en ze ontving haar Juris Doctor aan de Northwestern University Pritzker School of Law, en ze heeft ook hun referentie van CISSP of Certified Beveiliging van informatiesystemen. Welkom, Mary.

Mary Mack

Bedankt, Rob.

Rob Robinson

We zijn zeker blij dat we je vandaag kunnen laten delen. HaystackID is ook verheugd om onze samenwerking met de Association of Certified eDiscovery Specialists, beter bekend als ACEDS, te kunnen benadrukken, en ACEDS biedt trainingen, certificering, professionele ontwikkelingscursussen in eDiscovery en aanverwante disciplines, en we zijn verheugd om met hen samen te werken aan inspanningen. zoals de webcast van vandaag. Naast Miss Mary Mack heeft vandaag enkele deskundige presentatoren die worden beschouwd als enkele van de belangrijkste experts op het gebied van onderwerpen, variërend van cyberbeveiligingsincidenten tot cyberontdekking. Mary, zou je de eer willen doen om vandaag onze experts te introduceren?

Mary Mack

Ik zou het erg leuk vinden, Rob. We zijn zo blij bij EDRM om samen te werken met HayStackID ID en over zo'n actueel onderwerp te delen. Dus als eerste is Michael Sarlo. Hij is de Chief Innovation Officer, President of Global Investigations en Cyber Discovery Services voor HaystackID, en natuurlijk faciliteert hij operaties voor alles wat de digitale forensische en geschillenstrategie betreft, zowel in de Verenigde Staten als in de rest van de wereld. En dan ben ik het volgende. Je weet wie ik ben. En de volgende is John Brewer en is Chief Data Scientist, en ik moet zeggen dat ik het geweldig vind dat datawetenschappers betrokken raken bij cyberontdekking. Het is gewoon iets moois en de opleiding daaromheen voor onze grotere gemeenschap. John fungeert als hoofd van Advanced Technology Services voor HaystackID en hij heeft voor tientallen Fortune 500-bedrijven gewerkt, variërend van eDiscovery tot datamigratie tot informatie-rentmeesterschap, dus heeft een zeer breed oppervlak om deze problemen aan te pakken. En we hebben ook onze vriend John Wilson. Hij is de CISO en President van Forensics voor HaystackID, en naast het doen van alle technologie, forensisch onderzoek en elektronische ontdekking, is hij ook een deskundige getuige, en dat is zeldzaam in onze industrie, en we zijn erg blij dat John op de presentatie staat. En dan hebben we Jennifer Hamilton, die ik voor het eerst ontmoette tijdens haar optreden bij John Deere, waar ik niet kan geloven dat het 14 jaar was, vormde de ontwikkeling ervan en leidde dat eDiscovery operatieteam daar als hoofd van hun wereldwijde bewijsteam bij John Deere, en zij is de adjunct-General Counsel for Global. Ontdekking en privacy voor HaystackID.

En daarmee hebben we een hele agenda voor je en ik zal het aan Mike overdragen om ons door onze discussie te leiden.

Kernpresentatie

Michael Sarlo

Heel erg bedankt, Mary, Rob, en bedankt iedereen voor het meedoen vandaag. We hopen dat dit een informatieve presentatie is. We zullen vragen stellen. Peper er alsjeblieft zoveel als je zou willen. We proberen ze allemaal te bereiken. De presentatie van vandaag op een hoog niveau gaat over ransomware, jij en ik en eDiscovery en de kruispunten, en we gaan echt praten over enkele statistieken. Ik denk dat het belangrijk is dat iedereen zich bewust is van hoe we zijn gekomen waar we zijn, wat betreft het losgeldecosysteem. We gaan meer praten over de eerste 48 uur, om zo te zeggen, in geval van een compromis, elk type beveiligingsincidenten en best practices daar. We gaan het aan Jenny starten om echt te graven in een effectiever ontwerp van een effectief incident respons plan, en echt verder gaan dan enkele technische details, vooral waar eDiscovery-beoefenaars zich kunnen bezighouden met de typische incidentresponsvaardigheid als we denken over het cyberincident, en we gaan vandaag leren dat er veel meer gaande is dan simpelweg een inbreuk te verzegelen.

We gaan praten over wat de ontdekking na de inbreuk is. Wat betekent dat? Hoe gebruiken we AI? Wat is dat van invloed op privacyworkflows waar we al vele jaren mee te maken hebben? En dan praten we over HaystackID's ReviewRight Protect-aanbod en onze benadering van menselijke beoordeling en datamining en hoe we synergieën krijgen door gebruik te maken van nieuwe soorten AI in dat domein.

Dus, in de eerste plaats, hebben we sinds 2010 een enorme explosie gezien in cybercriminaliteit en cyberoorlogvoering, en ik denk dat het een heel belangrijk onderscheid is, vooral met de manier waarop verzekeringsmarkten de neiging hebben om te gaan met inbreuken, de technologie die we kunnen gebruiken, de reactie op ze, de betalingen, en alleen de aanpak en de algehele stroom van het hele paradigma voor cyberincidenten en alle spelers die erbij betrokken zijn, en er zijn er veel van. We hebben een vrij grote explosie van incidenten gezien, en veel identiteiten zijn in gevaar gebracht, enkele echt grote inbreuken in 2017/2018. Deze stat hier is nieuw vanaf 2021 en biedt een vrij nauwkeurige terugblik op gerapporteerde inbreuken, en dat is echt iets om je bewust te zijn van, aangezien veel organisaties kunnen worden geschonden, een losgeldgebeurtenis hebben, gegevens kunnen laten exfiltreeren, mogelijk geen wettelijke vereiste hebben om die inbreuk te melden, afhankelijk van wat er is toegang tot het type klantgegevens. We hebben gevallen gezien waarin zeer grote organisaties een incident hadden moeten melden en dat niet deden, en ze hebben de gevolgen ondervonden vanuit een civiele rechtszaak. We zien dus dat de meeste organisaties, gemiddeld en groot, de neiging hebben niet meer die kant op te gaan, hoewel reputatieproblemen, merkmanagement, klantproblemen, sommige organisaties ertoe kunnen leiden om een evenement te construeren waarbij ze misschien niet het gevoel hebben dat ze het moeten melden.

Dus, deze cijfers zijn eigenlijk heel laag, is het korte en lieve ervan. Er is dagelijks veel meer aan de hand, vooral op het gebied van de overheid. We krijgen soms maandelijks duizenden mini-inbreuken, wat onze infrastructuur en onze overheidsinstanties betreft, en er zijn ook meer rapportagestatistieken die daar aan het licht komen, en die de verbinding verbreken tussen dit aantal hier en wat tienduizenden kan zijn op de overheidszijde zou je het gevoel moeten geven dat dit sterk wordt gemeld. Dat gezegd hebbende, hadden we alleen al in 2020 ongeveer 300 miljoen mensen PHI, PII, gevoelige gegevens gecompromitteerd. Dat waren heel wat brieven waarin jij en ik vroegen om je aan te melden voor gratis kredietbewaking, dat ging zeker uit.

John Wilson

Ja, en nou, Mike, ik wil gewoon een van de dingen toevoegen als je naar de statistieken kijkt, je ziet dat spike nummer in 2017, maar je moet ook beseffen dat de aanvallers veel meer bedreven zijn geworden in wat ze doen. Ze krijgen dus een zeer rijke dataset, en niet alleen — het was vroeger gewoon de wereld te pakken, wat we ook maar kunnen krijgen, we grijpen het. Nu zijn ze erg gefocust, zeer doelgericht en zeer opzettelijk over welke gegevens ze verzamelen of welke informatie er wordt gecompromitteerd. Dus, hoewel de cijfers iets lager zijn dan drie, vier jaar geleden, is de schade aanzienlijk hoger.

Michael Sarlo

Dat klopt, en we zullen praten over de evolutie van waar we zijn tot wat de wereld en de cyberkant meer de jachttactieken van het spel noemen.

Dus, gemiddelde kosten van een breuk, we werken op alle verschillende groottes en schalen van materie, sommige zijn zeer transactioneel en beheerd, sommige zijn super high touch. De wereldwijde gemiddelde kostprijs bedroeg ongeveer $3,86 miljoen. Hier in de VS hoger, ongeveer 8,64 vanaf 2020, en dat is niet noodzakelijkerwijs een deel van het tangentiële inkomstenverlies, dat zich voordoet in het geval van een grootschalige inbreuk. Veel hiervan heeft te maken met postlegale uitgavenworkflows, net als wanneer we denken aan het oude gezegde, eDiscovery, waar misschien de eerste 15% van het budget de datalekeverzameling is, misschien is het nu 10%, misschien is de andere 15% gerelateerd aan eDiscovery-verwerking en -hosting, was waarschijnlijk ongeveer 25, prijsstelling is gedaald en al het andere had te maken met documentbeoordeling en bewegingspraktijk. Je kunt denken aan hetzelfde paradigma van uitgaven en budgettering, zoals het verzegelen van de overtreding, het omgaan met de defensieve aanbevelingen en het forensisch werk voor zover het volgen en begrijpen van verschillende soorten compromisindicatoren. We zullen dat woord IOCS horen. Het was waarschijnlijk meer dan 30% van de uitgaven hier, de rest is allemaal gericht op het identificeren van PII, reageren op verschillende toezichthouders, en eigenlijk heel erg een juridische werkstroom en vaak ook een technologische werkstroom.

En om je een gevoel te geven, wanneer je die Excel opslaat op je lokale desktop, of op een netwerkaandeel dat misschien wat informatie bevat die je niet zou moeten doen, bedragen de gemiddelde kosten van een gestolen record hier in de VS ongeveer $146, minder dan $1,58, en gezondheidszorgbedrijven worden vaak hard getroffen, en er zijn veel persoonlijke gegevens, er zijn veel systemen bij betrokken en hun verplichtingen die meestal aan een hogere lat voldoen, en over het algemeen heeft de OCR verschillende kwalificaties voor zover wie op de hoogte moet worden gebracht in het geval van een datalek. Normaal gesproken: voor de meeste bedrijven die niet gericht zijn op de gezondheidszorg, die geen zorg verstrekken, gezondheidsgegevens beheren, een soort identificeerbare PII hebben, uw sociale netwerk en uw naam, of een tweefasige benadering zou een melding veroorzaken, uw naam alleen zou geen melding veroorzaken en voor de gezondheidszorg doet er toe, dat is sinds kort veranderd. Als je naam in de gegevensset verschijnt, kan de organisatie een last opleveren om je op de hoogte te stellen.

De gemiddelde kosten voor het verzenden van een notificatiebrief zijn ongeveer een bedrag van end-to-end, alleen om die brief te versturen. Het is hoger als kredietbewakingsdiensten worden aangeboden, en het is echt ongeveer 10% van degenen die een brief ontvangen, zo niet lager, die zich daadwerkelijk kunnen aanmelden voor kredietbewaking. Dus iets om je bewust van te zijn. Veel van deze feiten en statistieken zijn gericht op blended rates, maar ik krijg soms veel vragen, en van alleen assetests met mensen, is dat meestal waar we uiteindelijk terecht komen.

Dus, ik ga het starten met John Wilson om alleen maar te praten over ransomware, hoe ze werken, en wat we in het algemeen zien buiten ransomware, hoe een losgeld kan binnenkomen en ondernemerschap, en/of hoe een onderneming in het algemeen kan worden gecompromitteerd via een aantal verschillende vectoren.

John Wilson

Bedankt, Mike. Dus ransomware is in wezen, je kunt het zien als een virus of een kwaadaardig programma dat op je computer wordt uitgevoerd, en ze kunnen er op veel verschillende manieren komen. Het belangrijkste verschil met ransomware versus andere virus- of kwaadaardige programma-activiteiten is dat de meeste ransomware probeert uw gegevens te versleutelen en in een versleutelde emmer te stoppen, zodat u geen toegang meer hebt tot uw gegevens, en de originele ransomwaremodellen waren heel erg gewoon dat het gewoon zou zeggen, hé, ik heb nu alle gegevens op je computer versleuteld, en je moet me losgeld betalen om weer in je gegevens te komen, wat die gegevens ook zijn. En die ransomware-aanvallen nemen veel vormen aan, ze kunnen via phishing-aanvallen komen, ze kunnen via veel verschillende manieren komen, of iemand nu een bestand op je systeem krijgt dat een ransomware activeert, of iemand klikt op een phishing-e-mail in de organisatie die vervolgens iets installeert en begint te nemen boven de machine.

De interessante evolutie van deze ransomware-wereld is dat ze niet langer geïnteresseerd zijn in het versleutelen van uw gegevens. Ze creëren urgentie, ze creëren druk op de eigenaars en individuen, omdat ze, hey, we hebben al je bedrijfsgegevens, we hebben het nu versleuteld, en we hebben het ook verzonden, we hebben het gedownload, en we gaan het delen met het publiek, als je ons het losgeld niet binnen zeven dagen betaalt, of binnen 10 dagen, of binnen 30 dagen, wat het ook is, afhankelijk van de specifieke ransomware-aanval. Ze worden er veel meer op gericht. Ze beginnen nu die gegevens te exfiltreeren. Ze gebruiken die gegevens als een bedreiging. Er was een recent geval waarin een CEO van een groot bedrijf losgemaakt werd, omdat op zijn apparaat, toen ze het loskochten, foto's en informatie vonden die hem in een zeer compromitterende positie brachten, en aanzienlijke publieke schade zouden aanrichten aan de organisatie, en dus dat is het soort dingen dat ze beginnen te doen aanval.

En op dezelfde manier, terwijl we een beetje praatten toen je naar de statistieken keek, en we zien dat er een afname is van gerapporteerde losgeldaanvallen, worden die losgeldaanvallen veel geavanceerder. Het is dus niet de oude tijd dat je een phishingmail krijgt met een heleboel verschrikkelijke teksten en zinnen die niet kloppen, en veel typefouten. Microsoft heeft gisteren aangekondigd dat er bijna een exacte dubbele kloon is van een Microsoft-bericht dat afkomstig is van een spoofed adres dat lijkt alsof het afkomstig is van uw interne IT-systemen, waarbij u wat referentiële informatie moet invoeren, en het ziet er heel legitiem uit en ze zijn nu veel moeilijker te detecteren. Je moet heel voorzichtig zijn met wat je in een e-mail aanklikt, en dat is slechts een voorbeeld van de verfijning. De verfijning is eigenlijk ook verhuisd naar waar ze niet langer zijn, hé, ik ga dingen uitzetten en kijken wie ik online kan krijgen en wie mijn phishing-e-mails gaat uitvoeren. Ze sturen phishing-e-mails naar specifieke personen die ze in die specifieke netwerken en die specifieke bronnen willen betreden. Ze zijn er aanzienlijk doelgerichter op, en dat zorgt voor aanzienlijke uitdagingen, omdat ze uitgaan, ze gebruiken die sociale media-informatie, om er echt voor te zorgen dat ze een goede kans hebben om hun aanval uit te voeren.

Michael Sarlo

En het wordt steeds meer veranderd in een zeer geavanceerd bedrijfsmodel voor dreigingsactoren, en de manier waarop ze samenwerken. Ze werken in kartels, het zijn criminele organisaties met hiërarchieën en organigrammen. Er is een volledig netwerk van zeer geavanceerde, gepolijste webgebaseerde tools die samenwerking mogelijk maken tussen verschillende actoren met verschillende vaardigheden op de losgeldmarkt. Degenen die op zoek zijn naar kwetsbaarheden of op zoek zijn naar doelen, kunnen dan samenwerken met een platform dat losgeld kan inzetten met één druk op de knop. Er zijn dan onderhandelaars die zijn opgezet om te onderhandelen en losgeldbetalingen te vergemakkelijken. De eerste ransomware ooit gedocumenteerd in de jaren 80 was de AIDS Trojan, wat eigenlijk een floppy disk was die je binnenkwam en toen versleutelde het je computer en je moest geld sturen naar een postbus met ongeveer 200 dollar om te proberen die gegevens te herstellen. De adventsexplosie en wat we hier met losgeld zien, correleert echt direct met de dageraad en opkomst van Bitcoin. Dat is het sleutelelement hier, door het verzamelen van geld te anonimiseren om iemand zijn bestanden terug te geven, en nogmaals, zoals John al zei, is het niet genoeg om back-ups te hebben. Ze zullen je gegevens tegelijkertijd exfiltreeren. Gewoonlijk zit er eerder iemand in je netwerk, je zult het niet opmerken, het zijn gegevens buiten, en dan betalen ze je losgeld, en je bent in feite gevangen in een positie dat zelfs als je de gegevens zou kunnen herstellen, als je dat losgeld niet betaalt, ze je in feite zullen schande maken. Ze posten het op openbare [e-zines], en ze zullen het naar de media lekken, en alle klantgegevens kunnen uitgaan, en het kan heel slecht zijn.

Echt belangrijk, en altijd een overweging bij het betalen van een losgeld, is het concept van toeschrijving, wie eigenlijk de aanvaller is, en wij, HaystackID, alle bedrijven die incidenten reageren, werken allemaal samen aan wat aanvaller vingerafdrukken wordt genoemd tijdens elk evenement om te proberen te begrijpen wie er daadwerkelijk achter de aanval. Er kunnen grote gevolgen zijn als een losgeld wordt betaald aan een door de staat gesanctioneerde acteur. OFAC komt binnen, ze vinden dat niet leuk, en veel van deze organisaties worden herbrand. Ze verdwijnen en rebranderen zodra ze een grote hit krijgen. Het politieke klimaat op wereldschaal heeft een volledig effect op de hoeveelheid aanvallen die we zien. Het wordt gebruikt als oorlogstactiek om beleidsbeslissingen op wereldschaal te beïnvloeden. We zagen het afgelopen jaar een enorme stijging in losgeld. Het leek enigszins te correleren met onderhandelingen over de Nord Stream 2 pijplijn, en dan nu een daling. Er zijn andere elementen die ingaan op sommige van deze grotere gebeurtenissen die we zien, en het grootste deel van de tijd zijn ze waarschijnlijk staatsactoren die hen toestaan om te gebeuren, of faciliteren ze voor deze zeer grote nieuwswaardige aanvallen, maar er gebeurt veel in typische criminele ondernemingen, zoals nou.

Dus, dat is de korte geschiedenis van losgeld, en het gaat niet weg. Het wordt zeker geavanceerder, en er zijn ook andere methoden waar ze naartoe gaan.

John Wilson

Ja, en slechts één laatste snelle opmerking om daar in te gooien, is alleen maar een verwijzing naar de verfijning en de vooruitgang ervan. Dus, de meeste mensen hebben waarschijnlijk al gehoord van de Kaseya aanvallen, en dat was eigenlijk waar een hele supply chain software werd aangetast die werd verkocht van een bedrijf dat IT-ondersteuningsdiensten leverde — van een bedrijf dat software leverde voor IT-ondersteuningsbedrijven, en toen gingen ze alleen naar de Corporate, het hoofdkantoor, en zei: „Hey, we hebben 700 van je klanten gecompromitteerd, ons X betalen, of we gaan al je klanten opblazen. En daarnaast gedragen een paar grote spelers in de cyberwereld van ransomware zich nu eigenlijk als durfkapitalisten voor de rest van de ransomware-wereld, zeggen: hé, je gaat erheen, we zullen je financieren, en als je wat inbraken kunt krijgen, nemen we een deel van de inkomsten, en dat is een geheel nieuw model die net dit jaar zijn ontwikkeld. De aanvallen worden dus zeker aanzienlijk geavanceerder en angstaanjagender. Bedankt.

Michael Sarlo

Bedankt, John. Dus, we gaan van start naar John Brewer, onze Chief Data Scientist, ook buitengewoon incident respons en alles wat IT is, om te praten over de eerste 48 hier en hoe je moet reageren en nadenken over elke reactie op een beveiligingsincident. Ga je gang, John.

John Brewer

Heel erg bedankt, Mike. Dus, ja, ik heb het over de eerste 48 uur nadat je ontdekte dat je bent geraakt, maar voordat ik daarover praat, ga ik een beetje praten over tekenen dat je op het punt staat geraakt te worden. Deze veranderen van maand tot maand, dus het is belangrijk om op de hoogte te blijven van de aanbevelingen van wie je cyberbeveiligingsleveranciers ook zijn, maar de dingen die redelijk consistent zijn door de eeuwen heen, gedeeltelijke MFA-aanmeldingen. Als beschaving zijn we behoorlijk goed geworden in het inzetten van MFA in kritieke bedrijfssystemen, en dit geeft ons een zeer nuttig hulpmiddel in ons arsenaal. Als uw IT-personeel of als uw beveiligingsteam of uw beveiligingscentrum als servicegroep veel gebruikers ziet die zich aanmelden met de juiste gebruikersnaam en wachtwoord, maar de MFA-controle niet lukt, is dat een teken dat ten minste één van uw gebruikers, soms meerdere van uw gebruikers, soms meerdere gebruikers, heeft zijn gecompromitteerd en we hebben aanvallers die daar gewoon mee wegknallen, in de hoop dat iemand zijn telefoon opent, de veiligheidsuitdaging ziet en het gewoon accepteert. Dat is iets wat we tegenwoordig steeds vaker zien.

Brute force-aanvallen, dit zijn dezelfde aanvallen die je hebt gezien sinds de jaren 90, waar een groep, om welke reden dan ook, denkt dat ze een voordeel hebben in het raden van het administratieve wachtwoord, ze hebben een hint, ze hebben een beetje intelligentie die hen ertoe leidt dat ze geloven dat als ze door een lijst van 100.000 of een miljoen wachtwoorden, die één van die wachtwoorden gaat werken op elk account of systeem waarop ze zich richten. Een plotselinge piek betekent dat iemand denkt dat het de moeite waard is om die bronnen naar je systeem te gooien.

Phishing-e-mails die landen met vreemde domeinen, nu begint deze een beetje gedateerd te worden. Zoals John Wilson eerder zei, zien we een radicale toename van het geavanceerde niveau van phishing-e-mails die klanten en slachtoffers van ransomware-aanvallen raken. Dus, als je phishing-e-mails ziet komen van domeinen die bijna het domein van je organisatie zijn, of bijna het domein van je bank, bijvoorbeeld, een I en een L in de naam laten draaien, een O vervangen door een nul, dat soort dingen, dingen die de meeste gebruikers niet meteen zouden oppikken. Alles wat zo komt, vooral van financiële instellingen, is een indicatie dat iemand actief op je organisatie jaagt.

Springdozen die omhoog draaien. Dit is weer iets dat we in het verleden meer hebben gezien. Jumpboxen gaan uit de mode in IT, maar ze zijn zeker iets dat op veel plaatsen nog steeds buiten is. Voor iedereen die het niet weet, is een jumpbox een machine die zich binnen het beveiligde gedeelte van het netwerk bevindt, maar van buitenaf toegang heeft. Meestal is het alleen toegestaan om verbinding te maken met een paar verschillende IP-adressen, meestal vanuit het huis van de CIO, of de verblijfplaats van de systeembeheerder of een ander kantoor, maar als een van die locaties wordt gecompromitteerd, zullen aanvallers dat doorgeven om deze achterdeuren via de firewall te gebruiken. Als die soms beginnen te verschijnen dat je dat niet verwacht, of ze beginnen veel verzoeken naar het netwerk te sturen, is dat een van de signalen dat we op het punt staan geraakt te worden.

SMB, Kerberos, LDAP, in principe, elke keer dat uw verificatie- of bestandsdelingsprotocollen aanvragen krijgen van onverwachte plaatsen, is het klassieke voorbeeld hier als de perimeterrouter voor uw netwerk plotseling naar boekhoudbestanden vraagt, het waarschijnlijk een teken is dat dit niet de bedoeling is. De meeste organisaties hebben beveiligingsmaatregelen genomen voor hun meest gevoelige gegevens, zodat ze niet meteen op die manier worden verwijderd, maar sommige niet. En ook, als die aanpak niet werkt, worden deze aanvallen opnieuw gedreven door mensen, die andere aanvallen, andere locaties en andere vectoren proberen te proberen in je systeem te komen.

Broadcast verkeer van Point-to-site VPN's, dit is iets wat we sinds de pandemie veel meer zien; iedereen naar huis gestuurd en iedereen maakt verbinding met hun kantoren via VPN. Als een aanvaller VPN-referenties krijgt die overal kunnen worden gebruikt, zal hij verbinding maken met uw netwerk, en meestal een van de eerste tekenen dat er iets in de war is gegaan, is dat ze zendverkeer uitzenden, in principe vraagt het hele netwerk te zeggen: hé, wat er is, wat er is, welke servers er zijn, welke services zijn er beschikbaar? Dat is zelden iets wat we zien dat gewone gebruikers op het netwerk doen. Het is de moeite waard om een alarm te geven als je het ziet.

En abrupte toename van het niet-HTTPS-verkeer van clientmachines. Dit is eigenlijk iets dat nu gemakkelijker te doen is, omdat bijna alles tegenwoordig op het gebied van applicaties waarmee gebruikers dagelijks communiceren, over HTTPS draait. Bijna alle applicaties die gebruikers dagelijks gebruiken, lopen via een webbrowser, of het nu gaat om Office die via HTTPS via een web-API met Microsoft-servers praat, of gebruikers zijn die inloggen op Dropbox of [Toggle], of een van de andere dozijn verschillende veelgebruikte applicaties. Elke keer dat we informatie beginnen te zien die HTTPS niet via het netwerk doorvoert, is dat vaak een teken dat we een soort telemetrie hebben van malware die het netwerk exfiltreert, of het nu commando en controle is, of dat het daadwerkelijk bestanden en gegevens uit dat systeem exfiltreert.

Laten we het dus meteen hebben nadat je daadwerkelijk bent geraakt. Als ik hierover praat, heb ik het over als je erachter komt dat je bent geraakt. De meeste organisaties zijn urenlang, dagen, soms zelfs weken of maanden geïnfiltreerd voordat ze ontdekken dat ze een indringer hebben gehad, en soms komen ze er pas achter dat ze een indringer hebben gehad totdat ze een e-mail van de aanvaller krijgen met een losgeldvraag. Nu, in die eerste 48 uur, zijn er een paar prioriteiten die we hier hebben. We bevestigen dat er daadwerkelijk toegang is tot gegevens. Meestal weten we meteen niet hoeveel data er is uitgegaan. Zelfs als we een verklaring hebben van de aanvallers die zeggen hoeveel ze hebben, is dat niet noodzakelijk de waarheid, en bijna altijd weten de mensen die dit ontdekken in de eerste plaats niet wat hun wettelijke blootstelling of verantwoordelijkheden zijn. Dit is niet iets waar mensen gewoon over lezen in hun vrije tijd omdat ze er nieuwsgierig naar zijn.

Dus, in termen van de eerste paar minuten nadat je erachter bent gekomen, of je nu een leidinggevende bent, een IT-professional of gewoon een gewone gebruiker, is de eerste stap niet wachten. Welke noodlijn je ook aan de gang bent, ongeacht je hoogste niveau van escalatie in je IT-organisatie of in je ondersteuningsorganisatie, gebruik dat nummer. Wees niet verlegen, want in de veronderstelling dat het lek nog steeds actief is, is het vergrendelen van het systeem op dat moment de hoogste prioriteit. Maak mensen wakker als het moet, bel mensen die op vakantie zijn. Ik weet dat het een faux pas is vanuit een sociaal perspectief, maar het is echt belangrijk dat als er iemand beschikbaar is die je systemen zo snel mogelijk kan vergrendelen en beveiligd kan krijgen, die persoon wordt aangesloot.

Wijzig wachtwoorden voor elk account dat mogelijk is aangetast, en wees niet verlegen om wachtwoorden op andere plaatsen te wijzigen. Zoals John Wilson eerder zei, is de operationele impact op wat er gebeurt misschien wel het minste van je problemen zijn.

Door alle systemen te stoppen die logboeken roteren of verwijderen, wordt dit meestal door de meeste organisaties vergeten. Er zal een onderzoek plaatsvinden, er zullen vragen zijn, en als logboeken worden omgedraaid, verwijderd of anderszins, in de vergetelheid raken, moet dat onmiddellijk worden gestopt, omdat u wellicht weken of maanden terug moet gaan in uw logbestanden om te bepalen wat het oorspronkelijke punt van binnendringing is was, en als je die logboeken niet hebt, één, dan zal het je eigen verantwoordelijkheid nemen om erachter te komen wat het ingangspunt veel moeilijker was, en twee, het zal er later niet goed uitzien.

En beveilig alle back-ups en ga naar back-ups buiten de site. We zien regelmatig — of beginnen met het verplaatsen van externe back-ups naar de site, zou ik moeten zeggen. Nogmaals, vanuit operationeel perspectief, als we een versleuteld systeem hebben dat daadwerkelijk is uitgeschakeld, als dit niet alleen een schadeuitval was, maar eigenlijk productiesystemen zijn gestopt, wilt u uw externe back-ups terugbrengen naar de site, zodat u zich kunt klaarmaken om deze te herstellen. Een verschrikkelijk veel ransomware die we vandaag op de markt zien, heeft behoorlijk lang geduurd. Dus als u wekelijkse back-ups maakt, twee wekelijkse, zelfs maandelijkse back-ups, kunt u nog steeds de malware in uw systeem hebben van die back-ups, en als u het herstelt, ziet u alles weer versleuteld. Ga en krijg de oudste back-ups die je kunt krijgen, zelfs als je een hybride herstel moet uitvoeren, waarbij je het systeem uit de ene set en de gegevens van een andere herstelt, dat kan je beste weg voorwaarts zijn.

Oké, en nu de vijf vragen die we echt moeten beantwoorden in de nasleep van het ontdekken dat je geraakt bent. Als eerste, wie werd er blootgesteld? Werd klantgegevens, werknemersgegevens, leveranciersgegevens? Andere informatie waarvoor u verantwoordelijk bent, de klassieke casus hier is kredietrapporten, maar zeker, als we in een PHI situatie verkeren, kunnen we in een dokterskantoor patiëntinformatie hebben voor patiënten die niet noodzakelijkerwijs klanten of werknemers zijn, maar we zijn nog steeds verantwoordelijk voor en die uiteraard zouden hebben is gecompromitteerd door de inbreuk.

Wanneer kwam de aanvaller binnen en hoe laat waren ze buiten? Nogmaals, dit zal heel belangrijk zijn om foutbalken te plaatsen over hoeveel gegevens ze hadden kunnen krijgen. Als we weten hoelang ze in het systeem zaten, kan ons helpen erachter te komen hoeveel gegevens in die tijd precies konden zijn overgedragen en of we beleid voor gegevensverwijdering hebben, hoe ver ze informatie kunnen hebben waarvan we momenteel beschouwen dat ze zijn vernietigd en verwijderd.

Is er iets veranderd? Normaal gezien zien we geen wijzigingen in gegevens waar mensen naar binnen gaan en operationele gegevens wijzigen. Als we informatie willen zien veranderen, zal het net als massale encrypties zijn, omdat we bekend zijn met ransomware, maar het is ook belangrijk om te kijken of er nieuwe accounts zijn gemaakt. Dit is vooral gebruikelijk voor doelen die herhaalde aanvallen kunnen ondergaan, waarbij de aanvallers naar binnen gaan, een set accounts voor zichzelf maken of wachtwoorden opnieuw instellen op bestaande en zelden gebruikte accounts, zodat ze na het herstel weer kunnen binnenkomen om de site opnieuw aan te vallen.

Waren de machtigingen gewijzigd? Dit kan van alles zijn, van het aanpassen zodat een innerlijke persoon toegang kan krijgen tot gegevens die ze niet zouden moeten doen, helemaal tot het instellen van een hele reeks AWS-emmers op publiekelijk leesbaar, zodat die weer van buitenaf kunnen worden gelezen, en het incident en de inbreuk gaat verder voorbij het herstel, voorbij het verleden detectie.

Waar hadden ze toegang toe? Vaak is dit weer iets waar je alleen maar foutbalken op kunt zetten. Wat is het beste scenario? Misschien hadden ze maar toegang tot deze ene machine waarvan we zagen dat ze versleuteld werden. Wat is het slechtste scenario? Dat wil zeggen, OK, we weten dat ze dit niveau van referenties hadden en dat het niveau van referenties toegang had tot de volledige klantendatabase of de volledige productiedatabase. We weten niet of ze wisten dat ze daar toegang toe hadden, dus misschien hebben ze het niet gelezen, maar dat is iets wat we in ons slechtste scenario moeten plaatsen.

En tenslotte, wat heb je gedaan? Dit is iets dat opnieuw vaak over het hoofd wordt gezien, maar documenteert alles wat je doet als reactie op de aanval, vooral als je geen schriftelijke procedure hebt. Net in de eerste uren en dagen daarna zal elke goeder trouw actie om te proberen de schade te beperken en de gegevens te beschermen, zelfs als dat later een moot point blijkt te zijn, later ingrijpen. Verwijder niets dat geen onmiddellijke bedreiging vormt, want nogmaals, er zal een onderzoek komen, er zal een follow-up komen, er kunnen gevolgen zijn voor de regelgeving, en als we dingen verwijderen die later misschien relevant kunnen zijn, kan dat later in het onderzoek onvoorziene gevolgen hebben. proces.

En nu denk ik dat ik naar Jenny ga overgaan op het effectieve ontwerp van het IR-plan.

Jennifer Hamilton

Ja, dus we zijn bij het deel gekomen waar we moeten uitzoeken wat we moeten trieren, hoe we het moeten trieren, wie er als eerste aan de hand is. Laten we dus beginnen met het bekijken van wat zorgt voor een effectief respons plan voor incidenten.

Dus eerst hebben we sleutelspelers. We hebben dit een aantal keren besproken in een aantal verschillende webinars rond cybersecurity en ransomware. We kunnen niet genoeg benadrukken om op voorhand proactief te beslissen wie de leiding heeft, wat de eeuwenoude vraag is. Is het IT? Is het legaal? Is het een raadsman van buitenaf? Wie is er een looppunt? En dat komt vaak neer op wie richting moet geven, wie daadwerkelijk beslissingen neemt. Die dingen van tevoren zijn dus ongelooflijk belangrijk, want wat je niet wilt is dat je niet wilt dat de persoon die enkele van de meer uitdagende inhoudelijke aspecten van de incidentreactie adviseert en behandelt, ook verantwoordelijk is voor het nemen van alle beslissingen en het wordt een knelpunt voor communicatie, en dit kan gemakkelijk gebeuren.

Dus, wanneer heb je legaal de leiding over IT versus andere spelers in een bedrijf en externe counsel. Dit is dus een gebied waar je vroeg moet beslissen en nogmaals, wie de beslissing neemt, over welke soorten meldingen mogelijk gemaakt moeten worden, wat er moet worden gemeld en aan wie, en nog meer wanneer je een cyberbeveiligingsinbreuk hebt op gegevens met persoonlijke informatie, gezondheidsdossiers, zoals Mike al zei eerder, of je hebt zelfs een ransomware waar — ik denk dat de statistieken ongeveer de helft van de tijd zijn van de ransomware, de gegevens daadwerkelijk worden geëxfiltreerd en losgemaakt, dan heb je verplichtingen, afhankelijk van wat voor soort gegevens je moet rapporteren, en die verplichtingen worden zeer complex, zeer uitgebreid en zeer tijd gevoelig. En wat ik bedoel in termen van omvangrijk, want je zou kunnen worden geconfronteerd met het maken van een inbreekmelding aan alle 50 staten, de OCR, zoals Mike zei, meerdere landen, Europa is een groot land, maar zelfs China, India en Brazilië kunnen tegenwoordig deel uitmaken van deze melding, en als we het hebben over het snel doen, zijn we Over 72 uur praten, in veel gevallen. Dit zou dus erg uitdagend zijn als degene die op het punt staat in het meldingsproces van inbreuken ook technische beslissingen te nemen, richting te geven, interfacing externe counsel, PR-bedrijven, verzekeringen, enz., Echt goed na te denken over de workloads en hoe ze in balans kunnen worden gebracht.

Extern advies kan een grote voorsprong zijn in deze gebeurtenissen, maar het komt er echt op neer dat niet per se de rol behalve privileges overwegingen, maar echt ervaring en ik ga het een regenboog van ervaring noemen als het gaat om de juiste mensen om met het incident te rennen en al deze verschillende bewegingen te beheren. delen, en als ik zeg regenboog van ervaring, denk ik dat het echt iemand is die het begin tot het einde kan zien, dus het begin in termen van wat contracten vereisen meldingen worden gedaan aan wie, helemaal tot als dit in een rechtszaak terechtkwam, heeft deze persoon die zichtlijn over wat betreft wat is echt de prioriteit om het bedrijf vanaf het begin tot het einde te beschermen? Uiteraard kunnen databeveiligingservaring, ervaring in de verzekeringssector en dekking en het werken aan de panels van cruciaal belang zijn, het verschil maken, en ik wil ook benadrukken hoe belangrijk het is om een soort elektronische ontdekkingservaring te hebben, zowel wat betreft het begrijpen van workflows als crisis. management en triage, maar ook, in de uitgebreide — de omvang van de gegevensstromen rond een organisatie, waar komen de gegevens vandaan, wat erin zit, waar gaat het heen en hoe de risicobeperkende praktijken kunnen worden geïdentificeerd en prioriteren.

En dan, naast rechtszaken, heeft het die ervaring op het gebied van privacy. Dit is heel moeilijk om iemand te vinden met zo'n scala aan ervaringen, maar dat zijn echt de mensen die je wilt in het kernteam versus het team uit te breiden, en in een positie om de respons uit te breiden met een playbook of, in sommige gevallen, zonder een playbook. En dan ook weer teruggaan naar wie beslissingen neemt? Meestal is het niet dezelfde persoon. Ze nemen misschien enkele van die beslissingen, maar in termen van beslissingen op hoog niveau, en rapportage via de keten, is die ervaring ook buitengewoon nuttig. Bonus als deze lead of groep leads van IT naar legal ook ervaring heeft met rapportage aan boards en het juiste informatieniveau biedt.

Dus als we het hebben over rollen versus niet alleen namen in het plan, is dat een situatie waarin mensen en organisaties vaak veranderen, vooral op dit gebied. En dus wil je weten wie — wees altijd duidelijk over wie er in die rol zit, of de titel veranderd is en hoe kom je erachter wie je moet aangaan, wanneer. Dat is meestal super belangrijk als het gaat om eDiscovery, en ook hier in een soort cyberevenement.

En toen raakte ik aan wie er in het kernteam zit versus het uitgebreide team en ik denk dat dat belangrijk is omdat je het kleinste aantal spelers wilt dat je kunt identificeren om de bal vooruit te bewegen en snel te zijn. Maar je moet ook contact opnemen met verschillende vakdeskundigen die die taal kunnen spreken. En we hebben het gehad over verzekeringen is een perfect gebied, waar wie deel uitmaakt van het kernteam en betrokken is bij richting, advies of beslissingen enigszins de taal van de verzekeraars en het beleid moet spreken, en relaties heeft met uw risicomanagementteam intern al ontwikkeld. Dus, dat is handig om al die verschillende dingen te identificeren.

Ik vind het leuk om het te doen door een RASCI-grafiek te maken waarin je een oefening hebt met een groep, omdat er veel vakdeskundigen betrokken zijn bij zoiets, en doorwerken wie uiteindelijk verantwoordelijk is om ervoor te zorgen dat bepaalde dingen worden uitgevoerd, wie verantwoordelijk is, wie wordt geraadpleegd, wie wordt geraadpleegd en wie is geïnformeerd. En die items, gewoon dat stuk doorwerken met wie dan ook in het kernteam zit versus het uitgebreide team, heb je misschien niet eens de tijd om daar te refereren in het midden van een incident, maar begrijpen wat verschillende groepen op verschillende tijdstippen nodig hebben, kan enorm nuttig zijn als het gaat om tijd.

Mary, weeg alsjeblieft in.

Mary Mack

Ik ben zo verheugd om te horen over de RASCI-grafiek met de verantwoordelijkheden en welk niveau van besluitvorming elke persoon heeft, het brengt me terug naar de begindagen van gereed zijn voor rechtszaken waar mensen net zijn opgepikt en deden. En zeker, in de eerste gevallen werkt dat, maar dan krijg je mensen met functiebeschrijvingen en sommige dingen overlappen, en als je een kernteam hebt versus een uitgebreid team, is het zo belangrijk om dat naar beneden te halen en eerder besproken te hebben. Zelfs als je, zoals Jennifer zei, je het niet gebruikt, vind ik in geschillen, onderzoeken, en hier in de cyberontdekking, het heel belangrijk om te weten wie de uiteindelijke beslissing kan nemen. Want anders kun je tijd verspillen met proberen dat uit te zoeken, door te proberen te werken in een sterk geladen, goed zichtbare, zeer politieke omgeving. Dus, als je die rollen lager hebt, denk ik, dat is een prachtig cadeau, Jennifer, de RASCI-kaart hiervoor.

Jennifer Hamilton

Het is grappig, het was een van de eerste conferenties die ik bijwoonde toen ik bij John Deere was en dat was opgevoed, en ik dacht, wow, dat is echt interessant, en het was waarschijnlijk een van de nuttigste tools in mijn carrière, van geschillen tot cyberontdekking. Dus ik moedig je ten zeerste aan om RASCI-kaarten op te zoeken en ze te gebruiken. Nogmaals, het is een geweldige oefening om mensen bij elkaar te brengen en duidelijkheid te bieden. Dat kan een van de belangrijkste dingen zijn die je doet om je voor te bereiden op elk soort crisistype geschil.

Dus laten we op dezelfde manier praten over werkstromen. We hebben het gehad over workflows en hoe belangrijk het is. Nogmaals, je hebt misschien geen tijd om er midden in een evenement naar te verwijzen, maar alleen de oefening, de ervaring om ze samen te stellen zodat het team als geheel begrijpt wat een typische workflow is. En natuurlijk gebeurt er in de meeste crisissituaties veel improvisatie. Het stroomt niet echt netjes. Net als bij eDiscovery lopen de dingen niet netjes van de ene fase naar de andere, en dat is dus waar je tafeltoefeningen nuttig kunnen zijn.

Ik vind het moeilijk om die oefeningen te doen, want het is zo'n ontmoedigende poging, vooral voor teams die dit echt niet eerder hebben meegemaakt. Wat ik graag denk in termen van rollen en verantwoordelijkheden en vermenging met workstreams, is uitzoeken wat het hoogste risico is waar je organisatie mee te maken heeft. Laten we naar de top gaan, twee, misschien zelfs drie. Laten we beginnen met het hoogste risico. En dit is waar legaal echt bij betrokken wil zijn.

Legal wil zich lenen om het risico te helpen beoordelen. En dus denk ik dat je daar een evenement kunt hebben dat zeer technisch van aard is en de Johns en de Mikes in zeer granulaire mate nodig heeft, maar ook dat volgens de juridische termen dit echt een van de hoogste risicogebeurtenissen is, en teruggaan naar wat gerapporteerd moet worden, kan dat echt drijven. beslissing. Gegevens, privacy en inbreuken, naleving van verzekeringspolissen.

En ik gooi hier ook binnen als het goed is om legaal dieper betrokken te worden of misschien een voortouw te nemen omdat het niet-playbook belangrijk is. Nogmaals, als je die persoon hebt, en het hoeft geen advocaat te zijn, maar de persoon die de meeste ervaring heeft van het begin tot het einde van de crisis, dan kan dat echt nuttig zijn. Omdat er gebeurtenissen zullen gebeuren, zoals ransomware, waren mensen niet voorbereid op gebeurtenissen, en ik noem het de Non-Playbook Matter. Dus daar kan legaal de workflow en strategie echt helpen ondersteunen, zo niet rijden.

En ook een belangrijk punt hier is dat deze dingen — en we praten over improvisatie, we gaan ook veel parallel praten, de dingen tegelijkertijd tegelijkertijd gebeuren. Dus, waar is het logisch? Als je binnen 72 uur een rapport moet maken, of je hebt 24 uur om een rapport te maken, wie gaat wat tegelijkertijd doen. Dus dit zijn dingen, denk ik, die allemaal van tevoren kunnen worden besproken en uitgewerkt.

Ik weet het niet, Mary, of je daar ook over nadenkt.

Mary Mack

Ik denk dat net als bij een presentatie, als je een script hebt en een overzicht hebt en je weet waar je naartoe gaat, zeker ransomware is waar je bent... het is alsof je je vinger in de lichtaansluiting steekt, en als je het hebt over het slechtst mogelijke ding dat een organisatie kan overkomen en legaal wordt op dat moment betrokken, omdat dat het hoogste octaaf van risico is, denk ik dat het zo belangrijk is om de workstream te documenteren, zodat je tenminste één weg hebt. Het overleeft misschien niet, wat is het, het begin van de strijd, iedereen gooit zijn handboeken uit het raam en ze pakken gewoon de crisis aan. Maar zelfs sommige onderdelen zullen nuttig zijn. En terwijl je verschillende cyberevenementen doorloopt, zul je zien welke dingen werken voor je organisatie, en dan kun je ze herhalen en verbeteren.

We zijn op dit moment, voor de meeste organisaties, direct aan het begin, en het is zo belangrijk om tijd te investeren in documentatie en het ontwikkelen van het vertrouwen en de relaties tussen de mensen die dit in wezen zullen moeten vormen, in wezen, Tiger Team.

Zou je dat niet denken, Jennifer?

Jennifer Hamilton

Ja, vertrouwen- en relatieopbouw is hier van cruciaal belang. En ik denk dat dit een gebied is waar dagelijks werk je echt uit kan halen om deze geavanceerde planning en vertrouwensoefeningen te doen, maar je zou echt willen dat je ze had gedaan als je er geen tijd voor hebt gemaakt.

En daarover gesproken, in termen van goede communicatie en het hebben van een plan, dit is waar ik het leuk vind... er zijn altijd al dat advies en er zijn speelboeken van acht tot 20 pagina's lang. Ransomware verdient echt een eigen speelboek. Het wordt een norm, en of de gegevens nu worden geëxfiltreerd of gewoon versleuteld en losgemaakt, dan staan deze scenario's op de lijst om uw communicatieplan te ontwikkelen.

En ik denk dat de kortst mogelijke plannen, hoe beter, want in het echte leven, als je iets meer hebt dan een paar pagina's, is er echt geen tijd om erin te duiken en te analyseren, en erachter te komen hoe je het van toepassing kunt maken. En dus hou ik van dingen die één pagina zijn, ik hou meer van opsommingstekens of visuele diagrammen van het visio-type, en nogmaals, gemaakt op rol.

Wat mensen moeten weten, is wie ze moeten betrekken en wanneer ze moeten betrekken en hoe ze ze moeten betrekken. Nogmaals, dat is ook maar eDiscovery 101. Als je dat in een plan van één pagina kunt krijgen, ben je behoorlijk ver vooruit in dit proces en moet je ook weten wanneer je niet de hoofdrol bent. In veel van de communicatie zijn dit speciale gebeurtenissen, en crisiscommunicatie is anders dan elke dag, zelfs in een rechtszaak en hoe we met elkaar praten en wie wat doet. Dus, in die zin, is het nuttig om te lezen, er zijn een aantal geweldige boeken over crisiscommunicatie en begrijpen hoe het heel anders is dan een dagelijks project, en dan gewoon gebruik maken van de teams die je nodig hebt om dat te hebben — zelfs als je alleen maar een tafeltoefening deed op communicatie — dat zou een waardevolle investering zijn.

John Wilson

Jenny, een one-pager, zelfs als je een volledig plan hebt dat 20, 10 is, ongeacht hoeveel pagina's dan ook, met zo'n flashcard one-pager die zegt: „Hier is de persoon met wie ik praat als ik hier iemand voor nodig heb” wordt echt belangrijk. Want deze dingen, nogmaals, vooral naarmate ze steeds geavanceerder worden, zetten ze tijd aan: „Hé, we hebben je gegevens vastgelegd, we weten dat je op het punt staat een M- en A-deal te doen, en we gaan die informatie openbaar maken, en je moet ons losgeld betalen in 72 uur”. Er kunnen een aantal zeer krappe tijdsbeperkingen zijn om uit te zoeken wat er gaat gebeuren, wie erbij betrokken moet zijn en alles. Dus, met die one-pager die je echt helpt het proces te versnellen en te weten met wie je contact moet opnemen wanneer het echt belangrijk wordt.

Jennifer Hamilton

Dat klopt, John. En zelfs wat te gebruiken en het in de wachtrij te laten staan voordat het evenement plaatsvindt, dus Signal is een app die ongelooflijk populair wordt. Het staat op ieders telefoons, het is versleuteld, en je wilt deze groepen op rol hebben die het plan volgen, tot op zekere hoogte, al georganiseerd en klaar om te gaan, dus je probeert niet te creëren... om iedereen te laten downloaden Signal midden in een evenement is op geen enkele manier ideaal, dus dat is mijn andere afhaalmaaltijd hier.

Nou, laten we het overbrengen naar data mapping. We kunnen hier een beetje terugreizen. Maar in datamapping is dit nog een ander ding dat erg nuttig is in termen van proactieve incidentrespons planning, maar het kan ook heel nuttig zijn na inbreuken in het detectieproces. Je hebt privacy-teams, eDiscovery-teams en verschillende andere IT-mensen die meer aan de kant van de info staan, die waarschijnlijk in sommige organisaties al een kaart, een diagram of een spreadsheet hebben gemaakt die enkele van de meer kritieke gegevensstromen door de organisatie bijhoudt die het type gegevens hebben dat je zou hebben. maak je het meest zorgen over. Waar is de gevoelige persoonlijke informatie? Waar zijn de gezondheidsdossiers, de financiële gegevens, enkele kroonjuwelen van het bedrijf?

En ik zal zeggen dat er verschillende groepen zijn, in de loop der jaren zijn we begonnen met datamapping, wat, Mary, zo'n 15, 20 jaar geleden in geschillen, maar er zijn verschillende groepen die het hebben opgepikt en ermee gerund, zoals de privacy-teams, om te voldoen aan de AVG, en dat zal ook een vereiste zijn om hier naar boven te komen. voor andere nieuwe privacywetten van de staat die in de afgelopen maanden zijn ontstaan. Je zult het moeten doen, als je het niet voor Europa hoefde te doen.

Dus waarom zou je het wiel opnieuw uitvinden en waarom niet naar die records gaan en de groep versnellen, denk na over waar je je inspanningen moet concentreren op herstel, voor rapportage. Of het nu gaat om rapporteren aan personen die getroffen zijn of aan toezichthouders, of gewoon om terug te melden aan het bedrijf: „Hé, raad eens? Dit is het soort informatie dat in deze database stond waar we nog niet eens van op de hoogte waren”. Dit is dus de manier om niet je cyberontdekkingsproces na inbreuken te krijgen, en ook gebruik te maken van de institutionele kennis die je hebt met de eDiscovery-teams, de privacy-teams, enz. En sommige bedrijven komen hier echt voor en gebruiken 365 om retentie te taggen en te ontwikkelen.

Maar je beste vriend hier is om de gegevens niet in de kwetsbare positie te hebben waarin het zich bevindt, en dus, voor zover dat een investering kan zijn in het soort proactieve planning. Dus, geen gegevens bewaren buiten de bruikbaarheid van het bedrijf. En dat is waar je aan denkt, kun je een aantal saneringsprojecten budgetteren. Vanzelfsprekend zou je de organisatie waarschijnlijk kunnen opheven om dit over de hele linie te doen, in alle oude systemen, de databases, e-mailaccounts, maar als je als organisatie een privacy-audit of eDiscovery-audit kunt uitvoeren en nogmaals je opslagplaatsen met het hoogste risico kunt beoordelen, waar het misschien jouw klantinformatie of gezondheidsdossiers van patiënten, en begin klein en iteratief, laten we eens kijken wat er zelfs is en laten we eens kijken wat er moet worden opgelost dat veel verder gaat dan het retentieschema of de bruikbare levensduur, en niet in juridische bewaring, dit zal de plek zijn waar u het meest effectief bent in het beheren van een daadwerkelijke inbreuk.

En dan hebben we al contact gehad met respons en meldingen, en hoe we ervoor kunnen zorgen dat je workflows naadloos en parallel verlopen. De reactie van een breach is weer heel — we kunnen er een heel webinar over hebben, maar het doel is om het te versnellen. Dus, voor zover u uw institutionele kennis kunt benutten, zoals we het hebben besproken, uw leveranciers meer kunnen gebruiken... niet alleen ondersteuning voor geschillen, eDiscovery, documentrecensies, maar weten ze ook hoe ze deze informatie snel kunnen identificeren? Hebben ze de technologie? Gebruiken ze kunstmatige intelligentie? Zijn ze aan het onderdrukken met andere manieren om wat er is op een zeer, zeer snelle manier te valideren en die informatie in handen te krijgen van de groepen die verantwoordelijk zijn of verantwoordelijk zijn voor elke vorm van inbreuken, cruciaal is. Dus, hoe meer je leveranciers en zakenpartners en juridisch mensen hebt die werken op het snijpunt van IT, geschillen, cyber, al deze verschillende groepen die al veel begrijpen, hoeven onderweg niets te worden geleerd, ze zijn intiem vertrouwd met je bedrijf, met je processen, met je processen, met je mensen, laat die vertrouwde relaties opbouwen, dan kan dit een groot verschil maken in het succes van het beheren van een van die evenementen.

Michael Sarlo

Bedankt, Jenny. Dat was geweldig. Dank je wel, Mary, heel erg. Er zit veel in een afspeelboek met incidenten. En de werkstromen na de inbraak buiten het technische stuk vinden we dat zelfs de meest geavanceerde organisaties ontbreken.

Eén ding wil ik er wel op wijzen: we begonnen te praten over MSA's en wat niet, en er is meestal een beslissing gebaseerd op de Capital One beslissing na hun inbreuk op Virginia, aangeschafte IT-diensten, voorafgaand aan een inbreuk, niet met betrekking tot een juridische aangelegenheid, technisch niet gedekt door de advocaat/cliënt privilege paraplu. Dus, het splitsen van communicatie op bepaalde manieren en bewust zijn van wie je betrokken bent en hoe je engagementen aangaat met betrekking tot het reageren op een inbreuk is erg cruciaal om ervoor te zorgen dat wat volgens de industrie een bevoorrechte gebeurtenis moet zijn, we geneigd zijn te geloven dat cyber een juridisch probleem is. Je moet ervoor zorgen dat je dat op de juiste manier behandelt. Elk van de belangrijkste inbreekcoaches zijn zeer geavanceerd om die blootstelling te beperken, wat iets is om je ervan bewust te zijn dat je gebruikelijke go-to soms niet de juiste keuze is voor bepaalde delen van de workstream.

Dus, wat is de workflow voor detectie na inbreuken? We hebben niet veel tijd meer, dus we gaan deze presentatie nu door zippity-klikken. Maar doorgaans krijgen we getroffen gegevensbronnen, ofwel bewaren we ze op locatie, of we communiceren rechtstreeks met bedreigingsactoren. Ze worden meestal op de hoogte gebracht van een soort openbaar [e-zines], we brengen ze naar een infrastructuur die we hebben die volledig is toegewijd aan inbreuken. Heel belangrijk. Ik denk dat er veel gegevens in de leveranciersgemeenschap kunnen komen. Stel je voor dat je je grote rechtszaak in de ene database hebt en nu dit in een andere database, en één set gegevens kan gevuld zijn met kwaadaardige bestandstypen. We behandelen ook veel zero-day evenementen. In die situaties heb je geen mogelijkheid om het te identificeren.

De grote vraag is dus: zitten er op dit moment gevoelige gegevens in die dataset? En gevoelige gegevens worden vaak PII, PHI dingen zoals dat, maar voor... je hebt te maken met elke vorm van zakelijke gevoeligheid, intellectuele eigendom, contracten, communicatie met klanten, dat is allemaal heel belangrijk, vooral voor de mensen die contact moeten opnemen met onze klanten en hen vertellen dat Er is sprake van een inbreuk en omgaan met die gevolgen.

Normaal gesproken zal er wat gegevensverwerking plaatsvinden. We geven de voorkeur aan Nuix, in dit geval, vooral waar we wat forensische analyse van bestanden moeten doen als we meer veranderende soorten malware hebben die de neiging hebben om te veranderen, MD5 hashes of andere dingen, of we willen echt diep in de componenten van een individueel bestand graven, of vanuit een onderzoekspunt, maar ook om bepaalde typen IOC's te identificeren die mogelijk zijn ingesloten in bestanden die niet per se transparant zijn.

Op dat moment is de levering van een echt hoog niveau dat deze opdrachten echt operationaliseert, wat we een Impact Assessment Report noemen, en we doen dit op een paar verschillende manieren. We hebben wat een effectbeoordeling op laag niveau zou zijn die echt meteen gebeurt op basis van een enorme bibliotheek met reguliere expressies, zoektechnieken, en beide vanuit het oogpunt van inhoud, bestands- en mappaden dat is verrijkt met onze eigen ECA-workflow, wat we ReviewRight Protect noemen. Analytics. En dan hebben we eigenlijk onze eigen AI ontwikkeld die we hebben verfijnd en verbeterd door vele gebeurtenissen die heel goed werk leveren bij het identificeren van gevoelige gegevens.

En op dat moment, meestal, is er — nauw samenwerken, ofwel... we hebben ons volledig beheerde aanbod hier dat je van inbreuk naar een openbaarmakingslijst brengt, laten we zeggen, een lijst van die entiteiten die gecompromitteerd zijn, mensen, bedrijven, hun informatie die gecompromitteerd was. Dan werken we samen met een van de belangrijkste meldingsleveranciers, of het nu Equifax is, Experian om adressen te controleren en vervolgens worden er meldingen naar die mensen verzonden. En de klok is meestal ongeveer 65 dagen als je te maken hebt met HIPAA. En als die klok begint, is het meestal zo snel als je naar een document kijkt. En je zult verschillende dingen horen over wanneer en waar die klok begint, en strategisch zijn is ongelooflijk belangrijk voor zeer grootschalige inbreuken, meer in meerdere regio's. Het is echt belangrijk om een idee te krijgen van waar je potentiële betrokkenen zich bevinden, niet alleen binnen de onderneming, maar waar ze daadwerkelijk wonen, en van waar en waar hun gegevens zijn verzameld en met welk doel. En echt, teruggaan naar die systemen die misschien de CRM, misschien het elektronische medische dossiersysteem, dat misschien een ander systeem, vaak, een goede indicator kan zijn over waar je mee te maken hebt vanuit geografisch oogpunt, met welke toezichthouders je te maken hebt.

Dat AI-effectbeoordelingsrapport en al dat werkproduct hebben de neiging om vervolgens een workflow te doorlopen waarin we tranches van documenten statistisch valideren op basis van hun hits, specifiek met de... we geven ook vertrouwensintervallen terug, hoe nauwkeurig de computer denkt dat het was en dat is beter geworden. tijd, en we zijn op zoek naar hoogwaardige doelen om rechtstreeks naar datamining te gaan, wat we normaal gesproken zouden noemen in de eDiscovery ruimte, Review en/of extractie, datamining of extractie. En je kunt een aantal zeer grote teams krijgen die deze zaken doorwerken die in feite verschillende soorten PII elementen samenvoegen, die ze terugcorreleren aan entiteiten.

En het hele doel hier is om in feite een gededupliceerde opgerolde lijst te bereiken, en in feite, om elk klein stukje informatie over jou of mij in het data-universum te identificeren, waar en waar het vandaan kwam, en in feite, in staat zijn om die metadata-elementen te dedupliceren. We hebben het hier niet over het dedupliceren van documenten, we hebben het hier over het dedupliceren van meer gestructureerde gegevens die we verzamelen. En heel belangrijk, want het wordt gewoon een enorme uitdaging voor big data.

We gebruiken verschillende technieken om gegevens te detecteren vanuit een AI-oogpunt. John, wil je hier even binnenkomen, omdat je de Chief AI Master bent.

John Brewer

Tuurlijk. Ik weet dat we kort op tijd zijn, dus ik zal hier niet te veel in detail ingaan, maar de belangrijkste afhaalfunctie van deze dia is dat we een combinatie van oudere technieken gebruiken, dingen zoals Word2vec sjabloonafstemming, die in principe patronen in woorden gebruiken, nauwkeuriger, patronen in de rangschikking van woorden in documenten om ons te helpen een beetje een heel grof, ruw begrip krijgen van wat de inhoud van dat document is, zodat we intelligentere, geautomatiseerde inhoudingen kunnen maken over de inhoud daar en of het relevant is of niet.

En dan gebruiken we een heleboel andere modellen die nu worden gebruikt die bijna in een onderzoeksfase zitten en net beginnen in productie te gaan, dingen als GPT, waar je misschien wel van gehoord hebt in het nieuws is neo-GPT of transformatoren, triumvireren cognitieve modellen, wat in wezen een chique manier is om er drie te gebruiken verschillende algoritmen om dezelfde informatie te krijgen en die informatie vervolgens nuttig te combineren om een beter resultaat te krijgen voor onze klanten. Sentimentdetectie, die natuurlijk oorspronkelijk werd ontwikkeld als marketingtool, maar in ons specifieke vakgebied hier veel nut heeft bij het ontdekken en analyseren van breuken. En dan sleutelzinnen van niet-entiteit, namelijk opnieuw een soort associatie van mensen met titels en in staat zijn om die door elkaar te gebruiken op een manier die een mens dat zou kunnen, als ze deze gegevens proberen te gebruiken voor schedelijke doeleinden. Zo kunnen we zeggen dat een verwijzing naar de hoofddatawetenschapper van HayStackID ook een verwijzing was naar John Brewer.

Oké, Mike, ik denk dat dat de opvallende punten zijn.

Michael Sarlo

En wat we in staat zijn om onze klanten terug te krijgen — en dit is eigenlijk overal waar je gevoelige gegevens moet identificeren, met grensoverschrijdende problemen heb je gevoelige gegevens alleen in een algemene rechtszaak, er is mogelijk geen beschermingsbevel van kracht, het moet mogelijk worden bewerkt. Zeer configureerbaar, dit is slechts een stockafbeelding, ik heb eigenlijk een reeks dashboards en een reeks veldgegevens die een ongelooflijke hoeveelheid workflow mogelijk maken en faciliteren met betrekking tot het omgaan met privacygegevens en als iemand geïnteresseerd is om hier meer over te leren, neem dan contact op met het HayStackID-team, we zullen laat je graag een demo zien en neem je mee door de hele workflow, zowel in het kader van een inbreuk als voor elk type algemene eDiscovery-betrokkenheid waarbij je te maken hebt met gevoelige gegevens.

En vanuit een beoordelingspunt, en we zitten al ongeveer 10 jaar in de externe beoordelingsruimte, toen het een faux pas was om externe reviewers te hebben, en nu waren we goed gepositioneerd voor COVID, om zo te zeggen. We zijn altijd al technologie ingeschakeld, waarbij we een webgebaseerd platform hebben waar we onze reviewers organiseren, we beheren en elke recensent die in onze onderneming komt, wordt getest op hun vermogen om te beoordelen. Belangrijk hier omdat, technisch gezien, een inbreuk soms niet de licentie of vereisten van een advocaat vereist, je hoeft niet per se juridisch te bellen, dus je zult zien wat soms erg lage prijzen lijkt te zijn aan de beoordelingskant, het kan gewoon paralegals zijn, rechtenscholieren of misschien offshore. En ervoor zorgen dat deze mensen nog steeds een goede recensent zijn en concepten over gevoelige data begrijpen, is van cruciaal belang. We hebben dus een speciale test ontwikkeld en een bank van experts, privacy-experts op dit gebied van zowel niet-advocaten als advocaten, verzekeringsmaatschappijen willen technisch gezien niet betalen voor advocaten in sommige scenario's, dus je moet soms aan de voorzijde, aan de kant van het advocatenkantoor, de verschillen begrijpen. tussen beide. Maar het gebruik van de tests kan resulteren in een echt hoge kwaliteit output.

Bovendien beginnen we voor al onze beoordelingen altijd met een meetanalyse, wat betekent dat we een representatieve steekproef van de gegevens krijgen, deze worden gecodeerd door het management van het beoordelingsteam, beoordelingsleiders, door counsel en vervolgens ook door de reviewers. En we vergelijken die en hebben herstelrondes, en dit is een geweldige manier om, vroeg, teams te laten wennen aan de data, zodat iedereen in overeenstemming is met het protocol en wat ze doen. Ik raad dit aan voor elke review, groot of klein. Het is echt een geweldige manier om de gebruikelijke feedbacklus te voorkomen die een week later kan gebeuren wanneer QC-batches eindelijk beschikbaar komen, of vooral voor zeer snel bewegende zaken waarbij een beoordelingsteam over een dag draait en je documenten drie of vier dagen later uit de deur schiet en er is echt niet de passende feedbacklussen tussen counsel en een leverancier zoals HaystackID om iedereen op één lijn te brengen.

Echt belangrijk is workflow. Itemniveau ontdubbelen, het verkleinen van de omvang van de bevolking is ongelooflijk belangrijk. We willen in staat zijn om sets documenten te bemonsteren die vaak niet op AI raken, op bestandstype, paden, en we willen in feite statistische steekproefmethoden kunnen gebruiken om die documenten weg te snijden. Op dezelfde manier willen we verschillende tranches van zakken proeven die wel op de voorwaarden vallen of AI om te zien of die echt werken zoals verwacht, en we zouden promotiebeslissingen nemen op basis van dat en alles documenteren, vooral bij het verminderen van workflows is het erg belangrijk.

Alle typische dingen, domeinanalyse, deduplicatie op itemniveau, nogmaals, geen reden om steeds opnieuw naar hetzelfde document te kijken vanuit het standpunt van een bijlagen, waarbij gebruik wordt gemaakt van zoektermen analyse buiten de context, dat zijn typische gevoelige tekenreeksen voor gegevensdetectie. Ook batching, en echt begrijpelijk — het ding dat in al deze dingen opduikt, is dat we LDS-documenten of echt grote Excel-bestanden, databasebestanden noemen. We hebben het niet gehad over databases en hoe we daarmee omgaan. Dat is een heel ander geavanceerd technologisch webinar waar we diep in kunnen gaan. Maar let op, dat kan een grote moersleutel zijn en ze zijn altijd aanwezig, vooral als je databases hebt die honderdduizenden individuele entiteiten kunnen bevatten. Dat moet weer worden samengevoegd in de populatie, die enkelvoudige lijst van individuen die ook uit documenten wordt gehaald, dus je doet echt twee dingen. Dedupe gebeurt niet in een eDiscovery pull, het gebeurt meer in databases van het type big data, Hadoop, Google, Bitquery, dat soort dingen. We gebruiken verschillende methoden, afhankelijk van de grootte en schaal van de gegevens en de hoeveelheid afzonderlijke velden die gewoonlijk in een hiërarchische volgorde moeten worden gededueerd. Dus je kunt sociaal combineren — begin de poort en voornaam plus een medisch dossiernummer, en je begint dingen toe te voegen om een diepere en strakkere visie te krijgen. En verschillende leveranciers zullen hier verschillende successen hebben. We hebben veel uit data zien komen en hebben nogal wat code geschreven om die gegevens op te schonen, zodat we betere deduplicatieresultaten krijgen.

En over het algemeen doorlopen we een workflow waarin we doorgaans moeten identificeren, meestal proberen de documenten in reikwijdte te zien die in aanmerking komen voor een melding. Het wordt meestal op de een of andere manier geclassificeerd, er kunnen veel verschillende manieren zijn: veel verschillende metadatavelden die we invullen. Er is een massale extractie van gegevenspunten die programmatisch kunnen doorgaan. Als we herhaalde formulieren krijgen, zoals dat, kunnen we teruggaan naar CRM's of andere databases die mogelijk ter plaatse bij de klant zijn, en zouden we ervoor kiezen om ruwe documenten te schoppen waar we misschien naar kijken in het voordeel van meer gestructureerde gegevens waaruit die gegevens mogelijk zijn gegenereerd waar we naar kijken. Als het een PDF is die elke dag wordt verzonden met veel klantinformatie, kun je beter teruggaan naar het platform. En veel kwaliteitscontrole gaat door op verschillende lagen aan de beoordelingszijde en ook aan de data science-kant, en dat is ontzettend belangrijk aan de technische kant.

Je hebt dus veel meer technische instroom die naar gegevens kijkt, data normaliseert, werkt met reviewers dan je zou doen in een typische eDiscovery georiënteerde review.

Natuurlijk is de rapportage hier volledig aanpasbaar en we zijn erg gericht op het rapporteren van de verschillende soorten PII categorieën die we zien. Ook in situaties waarin we veel dekkingsentiteiten hebben, zoals dat soort dingen, BaaS waar één inbreuk eigenlijk 50 inbreuken is, omdat je individuen had die contracten ondertekenen en niet wisten waar ze aan kwamen uit hun contractuele verplichtingen. En nu moet je individueel rapporteren aan die organisaties die mogelijk geïnfecteerd zijn. Soms kunnen deze rapporten op dat niveau worden gestructureerd, van beide die op de hoogte moeten worden gesteld als het standpunt van een zakenpartner, en dan kunnen de betrokkenen binnen die categorieën erg nuttig zijn.

Er is veel normalisatie die doorgaat. We zeggen normalisatie, we bedoelen standaardisatie van gegevens. Dus je krijgt voornamen, achternamen, eerste initiële namen, als je die allemaal uitgebroken krijgt, zorgt voor veel betere deduplicatieresultaten met behulp van een verscheidenheid aan technieken, afhankelijk van de gegevens. Het kan hier lastig worden als je adressen uit Ierland begint te krijgen die een klein huis aan het einde van een straat beschrijven, in plaats van de manier waarop we hier in de VS over nadenken. Je kunt dus in verschillende werkstromen terecht komen, totaal anders op basis van de geografieën waar de gegevens vandaan komen.

En dan zeker, statistisch meten en valideren van die resultaten. Er zit een concept van proportionaliteit in, en het is een soort knijp in de boon totdat je elke druppel eruit krijgt. In sommige scenario's hebben sommige inbreekcoaches daar verschillende gezichtspunten over, en het is echt een juridische bepaling, wat betreft risicooptiek, hoe ver je moet gaan. Je zou daar kunnen zitten en deze lijsten masseren tot het einde der tijden wanneer je begint met honderdduizenden stukjes gegevens over individuen, maar op een gegeven moment is er een snee. Naamnormalisatie is erg moeilijk. Je hoort mensen er nogal wat om vragen, maar niemand wil iemands naam verduisteren zodat hun PII zich vermengd raakt met iemand anders, ze krijgen geen brief, dat is een groot probleem. We hebben wat technologie ontwikkeld om ons gedeeltelijk te bereiken, maar juridische teams hebben de neiging om te verlegen op het laatste moment dat je hen vraagt om het eens te worden over betrouwbaarheidsintervallen, marges van fouten, dergelijke dingen. Het is gewoon niet comport.

En er is geen AI die op magische wijze door een dataset kan gaan en alle verschillende elementen van iemand automatisch aan iemand kan koppelen. Dus we krijgen deze vraag altijd. Het grootste ding om hier weg te lopen en je begint na te denken over AI in de context van datalek, is dat het een krachtvermenigvuldiger is voor mensen, en het is meestal hetzelfde geval in eDiscovery. Je zult nog steeds heel veel mankracht nodig hebben. In sommige gevallen kan het op bepaalde manieren meer geautomatiseerd worden, door alleen de beoordeling te structureren en complexiteit zoveel mogelijk weg te nemen, net als elke andere betrokkenheid, en een geteste workflow te hebben. Werken met iemand die workflows, gedocumenteerde afspeelboeken en gedocumenteerde resultaten gebaseerd werkproduct heeft gedocumenteerd, verdedigingsrapporten, dingen die ze je kunnen laten zien dat je terugkomt als je ervoor kiest om deel te nemen aan een volledig beheerd proces of een gedeeltelijk partnerproces.

Dat, vrienden, is de laatste dia en ik schop hem terug naar Rob. We hadden wel één vraag. Ik weet niet of we tijd hebben voor een van hen, maar iemand vroeg ons: „Dus, wat zijn goede instructies om phishing- en ransomware-pogingen te vinden die deskundige vervalsingen zijn? We kunnen niet zeggen dat ze hun referenties nooit mogen toepassen onder omstandigheden. Wat is hier de beste praktijk?”

Nou, de beste praktijk, in het algemeen, is dat je iets per e-mail krijgt, het vraagt om je inloggegevens, klik er niet op. Je moet altijd een analyse van de link doen, met je muis bewegen, als deze er verdacht uitziet, is het waarschijnlijk verdacht. Ik klik nooit, nooit, ooit op een link van een type grote retailer, elk account dat ik ken, wat dan ook. Ik zou eigenlijk zelf terug naar de site gaan, meestal met behulp van een app of gewoon naar de site gaan en ik zou daar inloggen.

Er is hier veel training beschikbaar. We voeren tonnen simulaties uit hier bij HaystackID. We krijgen nep-phishing-e-mails, je moet ze melden, en zo zorgen we ervoor dat onze medewerkers getraind zijn. Het is belangrijk om hier waakzaam te zijn. Zelfs de meest geavanceerde mensen kunnen hier kwetsbaar voor zijn. We zien veel hiervan nu ook via sms komen, toch, maar er zijn gratis trainingen, Google biedt hier ook een aantal die volledige trainingsprogramma's uitvoeren voor het detecteren van phishing. Er is veel op internet. Ik raad het ten zeerste aan voor elke organisatie die misschien niet het budget heeft om meer trainingsprogramma's voor bedrijven, video's, al die dingen, testen te implementeren.

Je moet er gewoon van uitgaan dat alles in sommige gevallen slecht is en er weg van blijft. John en John, dit is waarschijnlijk eentje voor jou. We kunnen er waarschijnlijk maar een minuut aan besteden om er over te praten. Maar we hebben hier nog een.

„We bereiden een cloudmigratie voor, als het gaat om back-ups en ransomware, wordt onveranderlijke opslag, inclusief back-ups die niet toegankelijk zijn voor beheerders, een populair onderwerp. Kunt u het even bespreken?” Zeker, het wegnemen van administratieve toegang tot onze beheerders hier bij HayStackID is zeker ook een hot topic geweest.

Er is gewoon een soort pijp in. Ga je gang, John en John, welk advies kun je ons geven?

John Brewer

Ik kan dus zeggen dat onveranderlijke opslag meestal iets is wat ik hoor in verwijzing naar back-ups, en dat gaat terug tot de jaren 60 of 70 toen we een keer lees-many of WORM-tapes hadden. Ik weet niet zeker of dat vooral van toepassing is op ransomware omdat we het hier bespreken, omdat die back-ups meestal nog steeds toegankelijk zijn in een leescontext voor de beheerders, omdat ze anders niet nuttig zouden zijn in het geval van een noodherstelscenario. Voorkomen dat ze beschrijfbaar zijn, is zeker handig om te voorkomen dat een ransomware-aanvaller deze back-ups daadwerkelijk kan versleutelen, wat een van het slechtste scenario is vanuit een operationeel perspectief waarbij zowel uw productiesysteem als uw back-ups zijn gerangschikt.

Maar John, wilde je daar wat meer commentaar op geven?

John Wilson

Natuurlijk wordt er veel over gepraat, maar de keerzijde van die munt helpt het de back-ups te beschermen zodra ze bestaan. Het probleem is dat als de back-ups de versleutelde gegevens naar hen laten schrijven, dit u niet veel helpt.

Michael Sarlo

En laat ik hier ook één ding zeggen: we lopen zoveel organisaties binnen die enorme ondernemingen zijn, zeer geavanceerd, en als het tijd is om toegang te krijgen tot de back-ups, zijn ze kapot, of ze kunnen op een of andere manier niet eens worden hersteld of ze zouden nooit in staat zijn om in een bepaalde tijd te worden hersteld. redelijk. We zien het altijd.

Dus je weet ook nooit hoe goed je back-ups echt zijn. Dus, gewoon iets om over te denken, in het algemeen, niets te maken met dit.

John Brewer

Dus, het enige punt dat ik wilde maken dat ik niet zeker weet of ik dat eerder heb gedaan, is dat onveranderlijke opslag je er niet van weerhoudt om je gegevens te laten losmaken, want zolang die back-ups nog toegankelijk zijn, kan iemand die back-ups stelen en die gebruiken voor een aanval op data shaming of anderszins om de organisatie door die gegevens te hebben in tegenstelling tot het versleutelen ervan.

Michael Sarlo

Bedankt jongens. Oké, nou, heel erg bedankt. We waarderen het echt. Neem gerust contact op met iemand van ons, eerste initiaal, achternaam, Haystackid.com, we delen graag samen, lesgeven, onderwijzen, van u leren.

Ik ga het naar Rob Robinson starten om ons te sluiten. Nogmaals bedankt, we waarderen het echt. Dank je wel.

Sluiten

Hartelijk dank, Mike, en dank u aan het hele team, en ook onze supporters van de EDRM en ACEDS. En ter herinnering aan iedereen die in het gesprek is, is een kopie van de presentatiedia's beschikbaar via het tabblad onder uw huidige kijkvenster en een on-demand versie van de presentatie is kort na het einde van de oproep van vandaag beschikbaar. Daarnaast willen we iedereen bedanken die de tijd heeft genomen om vandaag bij te wonen. We weten hoe waardevol je tijd is en we zijn er zeker dankbaar voor dat je het vandaag met ons deelt.

En last but not least hopen we dat je de kans hebt om onze volgende educatieve webcast bij te wonen. Het staat gepland voor 15 september om 12.00 uur Oosterse tijd, en het zal worden getiteld: Inbreaches, Responses en Challenges: Cybersecurity Essentials die elke advocaat zou moeten kennen. We hopen zeker dat je kunt bijwonen.

En nogmaals, bedankt voor het bijwonen van vandaag en dit sluit formeel de webcast van vandaag af. Alsjeblieft een geweldige dag.

KLIK HIER OM PRESENTATIESEGMENTEN TE DOWNLOADEN

2021.08.11 - HaystackID - Ransomware Incident Response Cyber Discovery - August2021 Webcast - FINALE

KLIK HIER VOOR DE PRESENTATIE OP AANVRAAG

Over HaystackID™

HaystackID is een gespecialiseerd eDiscovery-servicebedrijf dat bedrijven en advocatenkantoren helpt bij het veilig vinden, begrijpen en leren van gegevens wanneer ze geconfronteerd worden met complexe, data-intensieve onderzoeken en procedures. HayStackID mobiliseert toonaangevende cyberdetectieservices, bedrijfsbeheerde oplossingen en juridische ontdekkingsaanbiedingen om meer dan 500 van's werelds toonaangevende bedrijven en advocatenkantoren in Noord-Amerika en Europa te bedienen. HaystackID, die bijna de helft van de Fortune 100 bedient, is een alternatieve leverancier van cyberdiensten en juridische dienstverlening die expertise en technische uitmuntendheid combineert met een cultuur van klantenservice met witte handschoenen. Naast het consequent gerangschikt door Chambers, werd het bedrijf onlangs door IDC MarketScape uitgeroepen tot wereldleider op het gebied van eDiscovery-services en een representatieve leverancier in de Gartner Market Guide for E-Discovery Solutions van 2021. Ga naar Haystackid.com voor meer informatie over het pakket services, waaronder programma's en oplossingen voor unieke juridische bedrijfsbehoeften.