[Transcrição do webcast] Ransomware, resposta a incidentes e Cyber Discovery: histórico, soluções e fluxos de trabalho de IA

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Nota do Editor: Em 11 de agosto de 2021, a HayStackID compartilhou um webcast educacional projetado para informar e atualizar os profissionais de segurança cibernética, governança da informação e eDiscovery sobre como as organizações podem se preparar, tratar e responder a incidentes relacionados ao cibernético.

Embora a apresentação gravada completa esteja disponível para visualização sob demanda, é fornecida para sua conveniência uma transcrição da apresentação, bem como uma cópia (PDF) dos slides da apresentação.

[Transcrição do webcast] Ransomware, resposta a incidentes e Cyber Discovery: histórico, soluções e fluxos de trabalho de IA

Nesta apresentação, especialistas nas áreas de resposta a incidentes de segurança cibernética, ciberdescoberta e privacidade compartilharam como as organizações podem se preparar, abordar e responder a incidentes relacionados ao cibernético. Da correção de ransomware à resposta a incidentes, a apresentação destacou tecnologias de descoberta de dados de ponta e serviços comprovados de revisão de documentos para dar suporte aos processos de detecção, identificação, revisão e notificação exigidos por lei após violações e divulgação relacionadas a dados confidenciais.

Destaques do webcast

+ É apenas uma questão de tempo: estatísticas de incidentes de segurança e o histórico do ransomware

+ Os primeiros 48: Detecção e classificação de incidentes de segurança eletrônica

+ Design efetivo do plano IR: simplicidade, escalabilidade e além dos detalhes técnicos

+ Detecção pós-violação: Visão geral do fluxo de trabalho, uso de IA e relatórios de avaliação de impacto

+ HayStackID ReviewRight Protect: Fluxo de trabalho de revisão e extração pós-violação

Apresentando especialistas

+ Michael Sarlo: Michael é diretor de inovação e presidente da Global Investigation and Cyber Discovery Services da HayStackID.

+ Mary Mack: Mary é a CEO e Diretora Jurídica do Modelo de Referência de Descoberta Eletrônica.

+ John Brewer: Como cientista-chefe de dados, John atua como Chefe de Serviços de Tecnologia Avançada da HayStackID.

+ John Wilson: Como CISO e presidente de forense da HayStackID, John é um examinador forense certificado, investigador particular licenciado e veterano de TI com mais de duas décadas de experiência.

+ Jenny Hamilton: Como conselheira geral adjunta de descoberta global e privacidade da HayStackID, Jenny é a ex-chefe da Equipe Global de Evidências da John Deere.

Transcrição da apresentação

Introdução

Olá, e espero que você esteja tendo uma ótima semana. Meu nome é Rob Robinson e, em nome de toda a equipe da HayStackID, gostaria de agradecer por participar da apresentação e discussão de hoje intituladas “Do ransomware ao Cyber Discovery: History, Solutions e AI Workflows”. O webcast de hoje faz parte da série mensal de apresentações educacionais da HayStackID na rede BrightTalk e foi projetado para ajudar os profissionais de segurança cibernética, governança da informação e eDiscovery à medida que enfrentam desafios de cibersegurança e descoberta cibernética. O webcast de hoje está sendo gravado para visualização futura na rede BrightTalk e no site HaystackID.

A HaystackID também está animada hoje em destaque nosso suporte em parceria com o Electronic Discovery Reference Model. A EDRM, liderada pela CEO e diretora jurídica Mary Mack, cria recursos práticos para melhorar a descoberta eletrônica, a privacidade, a segurança e a governança da informação e, desde 2005, a EDRM forneceu padrões de liderança, ferramentas, guias e etapas de estado de dados de teste para fortalecer as melhores práticas em todo o mundo. Atualmente, o EDRM tem uma presença internacional em mais de 113 países abrangendo seis continentes, e eles continuam crescendo, e também estamos gratos hoje por ter Mary Mack como palestrante hoje. Mary é autora de “The Process of Elimination: The Practical Guide to Electronic Discovery”, que é considerado por muitos como o primeiro livro popular sobre eDiscovery, e ela recebeu seu Juris Doctor da Northwestern University Pritzker School of Law, e ela também detém sua credencial de CISSP ou Certified Profissional de segurança de sistemas de informação. Bem-vindo, Mary.

Mary Mack

Obrigado, Rob.

Rob Robinson

Estamos definitivamente contentes por poderemos que você compartilhe hoje. A HaystackID também está empolgada em poder destacar nossa parceria com a Associação de Especialistas Certificados de Descoberta Eletrônica, mais conhecida como ACEDS, e a ACEDS oferece treinamento, certificação, cursos de desenvolvimento profissional em eDiscovery e disciplinas relacionadas, e estamos muito satisfeitos em fazer parceria com eles nos esforços como o webcast de hoje. Além da senhorita Mary Mack, hoje tem alguns apresentadores especialistas que são considerados alguns dos principais especialistas no assunto em áreas que vão desde a resposta a incidentes de segurança cibernética até a descoberta cibernética. Mary, você faria a honra de apresentar nossos especialistas hoje?

Mary Mack

Eu ficaria muito satisfeito, Rob. Estamos muito felizes na EDRM por fazer uma parceria com a HayStackID ID e compartilhar um tópico tão oportuno. Então, primeiro é Michael Sarlo. Ele é o Chief Innovation Officer, Presidente de Investigações Globais e Cyber Discovery Services da HayStackID e, claro, facilita operações para tudo o que é forense digital e estratégia de litígio tanto nos Estados Unidos quanto em todo o mundo. E, em seguida, sou eu. Você sabe quem eu sou. E o próximo é John Brewer e é Cientista Chefe de Dados, e tenho que dizer que adoro que os cientistas de dados estejam se envolvendo na descoberta cibernética. É apenas uma coisa maravilhosa e a educação em torno disso para nossa comunidade maior. John atua como Chefe de Serviços Avançados de Tecnologia da HayStackID e trabalhou para dezenas de empresas da Fortune 500 em funções que vão desde eDiscovery até migração de dados e administração de informações, por isso tem uma superfície muito ampla para resolver esses problemas. E também temos nosso amigo John Wilson. Ele é o CISO e Presidente de Forense da HayStackID, e além de fazer toda a tecnologia, a perícia e a descoberta eletrônica, ele também é uma testemunha especialista, e isso é uma coisa rara em nossa indústria, e estamos muito, muito felizes por ter John na apresentação. E então temos Jennifer Hamilton, que conheci pela primeira vez em seu show na John Deere, onde eu não posso acreditar que foram 14 anos, moldando o desenvolvimento disso e liderando essa equipe de operações de eDiscovery lá como chefe de sua equipe global de evidências na John Deere, e ela é a Conselheira Geral Adjunta para Global Descoberta e privacidade para HayStackID.

E com isso, temos uma agenda bastante para você e eu vou entregá-la ao Mike para nos guiar através da nossa discussão.

Apresentação principal

Michael Sarlo

Muito obrigado, Mary, Rob, e obrigado a todos por se juntarem hoje. Esperamos que esta seja uma apresentação informativa. Estaremos respondendo perguntas. Por favor, pimenta quantos você quiser. Vamos tentar chegar a todos eles. A apresentação de hoje em alto nível é sobre ransomware, você e eu e eDiscovery e as interseções, e vamos realmente falar sobre algumas estatísticas. Eu acho que é importante que todos estejam cientes de como chegamos onde estamos, no que diz respeito ao ecossistema de resgate. Vamos falar mais sobre as primeiras 48 horas, por assim dizer, no caso de um compromisso, qualquer tipo de incidentes de segurança e melhores práticas lá. Vamos começar a Jenny para realmente investigar mais um projeto de plano de resposta a incidentes eficaz de alto nível, e realmente indo além de alguns dos detalhes técnicos, especialmente quando os profissionais de eDiscovery podem se encontrar engajados que podem não ter a habilidade típica de resposta a incidentes definida quando pensamos sobre o incidente cibernético, e vamos aprender hoje que há muito mais que acontece do que simplesmente selar uma violação.

Vamos falar sobre o que é descoberta pós-violação. O que isso significa? Como usamos a IA? Como isso afeta os fluxos de trabalho de privacidade com os quais todos lidamos há muitos anos? E, em seguida, termine de falar sobre a oferta ReviewRight Protect da HayStackID e nossa abordagem para análise humana e mineração de dados e como ganhamos sinergias aproveitando novos tipos de IA nesse domínio.

Então, em primeiro lugar, temos visto uma explosão massiva, desde 2010, no cibercrime e na guerra cibernética, e acho que é uma distinção muito importante, especialmente com a forma como os mercados de seguros, que tendem a dominar a maneira como lidamos com violações, a tecnologia que somos capazes de usar, a resposta a eles, os pagamentos, e apenas a abordagem e o fluxo geral de todo o paradigma de resposta a incidentes cibernéticos e todos os jogadores envolvidos, e há muitos deles. Vimos uma grande explosão de incidentes, e muitas identidades comprometidas, algumas violações realmente grandes em 2017/2018. Esta estatística aqui é nova a partir de 2021 e fornece uma visão bastante precisa das violações relatadas, e isso é realmente algo a ser ciente de que muitas organizações podem ser violadas, podem ter um evento de resgate, podem ter dados exfiltrados, pode não ter um requisito regulamentar para relatar essa violação, dependendo do que o tipo de dados do cliente foi acessado. Vimos casos em que organizações muito grandes deveriam ter relatado um incidente e não o fizeram e eles sofreram as consequências do ponto de vista do litígio civil. Então, vemos que a maioria das organizações, de médio e grande porte, tendem a não seguir mais essa direção, embora questões de reputação, gerenciamento de marca, problemas de clientes, possam levar algumas organizações a trabalhar para construir um evento onde talvez não sintam que precisam denunciá-lo.

Então, esses números são realmente muito baixos, é o curto e doce disso. Há muito mais acontecendo no dia-a-dia, especialmente na esfera do governo. Às vezes, temos milhares de mini violações acontecendo mensalmente, no que diz respeito à nossa infraestrutura, e nossas agências governamentais estão em causa, e há mais métricas de relatórios que estão vindo à tona lá também, e que se desconectam entre esse número aqui e o que pode ser dezenas de milhares no o lado do governo deve dar a você uma sensação de que isso é altamente relatado. Dito isso, só em 2020, tivemos cerca de 300 milhões de dados confidenciais de PHI, PII e comprometidos. Foram muitas cartas pedindo para você e eu se inscrevermos para monitoramento de crédito gratuito, com certeza, que saiu.

John Wilson

Sim, e bem, Mike, eu só quero adicionar uma das coisas quando você está olhando para as estatísticas, você vê esse número de pico em 2017, mas você também precisa perceber que os atacantes ficaram muito mais adeptos de serem muito direcionados no que estão fazendo. Então, eles estão recebendo um conjunto de dados muito rico, e não apenas — costumava ser apenas agarrar o mundo, o que quer que pudermos colocar nossas mãos, nós o pegamos. Agora, eles estão sendo muito focados, muito direcionados e muito intencionais sobre quais dados estão pegando ou quais informações estão sendo comprometidas. Então, enquanto os números são um pouco mais baixos do que estavam de volta há três, quatro anos, o dano é substancialmente maior.

Michael Sarlo

Isso está correto, e falaremos sobre a evolução de onde estamos até o que o mundo e o lado cibernético chamam mais de táticas de caça ao jogo.

Então, custo médio de uma violação, trabalhamos em todos os diferentes tamanhos e escalas da matéria, alguns são muito transacionais e gerenciados, alguns são super altos. O custo médio global foi de cerca de US $3,86 milhões. Aqui nos EUA mais alto, cerca de 8,64 a partir de 2020, e isso não necessariamente responde por parte da perda de receita tangencial, também, que ocorre em caso de violação em larga escala. Muito disso está relacionado a fluxos de trabalho de gastos pós-legais, assim como quando pensamos no velho ditado, eDiscovery, onde talvez o primeiro 15% do orçamento seja a coleta de data lake, talvez seja até 10% agora, talvez os outros 15% estejam relacionados ao processamento e hospedagem de eDiscovery, costumava ser provavelmente cerca de 25, os preços caíram e tudo o resto estava relacionado à revisão de documentos e à prática de movimento. Você pode pensar sobre o mesmo paradigma de gastos e orçamentos em um modo como selar a violação, lidar com as recomendações defensivas e a perícia funciona na medida em que rastrear e entender diferentes tipos de indicadores de compromisso. Vamos ouvir essa palavra IOCs. Provavelmente foi mais cerca de 30% dos gastos aqui, o resto tem como objetivo identificar PII, responder a diferentes reguladores, e realmente muito de um fluxo de trabalho legal e muitas vezes um fluxo de trabalho habilitado por tecnologia também.

E para lhe dar uma noção, quando você salvou esse Excel em sua área de trabalho local, ou em um compartilhamento de rede que talvez tenha algumas informações que você não deveria, o custo médio de um registro roubado aqui nos EUA é de cerca de US $146, uma queda de cerca de US $1,58, e as empresas de saúde tendem a ser atingidas com muita força, e há muito pessoal dados, há muitos sistemas envolvidos, e suas obrigações que geralmente atendem a uma barra mais alta, e de um modo geral, o OCR tem qualificadores diferentes até onde precisam ser notificados em caso de violação de dados. Normalmente, falar para a maioria das empresas que não são orientadas para a saúde, que não estão prestando cuidados, gerenciando dados de saúde, ter algum tipo de PII identificável, seu social e seu nome ou uma abordagem em duas fases acionaria uma notificação, seu nome sozinho não acionaria uma notificação e para cuidados de saúde importa, isso mudou a partir de recentemente. Apenas fazer com que seu nome apareça no conjunto de dados criaria um fardo para a organização notificá-lo.

O custo médio do envio de uma carta de notificação é de cerca de um dinheiro de ponta a ponta, apenas para enviar essa carta. É maior se os serviços de monitoramento de crédito forem oferecidos, e é realmente menos de 10% daqueles que recebem uma carta, se não menor, que realmente podem se inscrever para monitoramento de crédito. Então, algo apenas para estar ciente. Muitos desses fatos e estatísticas estão focados em taxas combinadas, mas recebo muitas perguntas envolvendo isso às vezes, e de apenas testes de ativos com pessoas, geralmente é onde normalmente acabamos.

Então, vou dar o pontapé inicial para John Wilson apenas para falar sobre ransomware, como eles funcionam e, na verdade, o que estamos vendo em geral fora do ransomware, como um resgate pode entrar e empresa, e/ou como uma empresa pode ser comprometida em geral por meio de vários vetores diferentes.

John Wilson

Obrigado, Mike. Então, o ransomware é essencialmente, você pode pensar nisso como um vírus ou um programa malicioso que é executado em seu computador, e eles podem chegar lá de várias maneiras diferentes. A principal diferença com o ransomware versus outras atividades de vírus ou programas maliciosos é que a maioria dos ransomware tenta criptografar seus dados e colocá-los em um bucket criptografado para que você não tenha mais acesso aos seus dados, e os modelos originais de ransomware eram muito só que isso apenas diria, ei, eu tenho agora criptografou todos os dados em seu computador, e você tem que me pagar um resgate para voltar aos seus dados, sejam quais forem esses dados. E esses ataques de ransomware assumem muitas formas, eles podem vir através de ataques de phishing, eles podem passar por vários caminhos diferentes, se alguém recebe um arquivo no seu sistema que aciona um ransomware ou alguém clica em um e-mail de phishing na organização que instala algo e começa a tomar sobre a máquina.

A evolução interessante deste mundo de ransomware é que eles não estão mais interessados em apenas criptografar seus dados. Agora, eles estão criando urgência, estão criando pressão sobre os proprietários e indivíduos, porque eles são, ei, nós temos todos os seus dados corporativos, agora nós os criptografamos, e também os transmitimos, baixamos e vamos compartilhá-los com o público, se você não nos pagar o resgate dentro de sete dias, ou dentro de 10 dias, ou dentro de 30 dias, seja lá o que for, dependendo do ataque de ransomware específico. Eles estão ficando muito mais focados nisso. Agora eles estão começando a exfiltrar esses dados. Eles estão usando esses dados como uma ameaça. Houve um caso recente em que um CEO de uma grande corporação foi resgatado, porque em seu dispositivo, quando eles o resgataram, encontraram fotos e informações que o colocaram em uma posição muito comprometedora, e causariam danos públicos significativos à organização, e então esse é o tipo de coisa que eles estão começando a ataque.

E então, da mesma forma, quando conversamos um pouco quando você estava olhando para as estatísticas, e vemos que há um declínio nos ataques de resgate relatados, esses ataques de resgate estão ficando muito mais sofisticados. Portanto, não são os velhos tempos de receber um e-mail de phishing com um monte de escritos e frases terríveis que não fazem sentido, e muitos erros de digitação. A Microsoft anunciou ontem que há quase um clone duplicado exato de uma mensagem da Microsoft que vem de um endereço falsificado que parece ter vindo de seus sistemas internos de TI, exigindo que você coloque algumas informações de credenciais, e é muito legítimo, e eles são muito mais difíceis de detectar agora. Você tem que ser muito cauteloso sobre o que você clica em um e-mail, e esse é apenas um exemplo da sofisticação. A sofisticação, na verdade, mudou-se também para onde eles não estão mais apenas, ei, eu vou colocar coisas para fora e ver quem eu posso ficar online, e quem executará meus e-mails de phishing. Eles estão enviando e-mails de phishing para indivíduos específicos que desejam acessar essas redes específicas e esses recursos específicos. Eles estão sendo significativamente mais direcionados sobre isso, e isso está criando desafios significativos, porque eles estão saindo, eles estão aproveitando essas informações de mídia social, para realmente garantir que eles tenham uma boa chance de executar seu ataque.

Michael Sarlo

E tem sido cada vez mais transformado em um modelo de negócios altamente sofisticado para atores de ameaças e a maneira como eles trabalham juntos. Eles trabalham em cartéis, são organizações criminosas com hierarquias e organogramas. Há toda uma rede de ferramentas altamente sofisticadas e polidas baseadas na web que permitem a colaboração entre diferentes atores com diferentes conjuntos de habilidades no mercado de resgate. Aqueles que estão à procura de vulnerabilidades ou à procura de alvos podem colaborar com uma plataforma que realmente pode implantar resgate com o toque de um botão. Há então negociadores que estão configurados para negociar e facilitar o pagamento de resgate. O primeiro ransomware já documentado nos anos 80 foi o cavalo de Tróia da AIDS, que na verdade era um disquete que você apareceu e depois criptografou seu computador e você tinha que enviar dinheiro para uma caixa postal com cerca de 200 dólares para tentar restaurar esses dados. A explosão do advento e o que estamos vendo aqui com o resgate realmente se correlacionam diretamente com o amanhecer e a ascensão do Bitcoin. Esse é o elemento-chave aqui, por ser capaz de anonimizar a coleta de dinheiro para devolver a alguém seus arquivos e, novamente, como John mencionou, apenas fazer backups não é suficiente. Eles exfiltrarão seus dados ao mesmo tempo. Normalmente, na verdade, antes disso, alguém estará na sua rede, você não perceberá, eles são dados do lado de fora, e então eles o resgatam, e você está basicamente pego em uma posição que, mesmo que você possa restaurar os dados, se você não pagar esse resgate, eles basicamente vão te envergonhar. Eles o publicarão em público [e-Zines], e vazarão para a mídia, e todos os dados do cliente podem sair, e isso pode ser muito ruim.

Realmente importante, e sempre uma consideração ao pagar um resgate, é o conceito de atribuição, quem é realmente o atacante, e nós, HayStackID, todas as empresas de resposta a incidentes, todos colaboramos no que é chamado de impressão digital do atacante durante qualquer evento para tentar entender quem realmente está por trás do ataque. Poderia haver grandes repercussões se um resgate for pago a um ator sancionado pelo Estado. O OFAC entra, eles não gostam disso, e muitas dessas organizações são remarcadas. Eles desaparecem e remarcam uma vez que recebem um grande sucesso. O clima político em escala global tem um efeito na quantidade de ataques que vemos. É usado como uma tática de guerra para influenciar as decisões políticas em escala global. Vimos um aumento enorme nos eventos de resgate ao longo do ano passado. Parecia se correlacionar um pouco com as negociações em andamento sobre o pipeline Nord Stream 2 e, em seguida, agora um declínio. Então, há outros elementos que entram em alguns desses eventos maiores que vemos, e na maioria das vezes, eles provavelmente são atores estatais que estão permitindo que eles aconteçam, ou estão facilitando-os para esses grandes ataques dignos de notícias, mas há muita coisa que acontece em empreendimentos criminosos típicos como bem.

Então, esse é o breve histórico de resgate, e não vai desaparecer. Está ficando mais sofisticado, com certeza, e há outros métodos para os quais eles estão se movendo também.

John Wilson

Sim, e apenas um último comentário rápido para lançar lá é apenas em referência à sofisticação e ao avanço dele. Então, a maioria das pessoas provavelmente já ouviu falar dos ataques Kaseya, e foi aí que uma cadeia de suprimentos inteira comprometeu o software que foi vendido de uma empresa que forneceu serviços de suporte de TI — de uma empresa que forneceu software para empresas de serviços de suporte de TI, e então eles foram apenas para o corporativo, a sede, e disse, ei, comprometemos 700 de seus clientes, nos pagamos X, ou vamos explodir todos os seus clientes. E além disso, alguns grandes jogadores no mundo cibernético de ransomware agora estão realmente agindo como capitalistas de risco para o resto do mundo do ransomware, dizendo: hey, você vai lá fora, nós o financiaremos, e se você conseguir alguns arrombamentos, vamos tomar uma parte da receita, e esse é um modelo totalmente novo que acabou de se desenvolver este ano. Então, os ataques definitivamente estão ficando significativamente mais avançados e assustadores. Obrigado.

Michael Sarlo

Obrigado, John. Então, vamos começar para John Brewer, nosso Cientista-Chefe de Dados, também extraordinário de resposta a incidentes e muitas coisas de TI, para falar sobre os primeiros 48 aqui e como você deve responder e pensar em qualquer resposta a um incidente de segurança. Vá em frente, John.

John Brewer

Muito obrigado, Mike. Então, sim, estou falando das primeiras 48 horas depois que você descobriu que foi atingido, mas antes de falar sobre isso, vou falar um pouco sobre sinais de que você está prestes a ser atingido. Agora, isso mudará de mês para mês, por isso é importante manter as recomendações de quem quer que sejam seus fornecedores de segurança cibernética, mas as coisas que são bastante consistentes ao longo dos tempos, logins parciais de MFA. Como civilização, ficamos muito bons em implantar o MFA em sistemas empresariais críticos, e isso nos dá uma ferramenta muito útil em nosso arsenal. Se sua equipe de TI ou se sua equipe de segurança ou seu centro de operações de segurança como grupo de serviços estiver vendo muitos e muitos usuários que estão fazendo login com o nome de usuário e senha corretos, mas eles estão falhando na verificação da MFA, isso é um sinal de que pelo menos um de seus usuários, às vezes vários de seus usuários, pode ter foram comprometidos e temos atacantes que estão apenas batendo com isso, esperando que alguém abra o telefone, veja o desafio de segurança e apenas aceite. Isso é algo que vemos cada vez mais nos dias de hoje.

Ataques de força bruta, estes são os mesmos ataques que você viu desde os anos 90, onde um grupo, por qualquer motivo, acha que eles têm uma vantagem em adivinhar a senha administrativa, eles têm alguma dica, eles têm alguma inteligência que os leva a acreditar que se eles passam por uma lista de 100.000 ou um milhão de senhas, que uma delas funcionará em qualquer conta ou sistema que eles estejam segmentando. Um pico repentino significa que alguém acha que vale a pena jogar esses recursos no seu sistema.

E-mails de phishing chegando com domínios estranhos, agora este está começando a ficar um pouco datado. Como John Wilson disse anteriormente, estamos vendo um aumento radical no nível de sofisticação dos e-mails de phishing que estão atingindo clientes e vítimas de ataques de ransomware. Então, se você está vendo e-mails de phishing vindos de domínios que são quase o domínio da sua organização, ou quase o domínio do seu banco, por exemplo, ter um I e um L invertido no nome, tendo um O substituído por um zero, esses tipos de coisas, coisas que a maioria dos usuários não escolheria imediatamente. Qualquer coisa que venha assim, especialmente de instituições financeiras, é uma indicação de que alguém está caçando ativamente sua organização.

Caixas de salto girando. Agora, isso, novamente, é algo que vimos mais no passado. As caixas de salto estão fora de moda em TI, mas definitivamente são algo que ainda está por aí em muitos lugares. Para quem não sabe, uma caixa de salto é uma máquina que está dentro da área segura da rede, mas tem acesso a ela de fora. Normalmente, ele só pode ser conectado a partir de alguns endereços IP diferentes, geralmente da casa do CIO, da residência do administrador do sistema ou de outro escritório, mas se um desses locais ficar comprometido, os invasores passarão por isso para usar esses backdoors através do firewall. Se aqueles começarem a girar às vezes que você não espera, ou começarem a enviar muitas solicitações para a rede, esse é um dos sinais de que estamos prestes a ser atingidos.

SMB, Kerberos, LDAP, basicamente, sempre que seus protocolos de autenticação ou compartilhamento de arquivos recebem solicitações de lugares inesperados, o exemplo clássico aqui é se o roteador de perímetro da sua rede de repente começar a pedir arquivos contábeis, provavelmente é um sinal de que não é suposto. A maioria das organizações terá medidas de segurança em vigor para seus dados mais confidenciais para que eles não sejam imediatamente retirados dessa forma, mas outras não. E também, se essa abordagem não funcionar, novamente, esses ataques são impulsionados por humanos, que tentarão outros ataques, outros locais, outros vetores enquanto tentam entrar no seu sistema.

Transmita tráfego de VPNs ponto a site, isso é algo que vemos muito mais desde a pandemia; enviou todos para casa e todos estão se conectando aos seus escritórios por meio de VPN. Se um invasor receber credenciais de VPN que podem ser usadas de qualquer lugar, ele se conectará à sua rede, e geralmente um dos primeiros sinais de que algo ficou errado, é que eles enviarão o que é chamado de tráfego de transmissão, basicamente solicita toda a rede dizendo, ei, o que está lá fora, quais servidores estão ativos, quais serviços estão disponíveis? Isso raramente é algo que vemos usuários regulares fazer na rede. Vale a pena levantar um alarme se você o vir.

E aumentos abruptos no tráfego não HTTPS de máquinas clientes. Isso é realmente algo que é mais fácil de fazer agora, porque quase tudo hoje em dia em termos de aplicativos com os quais os usuários realmente interagem diariamente são executados por HTTPS. Quase todos os aplicativos que os usuários estão usando no dia-a-dia, passam por um navegador da Web, seja o Office falando com servidores da Microsoft via HTTPS por meio de uma API da Web, ou se são usuários que fazem login no Dropbox, ou [Alternar], ou qualquer outro de uma dúzia de aplicativos usados comumente diferentes. Sempre que estamos começando a ver qualquer informação que não esteja passando por HTTPS fora da rede, isso geralmente é um sinal de que temos algum tipo de telemetria de malware que está exfiltrando a rede, seja comando e controle, ou se está realmente exfiltrando arquivos e dados desse sistema.

Então, vamos falar sobre logo após você ter sido atingido. Agora, quando falo sobre isso, estou falando sobre quando você descobre que foi atingido. A maioria das organizações se infiltrará por horas, dias, às vezes até semanas ou meses, antes de descobrirem que tiveram um intruso e, às vezes, não descobrem que tiveram um intruso até receber um e-mail do atacante com uma demanda de resgate. Agora, nessas primeiras 48 horas, há algumas prioridades que temos aqui. Estamos confirmando que os dados foram realmente acessados. Normalmente, logo no topo, não sabemos quantos dados foram apagados. Mesmo que tenhamos uma declaração dos atacantes dizendo o quanto eles têm, isso não é necessariamente a verdade, e quase sempre, as pessoas que descobrem isso em primeiro lugar não sabem quais são suas exposições ou responsabilidades legais. Isso não é algo que as pessoas acabam de ler em seu tempo livre porque estão curiosas sobre isso.

Então, em termos como nos primeiros minutos depois de descobrir, se você é um executivo, um profissional de TI ou apenas um usuário comum, o primeiro passo é não esperar. Seja qual for a linha de emergência que você tenha em andamento, seja qual for o nível mais alto de escalonamento em sua organização de TI ou em sua organização de suporte, use esse número. Não seja tímido, porque supondo que o vazamento ainda esteja ativo, bloquear o sistema é a prioridade mais alta nesse momento. Acorde as pessoas se precisar, ligue para pessoas que estão de férias. Eu sei que é um faux pas de uma perspectiva social, mas é realmente importante que, se houver alguém disponível que possa ter seus sistemas bloqueados e protegidos o mais rápido possível, essa pessoa seja contatada.

Altere senhas em qualquer conta que possa ter sido comprometida e não tenha tímido em alterar senhas em outros lugares. Como John Wilson mencionou anteriormente, o impacto operacional no que está acontecendo pode ser o menor dos seus problemas.

Interrompendo todos os sistemas que giram ou excluem logs, isso é algo que geralmente é esquecido pela maioria das organizações. Haverá uma investigação, haverá perguntas, e se os logs estiverem sendo girados, excluídos ou de outra forma, passando para o esquecimento, isso precisa ser interrompido imediatamente, porque você pode precisar voltar semanas ou meses em seus arquivos de log para determinar qual é o ponto original de entrada foi, e se você não tiver esses registros, um, ele vai fazer sua responsabilidade internamente tentando descobrir qual era o ponto de entrada muito mais difícil, e dois, ele não vai ficar bem mais tarde.

E proteja todos os backups e comece a migrar para backups externos. Vemos com frequência — ou começamos a mover backups fora do local de volta para o site, devo dizer. Novamente, de uma perspectiva operacional, se tivermos um sistema criptografado que realmente foi derrubado, se isso não foi apenas uma saída de dano, mas, na verdade, os sistemas de produção foram interrompidos, você vai querer levar seus backups externos de volta para o site, para que você possa se preparar para restaurar a partir deles. Um monte de ransomware que vemos lá fora no mercado hoje tem temporizadores bastante longos. Então, se você estiver executando backups semanais, dois backups semanais, até mensais, ainda poderá ter o malware em seu sistema a partir desses backups e, quando restaurar, você verá tudo criptografado novamente. Indo e obtendo os backups mais antigos que você pode, mesmo que você precise fazer alguma restauração híbrida, onde você restaura o sistema de um conjunto e os dados de outro, esse pode ser o seu melhor caminho para a frente.

OK, e agora as cinco perguntas que realmente precisamos responder no rescaldo de descobrir que você foi atingido. Primeiro, quem foi exposto? Os dados do cliente foram obtidos, dados de funcionários, dados do fornecedor? Outras informações pelas quais você é responsável, o caso clássico aqui são relatórios de crédito, mas certamente, se estivermos em uma situação de PHI, poderíamos ter em um consultório médico informações sobre pacientes que não são necessariamente clientes ou funcionários, mas ainda somos responsáveis e que obviamente teriam foi comprometido pela violação.

Quando o atacante entrou e a que horas eles foram bloqueados? Novamente, isso será muito importante para colocar barras de erro em quantos dados elas poderiam ter obtido. Saber quanto tempo eles estavam no sistema pode nos ajudar a descobrir exatamente quantos dados poderiam ter sido transferidos naquele tempo, e se tivermos políticas de eliminação de dados, até que ponto eles poderiam ter informações que consideramos que atualmente foram destruídas e excluídas.

Algo foi alterado? Agora, geralmente, não vemos alterações nos dados onde as pessoas entram e mudam os dados operacionais. Se vamos ver as informações alteradas, será como as criptografações em massa, pois estamos familiarizados com o ransomware, mas também, é importante ver se novas contas criadas. Isso é especialmente comum para alvos que podem estar sujeitos a ataques repetidos, onde os invasores entram, criam um conjunto de contas para si mesmos ou redefinem senhas em contas existentes e raramente usadas, para que possam voltar após a restauração para atacar o site novamente.

As permissões foram alteradas? Isso pode ser qualquer coisa, desde ajustá-lo para que uma pessoa interna possa ter acesso a dados que não deveriam, até configurar um monte de buckets da AWS para legíveis publicamente, para que eles possam ser lidos de fora novamente, e o incidente e a violação continuam após a restauração, passado detecção.

A que eles tinham acesso? Frequentemente, isso é, novamente, algo que você só pode colocar barras de erro. Qual é o melhor cenário? Talvez eles só tivessem acesso a esta máquina que vimos ser criptografada. Agora, qual é o pior cenário? Ou seja, OK, sabemos que eles tinham esse nível de credenciais, e esse nível de credenciais teve acesso a todo o banco de dados do cliente ou a todo o banco de dados de produção. Não sabemos se eles sabiam que tinham acesso a isso, então talvez eles não tenham lido, mas isso é algo que precisamos colocar em nosso pior cenário.

E então, finalmente, o que você fez? Isso é algo que, novamente, é negligenciado com frequência, mas documente tudo o que você faz em resposta ao ataque, especialmente se você não tiver um procedimento escrito em vigor. Apenas nas primeiras horas e dias depois, qualquer ação de boa-fé para tentar conter o dano e tentar proteger os dados, mesmo que isso se torne um ponto discutível, será mais tarde. Não exclua nada que não seja uma ameaça imediata, porque, novamente, haverá uma investigação, haverá um acompanhamento, pode haver consequências regulatórias, e se estamos excluindo coisas que poderiam ser relevantes mais tarde, isso pode ter consequências imprevistas mais tarde na investigação processo.

E agora acho que vou passar para Jenny sobre o design efetivo do plano de IR.

Jennifer Hamilton

Sim, então chegamos à parte em que precisamos descobrir o que triagem, como triagem, quem está primeiro. Então, vamos começar a analisar o que faz para um plano de resposta a incidentes eficaz.

Então, primeiro, temos os principais jogadores. Discutimos isso várias vezes em vários webinars diferentes sobre segurança cibernética e ransomware. Não podemos enfatizar o suficiente para decidir antecipadamente quem está no comando, que é a questão da idade antiga. É TI? É legal? É um advogado externo? Quem é o ponto de corrida? E isso muitas vezes se resume a quem precisa estar fornecendo direção, quem está realmente tomando decisões. Então, essas coisas com antecedência são incrivelmente importantes, porque o que você não quer é que você não quer que a pessoa que está aconselhando e lidando com alguns dos aspectos substantivos mais desafiadores da resposta ao incidente também encarregada de tomar todas as decisões e se tornar um gargalo para as comunicações, e isso pode acontecer facilmente.

Então, quando você tem legal no comando versus TI versus outros jogadores em uma corporação e um advogado externo. Portanto, esta é uma área em que você tem que decidir cedo e, novamente, quem está tomando a decisão, sobre quais tipos de notificações podem precisar ser feitas, o que precisa ser relatado e a quem, e mais quando você tiver uma violação de dados de segurança cibernética que possuem informações pessoais, registros de saúde, como Mike mencionou antes, ou você ainda tem um ransomware onde — eu acho que as estatísticas são cerca de metade do tempo que o ransomware, os dados são realmente exfiltrados e resgatados, então você tem obrigações, dependendo do tipo de dados que você tem que fazer relatórios, e essas obrigações se tornam muito complexas, muito extensas e muito tempo sensível. E o que quero dizer em termos de extenso, pois você poderia estar enfrentando fazer uma notificação de violação para todos os 50 estados, o OCR, como Mike mencionou, vários países, a Europa sendo grande, mas mesmo a China, a Índia e o Brasil nos dias de hoje podem fazer parte dessa notificação, e quando falamos sobre fazer isso rapidamente, estamos falando sobre dentro de 72 horas, em muitos casos. Portanto, isso seria muito desafiador ter quem quer que esteja no processo de notificação de violação também tomando decisões técnicas, fornecendo direção, interfacultando conselhos externos, empresas de relações públicas, seguros, etc., para realmente pensar cuidadosamente sobre as cargas de trabalho e como equilibrá-las.

O conselho externo pode ser uma grande vantagem nesses eventos, mas realmente se resume a não necessariamente o papel além das considerações de privilégio, mas realmente experimentar e eu vou chamá-lo de um arco-íris de experiência quando se trata das pessoas certas para correr com o incidente e gerenciar todos esses movimentos diferentes partes, e quando digo arco-íris de experiência, acho que realmente é alguém que pode ver o começo até o fim, então o início em termos de quais contratos exigem notificações a quem, até o fim, se isso acabou em litígio, essa pessoa tem essa linha de visão sobre o que realmente é a prioridade para proteger a empresa desde o início até o fim? Obviamente, a experiência em segurança de dados, a experiência no setor de seguros e a cobertura e o trabalho nos painéis podem ser críticos, fazer a diferença e também gosto de enfatizar o quão importante é ter algum tipo de experiência de descoberta eletrônica, tanto em termos de compreensão de fluxos de trabalho quanto de crise gerenciamento e triagem, mas também, no extenso — a extensão dos fluxos de dados em torno de uma organização, de onde vêm os dados, o que há nela, para onde estão indo e como identificar e priorizar as práticas de mitigação de riscos.

E depois mais, além do litígio, está tendo essa experiência em privacidade. Isso é muito difícil de fazer, encontrar alguém que tenha essa variedade de experiências, mas isso é realmente as pessoas que você quer na equipe principal versus expandir a equipe, e em posição de triagem da resposta com um playbook ou, em alguns casos, sem um manual. E então também estabelecendo, novamente, de volta a quem está tomando decisões? Geralmente não é a mesma pessoa. Eles podem estar tomando algumas dessas decisões, mas em termos de decisões de alto nível, e relatando através da cadeia, essa experiência também é extremamente útil. Bônus se esse líder ou grupo de leads de TI para jurídico tiver experiência em reportar aos conselhos também e fornecer o nível certo de informação.

Então, quando falamos de papéis versus não apenas nomes no plano, essa é uma situação em que pessoas e organizações mudam com frequência, especialmente nessa área. E assim, você quer saber quem — sempre seja claro sobre quem está nessa função, mudou o título e como você descobre com quem se envolver, quando. Isso geralmente é super importante quando se trata de eDiscovery e, da mesma forma, aqui em uma espécie de evento cibernético.

E então eu toquei em quem está na equipe principal versus a equipe expandida e acho que isso é importante porque você quer que o menor número de jogadores que você possa identificar para mover a bola para frente e ser rápido. Mas você também precisará entrar em contato com vários especialistas no assunto que podem falar esse idioma. E falamos sobre o seguro é uma área perfeita, onde quem está na equipe principal e envolvido em direção, conselhos ou decisões precisa falar um pouco a linguagem das seguradoras e as políticas, e ter relacionamentos já desenvolvidos com sua equipe de gerenciamento de risco internamente. Então, isso é útil para identificar todas essas coisas diferentes.

Eu gosto de fazer isso através da criação de um gráfico RASCI onde você tem um exercício com um grupo, porque há muitos especialistas no assunto envolvidos em algo assim, e trabalhando com quem é, em última análise, responsável por garantir que certas coisas sejam executadas, quem é responsável, quem é consultado e quem é informado. E esses itens, apenas trabalhando nessa parte com quem estiver na equipe principal versus a equipe expandida, talvez você não tenha tempo para fazer referência a isso no meio de um incidente, mas entender o que diferentes grupos precisam em momentos diferentes pode ser extremamente útil quando se trata de tempo de ir.

Mary, por favor, pesa.

Mary Mack

Estou tão animado em ouvir sobre o gráfico RASCI com as responsabilidades e o nível de tomada de decisão que cada pessoa tem, isso me traz de volta aos primeiros dias de prontidão para o litígio, onde as pessoas simplesmente pegaram e fizeram. E certamente, nas primeiras instâncias que funcionam, mas você obtém pessoas com descrições de cargos e algumas coisas estão sobrepostas, e se você tiver uma equipe principal versus uma equipe expandida, é tão importante fazer isso e discutido anteriormente. Mesmo que, como Jennifer disse, você não o use, eu encontro em litígios, investigações, e aqui na descoberta cibernética, é muito importante saber quem toma a decisão final. Porque de outra forma, você pode perder tempo tentando descobrir isso, tentando trabalhar em um ambiente altamente carregado, altamente visível e altamente político. Então, ter esses papéis para baixo, eu acho, que é um presente maravilhoso, Jennifer, o gráfico RASCI para isso.

Jennifer Hamilton

É engraçado, foi uma das primeiras conferências que participei quando estava no John Deere e isso foi criado, e eu pensei, uau, isso é realmente interessante, e provavelmente tem sido uma das ferramentas mais úteis da minha carreira, desde litígios até ciberdescoberta. Então, eu encorajo você a procurar gráficos RASCI e usá-los. Novamente, é um ótimo exercício reunir as pessoas e proporcionar clareza. Essa pode ser uma das coisas mais importantes que você faz para se preparar para qualquer tipo de disputa de tipo crise.

Então, da mesma forma, vamos falar sobre fluxos de trabalho. Temos falado sobre ter fluxos de trabalho e como ele é importante. Novamente, você pode não ter tempo para se referir a ele no meio de um evento, mas apenas a prática, a experiência de juntá-los para que a equipe, como um todo, entenda o que é um fluxo de trabalho típico. E, obviamente, na maioria das situações de crise, há muita improvisação que acontece. Ele realmente não flui perfeitamente. Assim como no eDiscovery, as coisas não fluem perfeitamente de uma fase para a outra, e é aí que seus exercícios de mesa podem ser úteis.

Acho difícil até mesmo ter esses exercícios, porque é um esforço tão assustador, especialmente para equipes que realmente não experimentaram isso antes. E assim, o que eu gosto de pensar em termos de funções e responsabilidades e mesclagem com fluxos de trabalho é descobrir qual é o evento de maior risco que sua organização pode enfrentar. Vamos descer para o primeiro, dois, talvez até três. Vamos começar com o evento de maior risco. E é aqui que o legal realmente quer se envolver.

Legal quer se presta para ajudar a avaliar o risco. E então, acho que é aí que você pode ter um evento de natureza altamente técnica e precisa dos Johns e dos Mikes envolvidos em um grau muito granular, mas também executar isso pelo legal em termos de é realmente um dos eventos de maior risco, e voltar ao que precisa ser relatado pode realmente impulsionar isso decisão. Notificações de dados, privacidade e violação, conformidade com apólices de seguro.

E também vou jogar aqui quando for bom me envolver mais profundamente ou talvez em assumir uma liderança, pois o livro não é importante. Novamente, se você tem essa pessoa, e ela não precisa ser um advogado, mas a pessoa que tem mais experiência desde o início até o fim da crise, isso pode ser realmente útil. Como há eventos que vão acontecer, como o ransomware, as pessoas não foram preparadas para eventos, e eu chamo isso de “Non-Playbook Matter”. Então, pode ser aí que o legal pode ajudar realmente a suportar o fluxo de trabalho e a estratégia, se não dirigir.

E também, um ponto-chave aqui é que essas coisas — e falamos sobre improvisação, também vamos falar muito em paralelo, as coisas estão acontecendo em paralelo ao mesmo tempo. Então, onde isso faz sentido? Se você tiver que fazer um relatório em 72 horas, ou tiver 24 horas para fazer um relatório, então quem fará o que ao mesmo tempo. Então, essas são coisas, eu acho, que podem ser discutidas e trabalhadas com antecedência.

Não sei, Mary, se você tivesse alguma ideia sobre isso também.

Mary Mack

Eu acho que assim como com uma apresentação, se você tem um roteiro e tem um esboço e sabe para onde está indo, certamente ransomware é onde você está... é como se você colocar o dedo na tomada de luz, e se você está falando sobre a pior coisa possível que poderia acontecer com uma organização e obtendo legal envolvido nesse ponto, porque essa é a oitava mais alta de risco, acho que é tão importante documentar o fluxo de trabalho, para que você tenha pelo menos um caminho. Pode não sobreviver, o que é, o início da batalha, todo mundo joga seus manuais pela janela e eles apenas abordam a crise. Mas mesmo algumas das subpartes serão úteis. E, à medida que você trabalha em seus vários eventos cibernéticos, você verá quais coisas funcionam para sua organização e, em seguida, poderá iterá-las e melhorá-las.

Estamos agora, mais ou menos, para a maioria das organizações, logo no início, e é tão importante investir tempo para documentar e desenvolver a confiança e as relações entre as pessoas que terão que formar isso, em essência, Tiger Team.

Você não acha, Jennifer?

Jennifer Hamilton

Sim, a construção de confiança e relacionamento é fundamental aqui. E eu acho que esta é uma área em que fazer o trabalho do dia-a-dia pode realmente tirar você do curso de fazer esse planejamento avançado e exercícios de construção de confiança, mas você realmente gostaria de tê-los feito se não arranje tempo para isso.

E falando nisso, em termos de boa comunicação e de ter um plano, é aqui que eu gosto... sempre há todo esse conselho e há playbooks com oito a 20 páginas. Ransomware, na verdade, merece seu próprio manual. Está se tornando uma norma, e se os dados são exfiltrados ou se são apenas criptografados e resgatados, esses cenários estão na lista para desenvolver seu plano de comunicação.

E acho que os planos mais curtos possíveis, melhor, porque na vida real, se você tem algo mais do que algumas páginas, realmente não há tempo para mergulhar e analisá-lo, e descobrir como fazer isso se aplicar. E assim, eu gosto de coisas que são de uma página, gosto de mais pontos de bala ou diagramas visuais, tipo visio e, novamente, criados por papel.

O que as pessoas precisam saber é quem se envolver e quando envolvê-las e como envolvê-las. Novamente, isso é apenas eDiscovery 101 também. Se você conseguir colocar isso em um plano de uma página, você está muito à frente nesse processo e também precisa saber quando você não é o líder. Em muitas das comunicações, são eventos especiais, e a comunicação de crise é diferente de todos os dias, mesmo em um litígio e como conversamos uns com os outros e quem faz o quê. E assim, nesse sentido, é útil ler, existem alguns ótimos livros por aí sobre comunicações de crise e entender como é muito diferente de um projeto do dia-a-dia, e então apenas alavancar as equipes que você precisa apenas ter isso - mesmo se você fez um exercício de mesa apenas sobre comunicação - que seria um investimento valioso.

John Wilson

Jenny, um pager de um pager, mesmo que você tenha um plano completo que é 20, 10, quaisquer que sejam muitas páginas, ter esse tipo de flashcard de um pager que diz: “Aqui está a pessoa com quem falo se eu preciso de alguém para isso” se torna realmente importante. Como essas coisas, novamente, especialmente quando estão ficando cada vez mais sofisticadas, elas estão colocando urgência de tempo em: “Ei, nós capturamos seus dados, sabemos que você está prestes a fazer um acordo de M e A, e vamos tornar essas informações públicas, e você tem que pagar nosso resgate em 72 horas”. Pode haver algumas restrições de tempo muito apertadas para descobrir o que vai acontecer, quem precisa estar envolvido e tudo mais. Então, ter aquele único pager que realmente ajuda você a agilizar o processo e saber com quem você precisa entrar em contato quando se torna realmente importante.

Jennifer Hamilton

Isso mesmo, John. E mesmo o que usar, e colocá-lo na fila antes do evento acontecer, então o Signal é um aplicativo que está se tornando incrivelmente popular. Está nos telefones de todos, é criptografado, e você quer ter esses grupos por função que seguem o plano, até certo ponto, já organizados e prontos para começar, então você não está tentando criar... fazer com que todos baixem o Signal no meio de um evento não é ideal de forma alguma, então esse é o meu outro takeaway aqui.

Bem, vamos movê-lo para o mapeamento de dados. Podemos viajar de volta um pouco aqui. Mas no mapeamento de dados, novamente, isso é outra coisa que é muito útil em termos de planejamento proativo de resposta a incidentes, mas também pode ser muito útil após a violação no processo de descoberta. Você tem equipes de privacidade e equipes de eDiscovery e várias outras pessoas de TI que estão mais no lado do info gov que provavelmente, em algumas organizações, já criaram um mapa ou um diagrama, ou uma planilha rastreando alguns dos fluxos de dados mais críticos através da organização que teriam o tipo de dados que você teria esteja mais preocupado com. Onde estão as informações pessoais confidenciais? Onde estão os registros de saúde, os registros financeiros, algumas das jóias da coroa da empresa?

E direi que há grupos diferentes, ao longo dos anos, começamos a criar mapeamento de dados, o que, Mary, como 15, 20 anos atrás em litígio, mas há vários grupos que pegaram e correram com ele, como as equipes de privacidade, para cumprir o GDPR, e isso também será um requisito chegando aqui para outras novas leis estaduais de privacidade que surgiram nos últimos meses. Você vai ter que fazer isso, se você não tiver que fazer isso pela Europa.

Então, por que reinventar a roda e por que não ir a esses registros e acelerar o grupopense em onde você precisa concentrar seus esforços para remediação, para relatórios. Seja reportando para indivíduos que foram afetados ou aos reguladores, ou apenas para reportar à empresa: “Ei, adivinha? Esse é o tipo de informação que estava neste banco de dados que nem tínhamos conhecimento antes”. Portanto, esse é o caminho a percorrer, não seu processo de descoberta cibernética pós-violação, e também aproveitar o conhecimento institucional que você tem com as equipes de eDiscovery, as equipes de privacidade, etc. E algumas empresas estão realmente se antecipando a isso e usando 365 para marcar e desenvolver retenção.

Mas seu melhor amigo aqui é não ter os dados na posição vulnerável em que estão, e assim, na medida em que possa ser um investimento no tipo de planejamento proativo. Portanto, não manter os dados além de sua vida útil para o negócio. E é aí que você começa a pensar em você pode orçar para alguns projetos de remediação. Obviamente, você provavelmente poderia cancelar a organização fazendo isso em todos os sistemas legados, bancos de dados, contas de e-mail, mas se você, como organização, pode passar por uma auditoria de privacidade ou auditoria de eDiscovery e avaliar, novamente, seus repositórios de maior risco, onde talvez seja seu informações do cliente ou registros de saúde do paciente, e começar pequeno e iterativo, vamos ver o que está lá e vamos descobrir o que precisa ser corrigido que está muito além do cronograma de retenção ou da vida útil, e não em retenção legal, este será o lugar onde você é mais eficaz na gestão de um violação real.

E então já abordamos a resposta e a notificação, e como garantir que seus fluxos de trabalho estejam funcionando perfeitamente e em paralelo. A resposta à violação, novamente, é tudo — poderíamos ter um webinar inteiro apenas sobre isso, mas o objetivo é acelerá-lo. Então, na medida em que você pode aproveitar seu conhecimento institucional, como falamos, alavancar seus fornecedores para mais... não apenas o litígio suporta, eDiscovery, revisões de documentos, mas também sabem como identificar essas informações rapidamente? Eles têm a tecnologia? Eles estão usando inteligência artificial? Eles estão reforçando isso com outras maneiras de validar o que há de uma maneira muito rápida e obter essas informações nas mãos dos grupos que são responsáveis ou responsáveis por qualquer tipo de notificação de violação é fundamental. Então, quanto mais você tiver fornecedores e parceiros de negócios e pessoas jurídicas que trabalham na interseção de TI, litígio, cibernética, todos esses grupos diferentes que já entendem muito, não precisam aprender nada ao longo do caminho, eles estão intimamente familiarizados com seus negócios, com seus processos, com seus processos, com seus pessoas, têm esses relacionamentos confiáveis construídos, então isso pode fazer uma enorme diferença no sucesso de gerenciar um desses eventos.

Michael Sarlo

Obrigado, Jenny. Isso foi ótimo. Muito obrigado, Mary, muito. Há muita coisa que entra em um manual de resposta a incidentes. E os fluxos de trabalho pós-violação fora da peça técnica é onde descobrimos que até mesmo as organizações mais sofisticadas estão faltando.

Uma coisa que eu quero salientar, começamos a falar sobre MSAs e outros, e há uma, normalmente falando, baseada na decisão do Capital One após sua violação fora da Virgínia, os serviços de TI adquiridos, antes de uma violação, não em relação a um assunto legal, não são tecnicamente cobertos pelo advogado/cliente guarda-chuva privilégio. Então, bifurcar as comunicações de certas maneiras e estar ciente disso, tanto quanto com quem você se envolve e como constrói compromissos em relação à resposta a uma violação é muito fundamental para garantir que o que o setor acredita ser um evento privilegiado, tendemos a acreditar que o cibernético é uma questão legal. Você precisa ter certeza de que está lidando com isso adequadamente. Qualquer um dos principais treinadores de violação é altamente sofisticado nisso para mitigar essa exposição, o que é algo para estar ciente de que às vezes seu go-to habitual não é o caminho certo para certas partes do fluxo de trabalho.

Então, qual é o fluxo de trabalho de descoberta pós-violação? Não temos muito tempo restante, então vamos clicar com o zíper nesta apresentação agora. Mas, normalmente, recebemos fontes de dados impactadas, ou estamos preservando-as no local ou estamos realmente nos comunicando diretamente com atores de ameaças. Eles geralmente estão sendo postados em algum tipo de público [e-Zines]. Nós os colocamos em uma infraestrutura que temos que é completamente dedicada a eventos de violação. Muito importante. Acho que muitos dados podem ser fornecidos na comunidade de fornecedores. Imagine que você tem seu grande caso de litígio em um banco de dados e agora isso em outro, e um conjunto de dados pode ser preenchido com tipos de arquivos maliciosos. Também lidamos com muitos eventos de dia zero também. Nessas situações, você não tem capacidade de identificá-lo.

Então, a grande questão é: há dados confidenciais nesse conjunto de dados neste momento? E dados confidenciais, muitas vezes, serão PII, PHI coisas assim, mas para... você está lidando com qualquer tipo de sensibilidade comercial, propriedade intelectual, contratos, comunicações com clientes, isso é realmente importante também, especialmente para as pessoas que precisam entrar em contato com nossos clientes e dizer-lhes que houve uma violação e lidar com essas repercussões.

Normalmente falando, haverá algum processamento de dados. Preferimos o Nuix, neste caso, especialmente onde talvez precisemos fazer alguma análise forense em arquivos se tivermos mais tipos de malware que tende a mudar, hashes MD5 ou coisas diferentes, ou realmente queremos aprofundar os componentes de um arquivo individual, ou do ponto de vista da investigação, mas também para identificar certos tipos de IOCs que podem ser incorporados em arquivos que não são necessariamente transparentes.

Nesse momento, a entrega realmente de alto nível que realmente operacionaliza esses compromissos é realmente o que chamamos de Relatório de Avaliação de Impacto, e fazemos isso de algumas maneiras diferentes. Temos o que seria uma avaliação de impacto de baixo nível que realmente acontece imediatamente com base em uma enorme biblioteca de expressões regulares, técnicas de pesquisa e ambos do ponto de vista do conteúdo, caminhos de arquivos e pastas que é enriquecido de volta ao nosso fluxo de trabalho exclusivo ECA, o que chamamos de ReviewRight Protect Analytics. E, na verdade, desenvolvemos nossa própria IA que refinamos e aperfeiçoamos em muitos eventos que fazem um trabalho muito bom na identificação de dados confidenciais.

E nesse ponto, geralmente, há — trabalhando de perto, também... temos nossa oferta totalmente gerenciada aqui que o levará da violação a uma lista de divulgação, digamos, uma lista de divulgação, quero dizer, uma lista dessas entidades que foram comprometidas, humanos, corporações, suas informações que foram comprometidas. Em seguida, trabalhávamos com um dos principais fornecedores de notificações, seja Equifax, Experian para verificar endereços e, em seguida, as notificações são enviadas para essas pessoas. E o relógio geralmente é de cerca de 65 dias quando você está lidando com a HIPAA. E quando esse relógio começa, geralmente é assim que você olha para um documento. E você ouvirá coisas diferentes sobre quando e onde esse relógio começa, e ser estratégico sobre isso é incrivelmente importante para violações em grande escala, mais em várias regiões geográficas. É realmente importante ter uma noção de onde seus titulares de dados em potencial estão localizados, não apenas dentro da empresa, mas onde eles realmente vivem, e de onde seus dados foram coletados e com que finalidade. E realmente, voltar a esses sistemas que talvez o CRM, talvez o sistema de registros médicos eletrônicos, que talvez algum outro sistema possa, muitas vezes, ser um bom indicador sobre o que você está lidando do ponto de vista geográfico, com quais reguladores você está lidando.

Esse relatório de avaliação de impacto da IA e todo esse produto de trabalho tendem a passar por um fluxo de trabalho em que estamos validando estatisticamente tranches de documentos com base em seus acessos, especificamente com... também retornamos intervalos de confiança, quão preciso o computador pensa que era, e isso melhorou em relação tempo, e estamos procurando metas de alto valor para mover-se diretamente para a mineração de dados, o que normalmente chamaríamos no espaço de eDiscovery, revisão e/ou extração, mineração de dados ou extração. E você pode fazer com que algumas equipes muito grandes trabalhem nesses assuntos que estão realmente agrupando diferentes tipos de elementos de PII, correlacionando-os de volta às entidades.

E todo o objetivo aqui é, basicamente, chegar a uma lista enrolada desduplicada e, basicamente, ser capaz de identificar cada pequena informação sobre você ou eu no universo de dados, de onde e de onde veio, e basicamente, ser capaz de desduplicar esses elementos de metadados. Não estamos falando de desduplicação de documentos aqui, estamos falando sobre a desduplicação de dados mais estruturados que estamos coletando. E muito importante, porque só se torna um enorme desafio de big data.

Usamos uma variedade de técnicas para detectar dados do ponto de vista da IA. John, você quer aparecer aqui por um segundo, já que você é o chefe do AI Master.

John Brewer

Claro. Eu sei que estamos com pouco tempo, então não vou entrar muito em detalhes aqui, mas a principal vantagem deste slide é que usamos uma combinação de técnicas mais antigas, coisas como correspondência de modelos Word2Vec, que basicamente usam padrões em palavras, mais precisamente, padrões no arranjo de palavras em documentos para nos ajudar tipo de obter uma compreensão grosseira e grosseira de qual é o conteúdo desse documento para que possamos fazer deduções mais inteligentes e computadorizadas sobre o conteúdo lá e se ele é ou não relevante.

E então usamos muitos outros modelos agora que estão sendo usados que estão quase em fase de pesquisa, e estão apenas começando a entrar em produção, coisas como GPT, que você pode ter ouvido falar nas notícias é Neo-GPT ou transformadores, triunvirate modelos cognitivos, que é essencialmente uma maneira extravagante de usar três algoritmos diferentes para obter as mesmas informações e, em seguida, combinar essas informações de forma útil para obter um resultado melhor para nossos clientes. Detecção de sentimentos, que, naturalmente, foi originalmente desenvolvida como uma ferramenta de marketing, mas tem muito uso em nosso campo específico aqui em descoberta e análise de violações. E então frases-chave de não-entidade, que é, novamente, associar pessoas a títulos e ser capaz de usá-los de forma intercambiável de uma maneira que um humano poderia ser capaz, se eles estivessem tentando usar esses dados para fins nefastos. Por exemplo, ser capaz de dizer que uma referência ao cientista-chefe de dados HayStackID também era uma referência a John Brewer.

OK, Mike, acho que são os pontos importantes aqui.

Michael Sarlo

E o que podemos recuperar nossos clientes — e isso é realmente para qualquer assunto em que você precise identificar dados confidenciais, com problemas transfronteiriços, você tem dados confidenciais apenas em um assunto de litígio geral, pode não haver uma ordem de proteção em vigor, talvez seja necessário ser editado. Altamente configurável, este é apenas um gráfico stock, eu realmente tenho uma série de painéis e um difícil de dados em campo que permite e facilita uma incrível quantidade de fluxo de trabalho relacionado a lidar com dados de privacidade e, se alguém estiver interessado em aprender mais sobre isso, basta entrar em contato com a equipe HayStackID, vamos fique feliz em mostrar uma demonstração e orientá-lo por todo o fluxo de trabalho, tanto no contexto de violação quanto em qualquer tipo de engajamento geral de eDiscovery em que você esteja lidando com dados confidenciais.

E do ponto de vista da revisão, e estamos no espaço de revisão remota há cerca de 10 anos, quando era um faux pas ter revisores remotos, e agora estávamos bem posicionados para o COVID, por assim dizer. Sempre fomos habilitados para a tecnologia, onde realmente temos uma plataforma baseada na web onde organizamos nossos revisores, os gerenciamos e qualquer revisor que entra em nossa empresa realmente é testado quanto à sua capacidade de revisão. Importante aqui porque, tecnicamente, uma violação às vezes pode não exigir a licença ou os requisitos de um advogado, você não está necessariamente fazendo chamadas legais, então você verá o que parece ser preços muito baixos às vezes no lado da revisão, pode ser paralegais, estudantes de direito ou talvez offshore. E garantir que essas pessoas ainda sejam um bom revisor e entender conceitos sobre dados confidenciais é fundamental. Então, desenvolvemos um teste especial e uma bancada de especialistas, especialistas em privacidade neste domínio de não advogados e advogados, as seguradoras não querem tecnicamente pagar por advogados em alguns cenários, então você precisa às vezes do lado anterior, no lado do escritório de advocacia, você precisa entender as diferenças entre ambos. Mas alavancar os testes pode resultar em uma produção de alta qualidade.

Além disso, para todas as nossas revisões, sempre começamos com uma análise de medidor, o que significa que obtemos uma amostra representativa dos dados, ela é codificada pelo gerenciamento da equipe de revisão, líderes de revisão, por conselheiros e, em seguida, também pelos revisores. E comparamos esses e temos rodadas de correção, e essa é uma ótima maneira, desde cedo, de fazer com que as equipes se acostumem aos dados para que todos estejam alinhados com o protocolo e o que estão fazendo. Eu recomendo isso para qualquer assunto de revisão, grande ou pequeno. É uma ótima maneira de evitar o ciclo de feedback usual que pode acontecer uma semana depois, quando os lotes de QC finalmente se tornam disponíveis, ou especialmente para assuntos muito rápidos em que uma equipe de revisão gira em um dia e você está filmando documentos pela porta três ou quatro dias depois e realmente não há loops de feedback apropriados entre o advogado e um fornecedor como o HayStackID para alinhar todos.

Realmente importante é o fluxo de trabalho. A desduplicação no nível do item, reduzir o tamanho da população é incrivelmente importante. Queremos ser capazes de amostragem de conjuntos de documentos que não atingem IA, muitas vezes, por tipo de arquivo, caminhos, e queremos poder basicamente usar métodos de amostragem estatística para cortar esses documentos. Da mesma forma, queremos experimentar diferentes parcelas de bolsos que atingem termos ou IA para ver se eles estão realmente funcionando como esperado, e tomaríamos decisões de promoção com base nisso e documentamos tudo, especialmente no corte de fluxos de trabalho, é muito importante.

Todas as coisas típicas, análise de domínio, desduplicação no nível do item, novamente, sem motivo para olhar para o mesmo documento repetidamente do ponto de vista de um anexo, aproveitando a análise de termos de pesquisa fora do contexto, que são cadeias de detecção de dados confidenciais típicas. Batching também e realmente compreensivo — o que aparece em tudo isso é que chamaríamos documentos LDS ou realmente grandes arquivos do Excel, arquivos de banco de dados. Não falamos sobre bancos de dados e como lidamos com eles. Esse é um outro webinar de tecnologia avançada que poderíamos nos aprofundar. Mas note que isso pode ser uma chave inglesa importante e eles estão sempre presentes, especialmente quando você tem bancos de dados que podem conter centenas de milhares de entidades individuais. Isso precisa ser mesclado de volta à população, aquela lista singular de indivíduos que também é extraída de documentos, então você está realmente fazendo duas coisas. A desduplicação não acontece em um pull de descoberta eletrônica, acontece mais em bancos de dados do tipo big data, Hadoop, Google, Bitquery, coisas assim. Usamos métodos diferentes dependendo do tamanho e da escala dos dados e da quantidade de campos individuais que precisam ser deduplicados, geralmente, em uma ordem hierárquica. Então, você pode combinar redes sociais - comece o portão e o primeiro nome mais um número de registro médico, e você começa a adicionar coisas para obter uma concisão cada vez mais profunda. E diferentes fornecedores terão sucessos diferentes aqui. Vimos muita coisa saindo dos dados e escrevemos um pouco de código para limpar esses dados, para que possamos obter melhores resultados de desduplicação.

E, em geral, estamos passando por um fluxo de trabalho onde precisamos identificar, geralmente, tentando ver os documentos no escopo, em geral, que se qualificam para uma notificação. Geralmente é classificado de alguma forma, pode haver muitas maneiras diferentes que — muitos campos de metadados diferentes que estamos preenchendo. Há uma extração em massa de pontos de dados que podem continuar programaticamente. Se obtivermos formulários repetidos, coisas assim, podemos realmente voltar para CRMs ou outros bancos de dados que possam estar no local do cliente, e optaríamos por realmente expulsar documentos brutos que podemos estar olhando em favor de dados mais estruturados de onde esses dados podem ter sido gerados que estamos analisando. Se for um PDF que é enviado todos os dias com muitas informações do cliente, é melhor você voltar para a plataforma. E uma tonelada de controle de qualidade continua em diferentes camadas no lado da revisão e também no lado da ciência de dados, e isso é incrivelmente importante no lado técnico.

Portanto, você tem muito mais entradas técnicas analisando dados, normalizando dados, trabalhando com revisores do que em uma revisão típica orientada para eDiscovery.

Claro, o relatório aqui é completamente personalizável e estamos muito focados em relatar os diferentes tipos de categorias de PII que estamos vendo. Além disso, em situações em que temos muitas entidades de cobertura, coisas assim, BaaS onde uma violação é, na verdade, 50 violações porque você tinha indivíduos que são contratos de assinatura de robôs e não sabia no que eles estavam se metendo de suas obrigações contratuais. E agora, você precisa se reportar individualmente às organizações que podem ter sido infectadas. Às vezes, estruturar esses relatórios nesse nível, tanto de quem precisa ser notificado como ponto de vista de parceiro de negócios e, em seguida, os titulares dos dados dentro dessas categorias pode ser muito útil.

Há muita normalização que continua. Dizemos normalização, queremos dizer padronização de dados. Então, você obtém nomes, sobrenomes, primeira inicial, obter todos eles quebrados realmente permite resultados de desduplicação muito melhores usando uma variedade de técnicas aqui, dependendo dos dados. As coisas aqui podem ficar muito complicadas quando você começa a obter endereços da Irlanda que descrevem uma pequena casa no final de uma rua, em vez da maneira que tendemos a pensar neles aqui nos EUA. Portanto, você pode acabar em fluxos de trabalho diferentes, totalmente diferentes com base nas regiões geográficas de que os dados estão vindo.

E então, certamente, medindo estatisticamente, validando esses resultados. Há um conceito de proporcionalidade nisso, e é uma espécie de apertar o feijão até que você obtenha cada gota. Em alguns cenários, alguns treinadores de violação têm pontos de vista diferentes sobre isso, e é realmente uma determinação legal até onde - do ponto de vista do risco, até onde você precisa ir. Você pode sentar lá e massagear essas listas até o final dos tempos, quando começar a lidar com centenas de milhares de dados sobre indivíduos, mas em um certo ponto, há um corte. A normalização do nome é muito difícil. Você ouve as pessoas pedindo um pouco, mas ninguém quer ofuscar o nome de alguém para que suas PII se misturem com outra pessoa, elas não recebem uma carta, isso é um grande problema. Desenvolvemos alguma tecnologia para nos levar parcialmente lá, mas as equipes jurídicas tendem a tím-se no último momento em que você começa a pedir que eles concordem com intervalos de confiança, margens de erros, coisas assim. Simplesmente não comporta.

E não há IA que magicamente possa passar por um conjunto de dados e associar automaticamente todos os diferentes elementos de alguém a alguém. Então, recebemos essa pergunta o tempo todo. A maior coisa a se afastar daqui e você começa a pensar sobre IA no contexto de violação de dados é que ela é um multiplicador de força para humanos, e normalmente é o mesmo caso em eDiscovery. Você ainda vai precisar de uma tonelada de mão de obra. Em alguns casos, as coisas podem ficar mais automatizadas de certas maneiras, apenas estruturando a revisão e removendo a complexidade o máximo possível, assim como qualquer outro engajamento, e tendo um fluxo de trabalho testado em batalha. Trabalhar com alguém que tenha fluxos de trabalho documentados, playbooks documentados e produto de trabalho documentado baseado em resultados, relatórios de defensibilidade, coisas que eles podem mostrar que você receberá de volta se optar por se envolver em um processo totalmente gerenciado ou parcialmente em parceria.

Esse, meus amigos, é o último slide e eu vou chutá-lo de volta para Rob. Nós tínhamos uma pergunta. Não sei se vamos ter tempo para um deles, mas alguém nos perguntou: “Então, quais são boas instruções para ajudar a identificar tentativas de phishing e ransomware que são falsificações de especialistas? Não podemos dizer que eles nunca devem aplicar suas credenciais sob circunstâncias. Qual é a melhor prática aqui?”

Bem, a melhor prática, em geral, é que você recebe algo por e-mail, ele pede suas credenciais, não clique nele. Você deve sempre fazer a análise do link, passar o mouse, se parecer suspeito, provavelmente é suspeito. Nunca, nunca, clico em um link de qualquer tipo de grande varejista, qualquer conta que eu sei que tenho, qualquer coisa. Eu basicamente voltaria ao site, geralmente usando um aplicativo ou apenas acessando o site e eu fazia login lá.

Há muito treinamento aqui disponível. Realizamos toneladas de simulações aqui no HayStackID. Rechemos e-mails falsos de phishing, você precisa denunciá-los, e é assim que garantimos que nossa equipe seja treinada. É importante estar vigilante aqui. Mesmo as pessoas mais sofisticadas podem estar vulneráveis a isso. Vemos que muitos deles vêm via mensagem de texto agora também, certo, mas há treinamentos gratuitos, o Google oferece aqui alguns aqui também que executam programas completos de treinamento sobre detecção de phishing. Há muita coisa por aí na internet. Eu recomendo vivamente para qualquer organização que possa não ter o orçamento para implantar mais programas de treinamento corporativo, vídeos, tudo isso, testes.

Você só precisa supor que tudo está ruim, em alguns casos, e ficar longe disso. John e John, isso provavelmente é um para você. Provavelmente só podemos gastar cerca de um minuto nisso também para falar sobre isso. Mas temos outro aqui.

“Estamos preparando uma migração para a nuvem, quando se trata de backups e ransomware, o armazenamento imutável, incluindo backups que não podem ser acessados por administradores, está se tornando um tópico quente. Você pode discutir, por favor?” Certamente, tirar o acesso administrativo aos nossos administradores aqui na HayStackID certamente tem sido um tópico quente também.

Só para tipo de tubo lá dentro. Vá em frente, John e John, que conselho você pode nos dar?

John Brewer

Então, posso dizer que o armazenamento imutável geralmente é algo que ouço em referência a backups, e isso remonta aos anos 60 ou 70 quando gravamos uma vez leitura-muitos ou fitas WORM. Agora, não tenho certeza se isso é particularmente aplicável ao ransomware, pois estamos discutindo isso aqui, porque esses backups geralmente ainda são acessíveis em um contexto de leitura para os administradores, porque caso contrário, eles não seriam úteis no caso de um cenário de recuperação de desastres. Impedir que eles sejam graváveis é definitivamente útil para impedir que um invasor de ransomware alcance e, na verdade, criptografe esses backups, o que é o pior cenário do ponto de vista operacional em que você teve seu sistema de produção e seus backups resgatados.

Mas John, você queria comentar sobre isso um pouco mais?

John Wilson

Claro, há muita conversa sobre isso, mas o lado inverso dessa moeda, ajuda a proteger os backups quando eles existirem. O problema é que se os backups tiverem os dados criptografados gravados neles, isso não o ajudará muito.

Michael Sarlo

E deixe-me dizer uma coisa também aqui: entramos em tantas organizações que são grandes empresas, altamente sofisticadas, e quando chega a hora de acessar os backups, elas estão quebradas ou nem conseguem ser restauradas de alguma forma ou nunca seriam capazes de ser restauradas em algum período de tempo que é razoável. Vemos isso o tempo todo.

Então, você nunca sabe o quão bons seus backups realmente são também. Então, apenas algo para pensar, em geral, não relacionado a isso.

John Brewer

Então, o único ponto que eu queria fazer que não tenho certeza de que fiz anteriormente é que o armazenamento imutável não o impede de ter seus dados resgatados, porque, desde que esses backups ainda estejam acessíveis, alguém pode roubar esses backups e usá-lo para um ataque de envergonha de dados ou de outra forma para atacar o organização por ter esses dados em vez de criptografá-los.

Michael Sarlo

Obrigado pessoal. Tudo bem, bem, muito obrigado pessoal. Nós realmente apreciamos isso. Por favor, sinta-se à vontade para entrar em contato com qualquer um de nós, primeira inicial, sobrenome, Haystackid.com, ficaríamos felizes em compartilhar, colaborar, ensinar, educar, aprender com você.

Vou dar o pontapé inicial para Rob Robinson para nos fechar. Obrigado, novamente, também, nós realmente apreciamos isso. Obrigado.

Fechamento

Muito obrigado, Mike, e obrigado a toda a equipe, e também aos nossos apoiadores da EDRM e ACEDS. E como um lembrete para todos na chamada, uma cópia dos slides da apresentação está disponível na guia abaixo da janela de visualização atual e uma versão sob demanda da apresentação estará disponível logo após o término da chamada de hoje. Além disso, queremos agradecer a todos e a cada um de vocês que aproveitaram o tempo para participar hoje. Sabemos o quão valioso é o seu tempo e certamente somos gratos por você compartilhá-lo conosco hoje.

E por último, mas não menos importante, esperamos que você tenha a oportunidade de participar do nosso próximo webcast de educação. Está agendado para 15 de setembro ao meio-dia, horário oriental, e será intitulado Violações, Respostas e Desafios: Essenciais de Segurança Cibernética que todo advogado deve saber. Certamente esperamos que você possa comparecer.

E novamente, obrigado por participar hoje e isso conclui formalmente o webcast de hoje. Por favor, tenha um ótimo dia.

CLIQUE AQUI PARA BAIXAR FATIAS DE APRESENTAÇÃO

2021.08.11 - HayStackID - Resposta a incidentes de ransomware Cyber Discovery - Webcast de agosto de 2021 - FINAL

CLIQUE AQUI PARA VER A APRESENTAÇÃO SOB DEMANDA

Sobre o HayStackID™

A HaystackID é uma empresa especializada de serviços de eDiscovery que ajuda corporações e escritórios de advocacia a encontrar, entender e aprender com segurança com dados quando enfrentam investigações e litígios complexos e intensivos em dados. A HaystackID mobiliza serviços de descoberta cibernética líderes do setor, soluções gerenciadas corporativas e ofertas de descoberta legal para atender mais de 500 das principais corporações e escritórios de advocacia do mundo na América do Norte e na Europa. Atendendo quase metade da Fortune 100, a HayStackID é uma fornecedora alternativa de serviços cibernéticos e jurídicos que combina experiência e excelência técnica com uma cultura de atendimento ao cliente de luvas brancas. Além de ser consistentemente classificada pela Chambers, a empresa foi recentemente nomeada líder mundial em serviços de eDiscovery pela IDC MarketScape e um fornecedor representativo no Guia de Mercado Gartner para Soluções E-Discovery 2021. Para obter mais informações sobre seu conjunto de serviços, incluindo programas e soluções para necessidades exclusivas de empresas jurídicas, acesse Haystackid.com.