[Трансляция веб-трансляции] Программы-вымогатели, реагирование на инциденты и киберобнаружение: история, решения и рабочие процессы ИИ

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Примечание редактора: 11 августа 2021 года HaystacKid опубликовал образовательную веб-трансляцию, предназначенную для информирования и обновления специалистов по кибербезопасности, управлению информацией и раскрытию электронных данных о том, как организации могут подготовиться, реагировать и реагировать на инциденты, связанные с кибербезопасностью.

В то время как полная записанная презентация доступна для просмотра по запросу, для вашего удобства предоставляется расшифровка презентации, а также копия слайдов презентации (PDF).

[Трансляция веб-трансляции] Программы-вымогатели, реагирование на инциденты и киберобнаружение: история, решения и рабочие процессы ИИ

В этой презентации эксперты в области реагирования на инциденты, связанные с кибербезопасностью, обнаружением кибербезопасности и конфиденциальностью, рассказали о том, как организации могут подготовиться, реагировать и реагировать на инциденты, связанные с кибербезопасностью. От устранения программ-вымогателей до реагирования на инциденты в презентации были освещены передовые технологии обнаружения данных и проверенные услуги по проверке документов для поддержки процессов обнаружения, идентификации, проверки и уведомления, требуемых законом после взлома и раскрытия конфиденциальных данных.

Основные моменты веб-трансляции

+ Это только вопрос времени: статистика инцидентов с безопасностью и история программ-вымогателей

+ Первые 48: обнаружение и классификация инцидентов с электронной безопасностью

+ Эффективное проектирование ИК-плана: простота, масштабируемость и не только технические детали

+ Обнаружение после взлома: обзор рабочего потока, использование ИИ и отчетность по оценке воздействия

+ HaystacKid ReviewRight Protect: процесс проверки и извлечения после взлома

Представление экспертов

+ Майкл Сарло: Майкл — главный директор по инновациям и президент отдела глобальных расследований и киберобнаружения HaystacKid.

+ Мэри Мак: Мэри — генеральный директор и главный юрисконсульт эталонной модели электронного обнаружения.

+ Джон Брюэр: В качестве главного специалиста по данным Джон возглавляет службы передовых технологий HaystacKid.

+ Джон Уилсон: Будучи CISO и президентом судебной экспертизы HaystacKid, Джон является сертифицированным судебно-медицинским экспертом, лицензированным частным следователем и ветераном IT с опытом работы более двух десятилетий.

+ Дженни Хэмилтон: Дженни является заместителем генерального юрисконсульта по глобальным открытиям и конфиденциальности HaystacKid, бывший глава глобальной группы доказательств Джона Дира.

Стенограмма презентации

Введение

Здравствуйте, и я надеюсь, что у вас отличная неделя. Меня зовут Роб Робинсон, и от имени всей команды HaystacKid я хотел бы поблагодарить вас за участие в сегодняшней презентации и обсуждении под названием «От программы-вымогателей до обнаружения кибер: история, решения и рабочие процессы искусственного интеллекта». Сегодняшняя веб-трансляция является частью ежемесячной серии образовательных презентаций HaystacKid по сети BrightTalk и предназначена для оказания помощи специалистам в области кибербезопасности, управления информацией и раскрытия электронных данных, которые сталкиваются с проблемами кибербезопасности и киберобнаружения. Сегодняшняя веб-трансляция записывается для последующего просмотра в сети BrightTalk и с веб-сайта HaystacKid.

Сегодня компания HaystacKid также рада сообщить о нашей поддержке в партнерстве с эталонной моделью Electronic Discovery. EDRM под руководством генерального директора и главного юридического директора Мэри Мак создает практические ресурсы для улучшения раскрытия электронных данных, конфиденциальности, безопасности и управления информацией, а с 2005 года EDRM предлагает стандарты лидерства, инструменты, руководства и этапы состояния тестовых данных для укрепления передовых практик по всему миру. В настоящее время EDRM имеет международное присутствие в более чем 113 странах на шести континентах, и они продолжают расти, и сегодня мы также благодарны Мэри Мак за то, что сегодня выступила в качестве спикера Мэри Мак. Мэри является автором книги «The Process of Elimination: The Practical Guide to Electronic Discovery», которая считается многими первой популярной книгой по раскрытию электронных данных, и она получила своего доктора права в Притцкерской школе права Северо-Западного университета, а также имеет их полномочия CISSP или Certified Специалист по безопасности информационных систем. Добро пожаловать, Мэри.

Мэри Мак

Спасибо, Роб.

Роб Робинсон

Мы, безусловно, рады, что смогли поделиться вами сегодня. HaystacKid также рад сообщить о нашем партнерстве с Ассоциацией сертифицированных специалистов по раскрытию электронных данных, более известной как ACEDS, а ACEDS предоставляет обучение, сертификацию и курсы профессионального развития в области раскрытия электронных данных и смежных дисциплин, и мы рады сотрудничать с ними в усилиях например, сегодняшняя веб-трансляция. Помимо мисс Мэри Мак, сегодня есть несколько экспертных докладчиков, которые считаются одними из ведущих специалистов в различных областях, начиная от реагирования на инциденты с кибербезопасностью и заканчивая кибероткрытием. Мэри, не могли бы вы представить наших экспертов сегодня?

Мэри Мак

Мне было бы очень приятно, Роб. Мы очень рады, что EDRM сотрудничаем с HaystacKid ID и делимся столь своевременной темой. Итак, сначала Майкл Сарло. Он является главным директором по инновациям, президентом по глобальным расследованиям и Cyber Discovery Services для HaystacKid, и, конечно, он облегчает операции для всех вещей, связанных с цифровой криминалистикой и стратегией судебных разбирательств как в США, так и во всем мире. А потом я. Вы знаете, кто я. Следующий — Джон Брюэр, главный специалист по данным, и я должен сказать, что мне очень нравится, что ученые по данным занимаются кибероткрытием. Это просто замечательная вещь и образование вокруг этого для нашего большого сообщества. Джон является руководителем отдела передовых технологий HaystacKid и работал в десятках фирм из списка Fortune 500 в ролях от раскрытия электронных данных до миграции данных до управления информацией, поэтому имеет очень широкую поверхность для решения этих проблем. А еще у нас есть друг Джон Уилсон. Он CISO и президент судебной экспертизы HaystacKid, и помимо всех технологий, криминалистики и электронного открытия, он также является свидетелем эксперта, и это редкая вещь в нашей отрасли, и мы очень, очень рады, что Джон присутствует на презентации. А потом у нас есть Дженнифер Гамильтон, с которой я впервые познакомился на ее концерте в John Deere, где я не могу поверить, что прошло 14 лет, формируя развитие этого и возглавляя эту операционную команду eDiscovery в качестве главы их глобальной команды доказательств в John Deere, и она является заместителем генерального юрисконсульта по глобальному Обнаружение и конфиденциальность для HaystacKid.

И в этом случае у нас есть довольно сложная повестка дня для вас, и я передам ее Майку, чтобы провести нашу дискуссию.

Основная презентация

Майкл Сарло

Большое спасибо, Мэри, Роб, и спасибо всем за то, что присоединились сегодня. Мы надеемся, что это информативная презентация. Мы будем отвечать на вопросы. Пожалуйста, перчите столько, сколько хотите. Мы постараемся добраться до всех из них. Сегодняшняя презентация на высоком уровне касается программ-вымогателей, вас и меня, раскрытия электронных данных и перекрестков, и мы действительно поговорим о некоторых показателях статистики. Я думаю, что всем важно знать, как мы добрались до того места, где мы находимся, в том, что касается экосистемы выкупа. Мы поговорим подробнее о первых 48 часах, так сказать, в случае компромисса, любых инцидентах в области безопасности и передовых практиках. Мы собираемся начать его с Дженни, чтобы действительно освоиться в более высокоуровневом эффективном плане реагирования на инциденты и действительно выйти за рамки некоторых технических деталей, особенно там, где специалисты по раскрытию электронных данных могут оказаться вовлеченными, которые могут не иметь типичных навыков реагирования на инциденты, когда мы думаем о киберинциденте, и сегодня мы узнаем, что происходит гораздо больше, чем просто запечатывание нарушения.

Мы поговорим о том, что такое обнаружение после взлома. Что это значит? Как мы используем ИИ? Как это влияет на рабочие процессы обеспечения конфиденциальности, с которыми мы работаем уже много лет? Затем мы расскажем о предложении HaystacKid ReviewRight Protect и нашем подходе к человеческому обзору и интеллектуальному анализу данных, а также о том, как мы получаем синергию, используя новые типы ИИ в этой области.

Итак, прежде всего, мы наблюдаем огромный взрыв киберпреступности и кибервойны, действительно с 2010 года, и я думаю, что это очень важное различие, особенно с точки зрения того, как страховые рынки, которые, как правило, доминируют в том, как мы справляемся с нарушениями, технологиями, которые мы можем использовать, реагированием на их, платежей и только подхода и общего потока всей парадигмы реагирования на киберинциденты и всех участников, которые участвуют в этом, и их много. Мы наблюдали довольно большой взрыв инцидентов, а также множество личных данных, а также серьезные нарушения в 2017/2018 годах. Эта статистика свежа по состоянию на 2021 год и дает довольно точный взгляд на сообщения о нарушениях, и это действительно то, что следует знать о том, как многие организации могут быть взломаны, могут иметь выкуп, могут быть выкуплены данные, могут не иметь нормативного требования сообщать об этом нарушении, в зависимости от того, что был получен доступ к типу данных о клиентах. Мы видели случаи, когда очень крупные организации должны были сообщать об инциденте, а об этом не сообщали, и они страдали от последствий гражданского судебного разбирательства. Таким образом, мы видим, что большинство организаций, средних и крупных компаний, как правило, больше не идут в этом направлении, хотя проблемы с репутацией, бренд-менеджментом, проблемами клиентов могут привести некоторые организации к созданию мероприятия, в котором, возможно, они не чувствуют необходимости сообщать об этом.

Таким образом, эти цифры на самом деле очень низкие, короткое и сладкое из них. Ежедневно происходит гораздо больше, особенно в правительственной сфере. Иногда мы получаем тысячи мини-взломов ежемесячно, в том что касается нашей инфраструктуры и наших государственных учреждений, и там также появляется больше показателей отчетности, а также разрыв между этим числом и тем, что может быть десятки тысяч на правительственная сторона должна дать вам ощущение, что об этом сильно не сообщается. Тем не менее, только в 2020 году у нас было угрожало около 300 миллионов человек PHI, PII и конфиденциальные данные. Это было много писем с просьбой о том, чтобы мы с вами записаться на бесплатный кредитный мониторинг, наверняка, закончились.

Джон Уилсон

Да, и что ж, Майк, я просто хочу добавить одну из вещей, когда вы смотрите на статистику, вы видите этот скачок в 2017 году, но вы также должны понимать, что злоумышленники стали намного более опытны в том, что они делают. Таким образом, они получают очень богатый набор данных, а не просто — раньше они просто захватывали мир, и все, что мы можем получить, мы берем его. Теперь они очень сфокусированы, целенаправленно и намеренно оценивают, какие данные они собирают или какая информация подвергается взлому. Таким образом, хотя эти цифры немного ниже, чем три, четыре года назад, ущерб значительно выше.

Майкл Сарло

Это верно, и мы поговорим об эволюции того, где мы находимся в том, что мир и киберсторона больше называют тактикой охоты на игры.

Итак, средняя стоимость нарушения, мы работаем со всеми размерами и масштабами материи, некоторые очень транзакционные и управляемые, некоторые очень высокие. Средняя стоимость по всему миру составила около 3,86 млн. долл. США. Здесь, в США, выше, примерно 8,64 по состоянию на 2020 год, и это не обязательно связано с некоторыми касательными убытками доходов, которые возникают в случае крупномасштабного нарушения. Многое из этого связано с пост-легальными рабочими процессами расходов, как и когда мы думаем о старой поговорке «Раскрытие электронных данных», где, возможно, первые 15% бюджета — это сбор озер данных, может быть, это до 10% сейчас, может быть, остальные 15% связаны с обработкой и хостингом eDiscovery, раньше было, вероятно, около 25, ценообразование снизилось, а все остальное было связано с практикой рассмотрения документов и ходатайства. Можно подумать об одной и той же парадигме расходов и бюджетирования, так как запечатывание нарушения, работа с рекомендациями по защите и судебная экспертиза в том, что касается отслеживания и понимания различных типов показателей компромисса. Мы услышим это слово IOC. Вероятно, это было около 30% расходов здесь, остальное направлено на выявление PII, реагирование на различные регуляторы, и на самом деле большую часть юридического рабочего потока и часто на технологический рабочий поток.

И чтобы дать вам представление, когда вы сохранили этот Excel на локальном рабочем столе или на сетевом ресурсе, который, возможно, содержит какую-то информацию, которую вы не должны, средняя стоимость украденной записи здесь, в США, составляет около 146 долларов США, что примерно на 1,58 доллара, а медицинские компании, как правило, очень сильно пострадали, и есть много личных данные, существует множество систем, и их обязательства, как правило, отвечают более высокой планке, и в целом, OCR имеет разные квалификаторы в том, кто должен быть уведомлен в случае утечки данных. Обычно речь идет о большинстве компаний, которые не ориентированы на здравоохранение, которые не предоставляют медицинской помощи, не управляют медицинскими данными, имеют некоторый тип идентифицируемой PII, социальные сети и ваше имя или двухфазный подход может вызвать уведомление, ваше имя не будет вызывать уведомления, а для здравоохранения имеет значение, это изменилось в последнее время. Просто наличие вашего имени в наборе данных создаст для организации бремя уведомления.

Средняя стоимость отправки письма с уведомлением составляет около конца, просто чтобы отправить это письмо. Это выше, если будут предлагаться услуги кредитного мониторинга, и на самом деле менее 10% тех, кто получает письмо, если не ниже, кто может подписаться на кредитный мониторинг. Итак, о чём нужно знать. Многие из этих фактов и статистики сосредоточены на смешанных тарифах, но иногда я получаю много вопросов, связанных с этим, и просто тестируя активы с людьми, мы обычно заканчиваем.

Итак, я расскажу Джону Уилсону только для того, чтобы рассказать о программе-вымогателях, о том, как они работают и на самом деле, что мы видим вне программ-вымогателей, как выкуп может попасть в корпоративный бизнес и/или как предприятие может быть скомпрометировано в целом с помощью различных векторов.

Джон Уилсон

Спасибо, Майк. Таким образом, программа-вымогатель — это, по сути, вы можете думать о вирусе или вредоносной программе, которая выполняется на вашем компьютере, и они могут попасть туда разными способами. Ключевое отличие от программ-вымогателей от других вирусов или вредоносных программ заключается в том, что большинство программ-вымогателей пытаются зашифровать ваши данные и поместить их в зашифрованную корзину, чтобы у вас больше не было доступа к вашим данным, а исходные модели программ-вымогателей были очень просто так, что я просто сказал: эй, я сейчас зашифровали все данные на вашем компьютере, и вы должны заплатить мне выкуп, чтобы вернуть свои данные, какие бы они ни были. Эти атаки на программы-вымогатели принимают различные формы, они могут быть фишинговыми атаками, могут быть разными путями, независимо от того, получает ли кто-то в вашу систему файл, который запускает программы-вымогатель, или кто-то нажимает фишинговое письмо в организации, который затем что-то устанавливает и начинает принимать над машиной.

Интересная эволюция этого мира программ-вымогателей заключается в том, что они больше не заинтересованы в шифровании ваших данных. Теперь они создают срочность, оказывают давление на владельцев и частных лиц, потому что они, эй, у нас есть все ваши корпоративные данные, мы зашифровали их, также передали их, загрузили и поделимся ими общественности, если вы не заплатите нам выкуп в течение семи дней, или в течение 10 дней или в течение 30 дней в зависимости от конкретной атаки программ-вымогателей. Они гораздо больше сфокусированы на этом. Теперь они начинают эксфильтрацию этих данных. Они используют эти данные как угрозу. Был недавний случай, когда генеральный директор крупной корпорации получил выкуп, потому что на его устройстве, когда они его выкуп, они нашли фотографии и информацию, которые поставили его в очень компрометирующее положение, и нанесли бы значительный общественный ущерб организации, и так что это то, что они начинают атака.

Точно так же, когда мы немного говорили, когда вы смотрели статистику, и мы видим, что количество зарегистрированных атак выкупа уменьшается, эти атаки выкупа становятся гораздо более сложными. Значит, это не старые времена получения фишинговых писем с кучей ужасных писем и предложений, которые не имеют смысла, и много опечаток. Вчера корпорация Майкрософт объявила о том, что существует почти точный дубликат сообщения Майкрософт, поступающего с подложного адреса, который выглядит так, будто оно поступает из внутренних ИТ-систем и требует от вас ввести некоторые учетные данные, и это очень законно, и их обнаружить гораздо сложнее. Вы должны быть очень осторожны в отношении того, на что вы нажимаете в письме, и это всего лишь один из примеров утонченности. Утонченность на самом деле переместилась в то место, где они больше не просто. Эй, я собираюсь выкладывать вещи и посмотреть, кого я могу найти в сети, и кто будет исполнять мои фишинговые письма. Они отправляют фишинговые электронные письма определенным лицам, которых они хотят получить в этих конкретных сетях и на конкретные ресурсы. Они гораздо больше ориентированы на это, и это создает серьезные проблемы, потому что они выходят из дома, используют эту информацию из социальных сетей, чтобы действительно гарантировать, что у них есть хорошие шансы на совершение атаки.

Майкл Сарло

Она все чаще превращается в сложную бизнес-модель для субъектов угроз и способ их совместной работы. Они работают в картелях, это преступные организации с иерархией и организационной структурой. Существует целая сеть высокотехнологичных, отработанных веб-инструментов, которые позволяют сотрудничать между различными субъектами с разными навыками на рынке выкупа. Те, кто ищет уязвимости или ищет цели, могут затем сотрудничать с платформой, которая фактически может развернуть выкуп одним нажатием кнопки. Затем есть переговорщики, которые созданы для ведения переговоров и облегчения выплаты выкупа. Первым программ-вымогателем, задокументированным еще в 80-х годах, был троянец AIDS, который на самом деле был дискетом, который вы вскочили, а затем зашифровал ваш компьютер, и вам пришлось отправить деньги на почтовый ящик с примерно 200 баксами, чтобы попытаться восстановить эти данные. Взрыв прихода и то, что мы видим здесь с выкупом, действительно коррелирует с рассветом и ростом биткоина. Это ключевой элемент: возможность анонимизировать сбор денег, чтобы вернуть кому-то свои файлы, и опять же, как упоминал Джон, просто резервных копий недостаточно. Они одновременно выводят ваши данные. Обычно, на самом деле, перед этим кто-то будет в вашей сети, вы этого не заметите, это данные снаружи, а затем они выкупают вас, и вы, по сути, поймаете, что даже если вы сможете восстановить данные, если вы не заплатите этот выкуп, они, по сути, будут позорить вас. Они будут публиковать его в публичных [E-Zines] и утечку в СМИ, и все данные о клиентах могут быть недоступны, и это может быть очень плохо.

Очень важным и всегда учитывающим при выплате выкупа является концепция атрибуции, кто на самом деле является злоумышленником, и мы, HaystacKid, все компании по реагированию на инциденты, сотрудничаем над тем, что называется отпечатками пальцев злоумышленника во время любого события, чтобы попытаться понять, кто на самом деле стоит за атака. Это может привести к серьезным последствиям, если выкуп будет выплачен актору, санкционируемому государством. OFAC приходит, им это не нравится, и многие из этих организаций проводят ребрендинг. Они исчезают и ребрендируют, как только получают большой удар. Политический климат глобального масштаба полностью влияет на количество нападений, которые мы видим. Он используется в качестве боевой тактики для влияния на политические решения в глобальном масштабе. За последний год мы наблюдали массовый рост выкупа. Казалось, это несколько коррелирует с переговорами о трубопроводе «Северный поток-2», а теперь и снижением. Итак, есть и другие элементы, которые связаны с некоторыми из этих крупных событий, которые мы видим, и в большинстве случаев они, вероятно, являются государственными субъектами, которые позволяют им произойти или способствуют этим очень крупным атакам, заслуживающим новостей, но в типичных преступных предприятиях происходит много таких, как хорошо.

Итак, это краткая история выкупа, и он не исчезнет. Конечно, он становится все более сложным, и есть и другие методы, к которым они переходят.

Джон Уилсон

Да, и только один последний быстрый комментарий, который нужно добавить, касается только изысканности и ее развития. Таким образом, большинство людей, вероятно, уже слышали об атаках Kaseya, и именно там была вся цепочка поставок, они скомпрометировали программное обеспечение, продаваемое компанией, предоставляющей услуги ИТ-поддержки — от компании, которая предоставляла программное обеспечение для компаний, предоставляющих услуги ИТ-поддержки, а затем они отправились только в корпоратив, штаб-квартира и сказал: «Эй, мы скомпрометировали 700 ваших клиентов, заплатили нам X или взорвем всех ваших клиентов. Кроме того, пара крупных игроков в кибермире программ-вымогателей теперь на самом деле действуют как венчурные капиталисты для остального мира программ-вымогателей, говоря: «Эй, вы идете туда, мы будем финансировать вас, и если вы сможете взломаться, мы возьмем часть доходов, и это совершенно новая модель который только что был разработан в этом году. Таким образом, атаки, безусловно, становятся гораздо более продвинутыми и пугающими. Спасибо.

Майкл Сарло

Спасибо, Джон. Итак, мы начнем с Джоном Брюэром, нашим главным специалистом по обработке данных, а также экстраординарному реагированию на инциденты и обо всех ИТ-вопросах, чтобы рассказать о первых 48 здесь, о том, как вы должны реагировать и думать о любых реакциях на инцидент с безопасностью. Вперёд, Джон.

Джон Брюэр

Большое спасибо, Майк. Итак, да, я говорю о первых 48 часов после того, как вы обнаружили, что вас нанесли удар, но прежде чем я расскажу об этом, я расскажу немного о признаках того, что вы попадете. Теперь они будут меняться от месяца к месяцу, поэтому важно не отчитываться от рекомендаций от тех, кто является вашим поставщиком кибербезопасности, но вещи, которые достаточно последовательны в разных веках, частичные учетные записи MFA. Будучи цивилизацией, мы хорошо справляемся с развертыванием MFA в критически важных корпоративных системах, и это дает нам очень полезный инструмент в нашем арсенале. Если ваш ИТ-персонал или ваша служба безопасности или центр управления безопасностью как группа обслуживания видят множество пользователей, которые входят в систему с правильным именем пользователя и паролем, но не проходят проверку MFA, это признак того, что хотя бы один из ваших пользователей, иногда несколько пользователей, может иметь были скомпрометированы, и у нас есть злоумышленники, которые просто отбиваются от этого, надеясь, что кто-то откроет свой телефон, увидит вызов безопасности и просто примет его. Это то, что мы наблюдаем все больше и больше в наши дни.

Атаки грубой силы — это те же атаки, которые вы видели с 90-х годов, когда группа, по какой-либо причине, считает, что у них есть преимущество в угадывание пароля администратора, у них есть подсказка, у них есть какая-то разведка, которая заставляет их поверить, что если они пройдут через список 100 000 или миллион паролей, один из которых будет работать с любой учетной записью или системами, на которые они нацелены. Внезапный всплеск означает, что кто-то думает, что стоит бросать эти ресурсы в вашу систему.

Фишинговые письма, приземляющиеся со странными доменами, теперь этот начинает немного уставать. Как говорил ранее Джон Уилсон, мы наблюдаем радикальное повышение уровня сложности фишинговых электронных писем, которые поражают клиентов и жертв атак программ-вымогателей. Итак, если вы видите фишинговые электронные письма, поступающие из доменов, которые являются почти доменом вашей организации или почти доменом вашего банка, например, когда я и L перевернули имя, заменив O на нуль, такие вещи, то, что большинство пользователей не сразу подхватывают. Все, что происходит так, особенно от финансовых учреждений, свидетельствует о том, что кто-то активно охотится за вашей организацией.

Коробки для прыжков, вращающиеся вверх. Опять же, это то, что мы видели больше в прошлом. Джамп-боксы в IT выходят из моды, но они, безусловно, есть что-то, что еще есть во многих местах. Для тех, кто не знает, прыжок — это машина, которая находится внутри защищенной зоны сети, но имеет к ней доступ извне. Обычно к нему разрешается подключаться только с нескольких разных IP-адресов, обычно из дома директора по информационным технологиям, резиденции системного администратора или другого офиса, но если одно из этих мест будет скомпрометировано, злоумышленники передают через нее, чтобы использовать эти бэкдоры через брандмауэр. Если они начинают вращаться в те времена, когда вы их не ожидаете, или они начинают отправлять множество запросов в сеть, это один из признаков того, что нас ждет удар.

SMB, Kerberos, LDAP, в принципе, каждый раз, когда ваши протоколы аутентификации или совместного доступа к файлам получают запросы из неожиданных мест, классический пример: если маршрутизатор периметра вашей сети внезапно начинает запрашивать учетные файлы, это, вероятно, признак того, что этого не предполагается. Большинство организаций будут применять меры безопасности для своих самых конфиденциальных данных, чтобы они не были немедленно извлеканы таким образом, а некоторые — нет. А также, если такой подход не работает, опять же, эти атаки управляются людьми, которые будут пытаться пробовать другие атаки, другие места, другие переносчики, когда они пытаются проникнуть в вашу систему.

Широковещательный трафик с VPN «точка-сайт» — это то, что мы видим гораздо больше после пандемии; все отправляют домой и подключаются к своим офисам через VPN. Если злоумышленник получает учетные данные VPN, которые можно использовать откуда угодно, он подключится к вашей сети, и, как правило, одним из первых признаков того, что что-то пошло, он будет отправлять так называемый широковещательный трафик, в основном запрашивает всю сеть, говоря: эй, что там, какие серверы работают, какие услуги доступны? Мы редко видим, что обычные пользователи этого делают в сети. Если вы видите это, стоит поднять тревогу.

Резкий рост трафика, не связанного с HTTPS, с клиентских компьютеров. На самом деле это проще сделать сейчас, потому что почти все в наши дни с точки зрения приложений, с которыми пользователи ежедневно взаимодействуют, работает по протоколу HTTPS. Почти все приложения, которые пользователи используют ежедневно, запускаются через веб-браузер, независимо от того, общается ли это Office с серверами Microsoft через HTTPS через веб-API, или пользователи, входящие в Dropbox, [Переключить] или любые другие из десятка различных часто используемых приложений. Каждый раз, когда мы начинаем видеть любую информацию, которая не выходит по протоколу HTTPS из сети, это часто является признаком того, что у нас есть какая-то телеметрия от вредоносных программ, которые выводят из сети, будь то управление и управление, или фактически происходит эксфильтрация файлов и данных из этой системы.

Итак, давайте поговорим об этом сразу после того, как вас действительно ударили. Теперь, когда я говорю об этом, я говорю о том, когда вы узнаете, что вас нанесли удар. Большинство организаций будут проникнуть в течение нескольких часов, дней, иногда даже недель или месяцев, прежде чем они узнают, что у них был злоумышленник, а иногда они не узнают, что у них есть злоумышленник, пока не получат электронное письмо от злоумышленника с требованием выкупа. Теперь, в первые 48 часов, есть несколько приоритетов, которые мы имеем здесь. Мы подтверждаем, что данные действительно получили доступ. Как правило, сразу же мы не знаем, сколько данных вышло. Даже если у нас есть заявление нападавших о том, сколько у них есть, это не обязательно правда, и почти всегда люди, которые узнают об этом в первую очередь, не знают, каковы их юридические полномочия или обязанности. Это не то, что люди просто читают в свободное время, потому что им это интересно.

Так что, например, первые пару минут после того, как вы узнали, являетесь ли вы руководителем, ИТ-специалистом или просто обычным пользователем, первый шаг — не ждать. Какой бы ни была линия экстренной помощи, независимо от уровня повышения уровня вашей ИТ-организации или организации поддержки, используйте этот номер. Не стесняйтесь, потому что, предположив, что утечка все еще активна, блокировка системы является наивысшим приоритетом на данный момент. Если нужно, разбудите людей, которые находятся в отпуске. Я знаю, что это искусственное па с социальной точки зрения, но очень важно, чтобы, если есть кто-то, кто сможет заблокировать и защитить ваши системы как можно быстрее, с этим человеком можно связаться.

Меняйте пароли на любой учетной записи, которая могла быть скомпрометирована, и не стесняйтесь менять пароли в других местах. Как уже упоминал Джон Уилсон, оперативное воздействие на происходящее может быть наименьшим из ваших проблем.

Большинство организаций обычно забывают об этом, останавливая все системы, которые меняют или удаляют журналы. Будет проведено расследование, будут вопросы, и если журналы будут ротированы, удалены или иным образом переходят в забвение, это необходимо немедленно остановить, потому что вам может понадобиться вернуться на несколько недель или месяцев в ваших файлах журналов, чтобы определить, какая исходная точка проникновения и если у вас нет этих журналов, во-первых, это заставит вас нести внутреннюю ответственность за то, чтобы выяснить, что было гораздо сложнее, и во-вторых, это будет выглядеть нехорошо позже.

Защитите все резервные копии и начните переход на внесайтовые резервные копии. Я должен сказать, что мы часто наблюдаем или начинаем возвращать резервные копии на сайт. Опять же, с точки зрения операционной деятельности, если у нас есть зашифрованная система, которая фактически была удалена, если это был не просто выход из строя, а производственные системы были остановлены, вам захочется вернуть свои резервные копии за пределами сайта, чтобы вы могли подготовиться к восстановлению из них. Ужасно много программ-вымогателей, которые мы видим на рынке сегодня, имеет довольно много времени. Таким образом, если вы выполняете еженедельные резервные копии, две еженедельные, даже ежемесячные резервные копии, вы все равно можете иметь вредоносное ПО в системе из этих резервных копий, и при восстановлении все это снова будет зашифровано. Переход и получение самых старых резервных копий, которые можно сделать, даже если вам нужно выполнить гибридное восстановление, в котором вы восстановите систему из одного набора и данные из другого, это может быть наилучшим вариантом.

Хорошо, и теперь пять вопросов, на которые нам действительно нужно ответить после того, как вы узнали, что вас порадили. Во-первых, кто был подвергнут воздействию? Получена ли информация о клиентах, сотрудниках и поставщиках? Другая информация, за которую вы несете ответственность, классический случай здесь — кредитные отчеты, но, конечно, если мы находимся в ситуации с PHI, мы можем получить в кабинете врача информацию о пациентах, которые не обязательно являются клиентами или сотрудниками, но мы все еще несем ответственность за них и которые, очевидно, имели бы был скомпрометирован в результате нарушения.

Когда злоумышленник вошел и в какое время они были заблокированы? Опять же, это будет очень важно, чтобы погрешности о том, сколько данных они могли получить. Знание того, как долго они находились в системе, поможет нам точно определить, сколько данных могло быть передано за это время, и если у нас есть политики удаления данных, как далеко они могли бы иметь информацию, которая, по нашему мнению, в настоящее время была уничтожена и удалена.

Что-то изменилось? Обычно мы не видим изменений в данных, в которые люди поступают и меняют операционные данные. Если мы собираемся увидеть изменения информации, это будет похоже на массовое шифрование, как мы знакомы с программами-вымогателями, но также важно посмотреть, были ли созданы новые учетные записи. Это особенно распространено для целей, которые могут подвергаться повторным атакам, куда злоумышленники заходят, создают набор учетных записей для себя или сброшают пароли к существующим и редко используемым учетным записям, чтобы они могли вернуться после восстановления для повторной атаки на сайт.

Были изменены разрешения? Это может быть что угодно, начиная от его настройки таким образом, чтобы внутренний человек мог получить доступ к данным, которых он не должен, вплоть до настройки целой кучи корзин AWS для публичного чтения, чтобы их можно было прочитать извне, а инцидент и нарушение продолжаются после восстановления, прошлого обнаружение.

К чему они имели доступ? Часто, опять же, это то, что можно только поставить на панели ошибок. Каков лучший сценарий? Возможно, у них был доступ только к одному компьютеру, который, как мы видели, зашифрован. Итак, какой худший сценарий? Итак, мы знаем, что у них был такой уровень учетных данных, и этот уровень учетных данных имел доступ ко всей базе данных клиентов или всей производственной базе данных. Мы не знаем, знали ли они о том, что у них есть доступ к этому, поэтому, возможно, они не читали его, но это то, что нам нужно сделать в худшем случае.

И, наконец, что вы сделали? Это, опять же, часто упускается из виду, но документируйте все, что вы делаете в ответ на атаку, особенно если у вас нет письменной процедуры. Буквально в первые часы и дни после этого любые добросовестные действия, направленные на сдерживание ущерба и попытку защитить данные, даже если это окажется спорным, будут учитываться позднее. Не удаляйте ничего, что не является непосредственной угрозой, потому что, опять же, будет расследование, последующая деятельность, могут быть нормативные последствия, и если мы удалим вещи, которые могут быть актуальны позже, это может привести к непредвиденным последствиям в дальнейшем в ходе расследования процесс.

И теперь я думаю, что перейду к Дженни об эффективном дизайне IR плана.

Дженнифер Хэмилтон

Да, мы подошли к той части, где нам нужно выяснить, что нужно отсортировать, как их сортировать, кто на первом месте. Итак, давайте начнем прорабатывать эффективный план реагирования на инциденты.

Итак, во-первых, у нас есть ключевые игроки. Мы неоднократно обсуждали это на различных вебинарах по кибербезопасности и программ-вымогателей. Мы не можем выделить достаточно внимания, чтобы заранее решить, кто является главным, и это вопрос старости. Это ИТ? Законно ли это? Это внешний адвокат? Кто является точкой бега? И это часто сводится к тому, кому нужно направлять, кто на самом деле принимает решения. Таким образом, эти вещи заранее невероятно важны, потому что вы не хотите, чтобы человек, который консультирует и занимается некоторыми из более сложных вопросов реагирования на инциденты, также отвечающего за принятие всех решений и становится узким местом для коммуникации, и это может легко произойти.

Итак, когда у вас есть юридическое руководство по сравнению с ИТ-отделом и другими игроками корпорации и сторонним юрисконсультом. Таким образом, это область, в которой вы должны принять решение на раннем этапе и, опять же, кто принимает решение о том, какие типы уведомлений должны быть сделаны, о чем следует сообщать и кому, а также в случае нарушения кибербезопасности данных с персональной информацией, медицинскими записями, как упоминал Майк. раньше, или у вас даже есть программы-вымогатели, где — я думаю, что статистика составляет примерно половину времени программы-вымогателя, данные фактически вымогаются и вымогаются, тогда у вас есть обязательства, в зависимости от типа данных, которые вы должны делать отчеты, и эти обязательства становятся очень сложными, очень обширными и очень срочными чувствительный. И что я имею в виду с точки зрения того, что вы можете столкнуться с уведомлением о нарушении во всех 50 штатах, OCR, как упоминал Майк, несколько стран, Европа — большая, но даже Китай, Индия и Бразилия в наши дни могут быть частью этого уведомления, и когда мы говорим о том, чтобы сделать это быстро, мы в течение 72 часов, во многих случаях. Таким образом, было бы очень сложно, чтобы тот, кто работает в процессе уведомления о нарушении, также принимал технические решения, направлял, взаимовался с сторонними консультантами, PR-фирмами, страховыми компаниями и т.д., чтобы действительно тщательно подумать о рабочих нагрузках и о том, как их сбалансировать.

Внешние юрисконсульты могут быть отличным лидером в этих событиях, но на самом деле дело сводится не только к роли, помимо соображений привилегий, но на самом деле опыт, и я буду называть это радугой опыта, когда дело доходит до нужных людей, чтобы бежать с инцидентом и управлять всеми этими различными движениями части, и когда я говорю радугу опыта, я думаю, что это действительно тот, кто видит начало до конца, так что начало с точки зрения контрактов требует уведомления, кому, вплоть до того, если это закончилось судебным разбирательством, имеет ли этот человек такой взгляд на то, что действительно является приоритетом для защиты компании от самого начала и до конца? Очевидно, что опыт в области безопасности данных, опыт в страховой отрасли и страховом покрытии, а также работа над панелями могут иметь решающее значение, и я также хотел бы подчеркнуть, насколько важно иметь опыт электронного обнаружения, как с точки зрения понимания рабочих процессов, так и кризисов управление и сортирование, а также в широком объеме — объем потоков данных вокруг организации, откуда поступают данные, что в них, куда они поступают, куда они поступают, а также способы определения и приоритетности методов снижения рисков.

А потом, помимо судебных разбирательств, у него есть такой опыт в области конфиденциальности. Это очень трудно сделать, найти человека, обладающего таким опытом, но это действительно те люди, которые вам нужны в основной команде по сравнению с расширением команды, и в состоянии отсортировать ответ с помощью плейбука или, в некоторых случаях, без плейбука. А затем снова возвращаемся к тому, кто принимает решения? Обычно это не один и тот же человек. Возможно, они принимают некоторые из этих решений, но с точки зрения высокоуровневых решений и отчетности по цепочке этот опыт также очень полезен. Бонус, если этот ведущий или группа потенциальных клиентов от ИТ до юридических лиц имеет опыт отчитывания перед советами директоров и предоставления информации на нужном уровне.

Поэтому, когда мы говорим о ролях, а не просто именах в плане, это ситуация, когда люди и организации часто меняются, особенно в этой области. Итак, вы хотите знать, кто — всегда ясно, кто играет эту роль, изменил название и как вы можете понять, кого и когда принять участие. Обычно это очень важно, когда дело доходит до eDiscovery, а также здесь, в своего рода киберсобытии.

Затем я коснулся того, кто входит в основную команду по сравнению с расширенной командой, и я думаю, что это важно, потому что вы хотите, чтобы наименьшее количество игроков, которых вы можете определить, двигает мяч вперед и быстро. Но вам также нужно будет обратиться к различным специалистам, которые могут говорить на этом языке. Мы уже говорили о том, что страхование — это идеальная область, где тот, кто входит в основную команду и участвует в руководстве, советах или решениях, должен говорить на языке страховщиков и полисов, а также наладить отношения с вашей командой по управлению рисками внутри компании. Таким образом, это поможет определить все эти разные вещи.

Мне нравится делать это, создавая диаграмму RASCI, где у вас есть упражнение с группой, потому что в чем-то вроде этого задействовано много специалистов по тематике, и работает над тем, кто, в конечном счете, отвечает за то, чтобы некоторые вещи были выполнены, кто несет ответственность, с кем консультируются и с кем информируется. И эти предметы, просто проработав эту часть с тем, кто входит в основную команду, по сравнению с расширенной командой, у вас может даже не успеть ссылаться на это в середине инцидента, но понимание того, что нужно различным группам в разное время, может оказаться чрезвычайно полезным, когда дело доходит до времени работы.

Мэри, пожалуйста, взвесьте.

Мэри Мак

Я так рад услышать о диаграмме RASCI с подотчетностью и уровнем принятия решений у каждого человека, это возвращает меня к ранним дням готовности к тяжбы, когда люди только что подхватили и сделали. И, конечно, в первых случаях это работает, но потом вы получаете людей с описанием должностных обязанностей, и некоторые вещи пересекаются друг с другом, и если у вас есть основная команда и расширенная команда, то очень важно это сделать и обсудить ранее. Даже если, как сказала Дженнифер, вы не пользуетесь им, я найду в судебных разбирательствах, расследованиях и здесь, в области киберобнаружения, очень важно знать, кто должен принять окончательное решение. Потому что в противном случае вы можете потратить время на то, чтобы разобраться в этом, пытаясь работать в высокозаряженной, хорошо заметной, высокополитической среде. Поэтому, я думаю, что это прекрасный подарок, Дженнифер, чарт RASCI для этого.

Дженнифер Хэмилтон

Забавно, что это была одна из первых конференций, на которой я присутствовал, когда я был в John Deere, и она была воспитана, и я подумала, что это действительно интересно, и, вероятно, это был один из самых полезных инструментов в моей карьере от судебных разбирательств до киберобнаружения. Поэтому я настоятельно рекомендую вам искать диаграммы RASCI и использовать их. Опять же, это отличное упражнение, чтобы объединить людей и дать ясность. Это может быть одним из самых важных действий, которые вы делаете, чтобы подготовиться к любым кризисным спорам.

Так же давайте поговорим о рабочих потоках. Мы говорили о рабочих процессах и о том, насколько это важно. Опять же, у вас может не быть времени, чтобы обратиться к нему в середине события, но только практика, опыт их объединения, чтобы команда в целом поняла, что такое типичный рабочий процесс. И очевидно, что в большинстве кризисных ситуаций происходит много импровизации. Он не очень аккуратно течет. Как и в eDiscovery, все не происходит аккуратно от одной фазы к другой, поэтому ваши настольные упражнения могут быть полезны.

Мне трудно даже выполнять эти упражнения, потому что это очень сложная работа, особенно для команд, которые раньше этого не испытывали. Поэтому мне нравится думать о ролях и обязанностях и сочетании с рабочими потоками, так это понять, какое событие является самым высоким риском, с которым может столкнуться ваша организация. Давайте перейдем к первому, двум, может быть даже трем. Начнем с самого высокого риска. И именно здесь юридический человек действительно хочет быть вовлечён.

Legal хочет помочь оценить риск. И поэтому я думаю, что именно здесь вы можете провести мероприятие, имеющее высший технический характер и нуждаясь в участии Джонса и Майка в очень детальной степени, но и законное с точки зрения того, что это действительно одно из самых опасных событий, и возвращение к тому, что нужно сообщать, действительно может привести к тому, что решение. Уведомления о данных, конфиденциальности и нарушениях, соблюдении страховых полисов.

И я также буду сюда, когда будет полезно более глубоко вовлечь легальных лиц или, может быть, взять на себя ведущую роль в том, что не является плейбуком. Опять же, если у вас есть этот человек, и он не обязательно должен быть адвокатом, а человек, который имеет наибольший опыт от начала и до конца кризиса, то это может быть действительно полезно. Поскольку происходят события, такие как программы-вымогатели, люди не были подготовлены к событиям, и я называю это не плейбуком. Таким образом, именно здесь юридические лица могут помочь реально поддержать рабочий процесс и стратегию, если не стимулировать.

Кроме того, ключевым моментом здесь является то, что эти вещи — и мы говорим об импровизации, мы также будем много говорить параллельно, параллельно. Итак, где это имеет смысл? Если вам нужно сделать отчет в течение 72 часов или у вас есть 24 часа, чтобы сделать отчет, то кто будет делать это одновременно. Я думаю, это все, что можно обсудить и проработать заранее.

Не знаю, Мэри, есть ли у вас какие-то мысли по этому поводу.

Мэри Мак

Я думаю, что так же, как и в презентации, если у вас есть сценарий и план и вы знаете, куда вы идете, конечно, программы-вымогатели — это то, где вы находитесь... это как будто вы положите палец в светлую розетку, и если вы говорите о худшем, что может случиться с организацией и стать законным в этот момент, потому что это самая высокая октава риска, я думаю, что так важно документировать рабочий поток, чтобы у вас был хотя бы один путь. Возможно, он не выживет, что такое, начало битвы, все выбрасывают в окно свои руководства и просто решают кризис. Но даже некоторые из подчастей будут полезны. Просматривая различные кибер-события, вы увидите, какие вещи работают в вашей организации, а затем сможете выполнять итерацию и улучшать их.

Мы сейчас, вроде как, для большинства организаций, с самого начала, и очень важно потратить время на документирование и развитие доверия и отношений между людьми, которые, по сути, должны сформировать эту команду Tiger Team.

Вы так не думаете, Дженнифер?

Дженнифер Хэмилтон

Да, здесь решающее значение имеет укрепление доверия и отношений. И я думаю, что это та область, где повседневная работа действительно может отбить вас от выполнения этих продвинутых упражнений по планированию и укреплению доверия, но вы действительно хотели бы, чтобы вы сделали их, если не успеете на это время.

Говоря об этом, с точки зрения хорошей коммуникации и плана, мне нравится... всегда есть все эти советы, а также плейбуки длиной от 8 до 20 страниц. Программы-вымогатели, действительно, заслуживают своего собственного плейбука. Это становится нормой, и независимо от того, выкачиваются ли данные или просто зашифрованы и выкупаны, эти сценарии являются горячими в списке для разработки вашего коммуникационного плана.

И я думаю, что самые короткие планы, тем лучше, потому что в реальной жизни, если у вас есть нечто большее, чем пара страниц, на самом деле нет времени, чтобы погрузиться в него и проанализировать, как это сделать. Мне нравятся вещи, которые являются одностраничной, мне больше нравятся маркеры или визуальные диаграммы типа visio и, опять же, созданные по ролям.

Люди должны знать, кого и когда вовлекать их и как их вовлекать. Опять же, это просто eDiscovery 101. Если вы можете использовать это в одностраничном плане, вы далеко впереди в этом процессе, и вам также нужно знать, когда вы не являетесь ведущим. Во многих коммуникациях это особые события, а кризисное общение отличается от повседневного, даже в судебном процессе, как мы разговариваем друг с другом и кто что делает. Поэтому, в этом смысле, полезно прочитать, есть несколько отличных книг по кризисным коммуникациям и пониманию того, чем он сильно отличается от повседневного проекта, а затем просто использовать команды, которые вам нужно просто иметь, даже если вы сделали настольное упражнение только по общению — что будет ценным вложением средств.

Джон Уилсон

Дженни, однопейджер, даже если у вас будет полный план на 20, 10, сколько бы ни было страниц, наличие такого рода однопейджера с флэш-картой, на котором написано: «Вот человек, с которым я разговариваю, если мне нужен кто-то для этого», становится очень важным. Потому что эти вещи, опять же, особенно по мере того, как они становятся все более сложными, они придают срочный срок: «Эй, мы собрали ваши данные, мы знаем, что вы собираетесь заключить сделку «М и А», и мы собираемся сделать эту информацию публичной, и вы должны заплатить выкуп за 72 часа». Есть очень ограниченные временные ограничения для выяснения того, что будет происходить, кто должен быть вовлечен в этот процесс и все такое. Таким образом, наличие одного пейджера, который действительно помогает ускорить процесс и понять, с кем вам нужно связаться, когда становится действительно важным.

Дженнифер Хэмилтон

Верно, Джон. И даже то, что использовать, и поставить его в очередь перед событием, поэтому Signal — это приложение, которое становится невероятно популярным. Он находится на всех телефонах, зашифрован, и вы хотите, чтобы эти группы по ролю следовали плану, в какой-то степени уже организованы и готовы к работе, поэтому вы не пытаетесь создать... заставить всех загружать Signal в середине мероприятия никак не идеально, так что это мой второй вариант.

Что ж, давайте перейдем к картографированию данных. Мы можем немного вернуться сюда. Но в сопоставлении данных это еще одна вещь, которая очень полезна с точки зрения упреждающего планирования реагирования на инциденты, но также может быть очень полезной в процессе обнаружения. У вас есть группы по обеспечению конфиденциальности, группы по обнаружению электронных данных, а также другие ИТ-специалисты, которые в большей степени относятся к информационным специалистам, которые, вероятно, в некоторых организациях уже создали карту или диаграмму, или электронную таблицу, отслеживающие некоторые из наиболее важных потоков данных в организации, которые будут иметь тот тип данных, который вы могли бы использовать больше всего беспокоит. Где находится конфиденциальная личная информация? Где находятся медицинские записи, финансовые документы, некоторые драгоценные камни компании?

И я скажу, что есть разные группы, на протяжении многих лет мы начали придумывать картографирование данных, Мэри, как 15, 20 лет назад в судебных разбирательствах, но есть различные группы, которые подбирали и управляли ими, например, команды по обеспечению конфиденциальности, для соблюдения GDPR, и это также будет обязательным требованием. для других новых законов штата о неприкосновенности частной жизни, которые появились в последние несколько месяцев. Вам придется это сделать, если вам не нужно было это делать для Европы.

Итак, зачем изобретать колесо заново и почему бы не перейти к этим записям и ускорить группу подумать о том, где вам нужно сосредоточить свои усилия на исправлении и подготовке отчетов. Будь то отчитывание перед лицами, которые были затронуты, или регулирующие органы, или просто отчитываться перед компанией: «Эй, угадай что? Это та информация, которая была в этой базе данных, о которой мы раньше даже не знали». Таким образом, это способ не сделать процесс обнаружения киберуглеродов после взлома, а также использовать институциональные знания, которые вы имеете в команде по обнаружению электронных данных, отделах конфиденциальности и т.д. И некоторые компании действительно опережают это и используют 365 для маркирования и разработки сроков хранения.

Но ваш лучший друг — не иметь данных в уязвимом положении, в котором они находятся, и поэтому, в той мере, в какой это может быть инвестицией в упреждающее планирование. Таким образом, не сохраняйте данные за пределами срока их полезного использования для бизнеса. Именно здесь вы задумываетесь о том, можете ли вы бюджетировать некоторые проекты по исправлению ситуации. Очевидно, что вы, вероятно, могли бы изменить организацию, занимаясь этим во всех устаревших системах, базах данных, учетных записях электронной почты, но если вы, как организация, сможете пройти аудит конфиденциальности или аудит раскрытия электронных данных и оценить, опять же, ваши репозитории с наивысшим риском, где, возможно, это ваши репозитории с наивысшим риском информацию о клиенте или записи о состоянии здоровья пациентов, и начнем с малого и итеративного, давайте посмотрим, что вообще есть, и давайте выясним, что необходимо исправить, что значительно превышает график удержания или срок полезного использования, а не на законных основаниях, это будет там, где вы наиболее эффективно управляете фактическое нарушение.

Затем мы уже коснулись ответа и уведомлений, а также о том, как обеспечить бесперебойную и параллельную работу. Реакция на нарушение, опять же, вся — мы могли бы провести целый вебинар по этому вопросу, но цель — ускорить его. Таким образом, в той мере, в какой вы можете использовать свои институциональные знания, как мы уже говорили, привлекать поставщиков к тому, чтобы они могли не только поддерживать судебные процессы, раскрывать электронную информацию, проверять документы, но и умеют ли они быстро идентифицировать эту информацию? Есть ли у них технология? Они используют искусственный интеллект? Будут ли они подкреплять его другими способами очень и очень быстро проверить то, что там есть, и получить эту информацию в руки групп, которые несут ответственность или несут ответственность за любое уведомление о нарушении, имеет решающее значение. Таким образом, чем больше у вас есть продавцы, деловые партнеры и юристы, которые работают на пересечении ИТ, судебных разбирательств, кибер-технологий, все эти группы, которые уже многое понимают, не должны обучаться чему-либо на пути, они хорошо знакомы с вашим бизнесом, с вашими процессами, вашими люди, построили эти доверительные отношения, это может существенно повлиять на успех управления одним из этих событий.

Майкл Сарло

Спасибо, Дженни. Это было здорово. Большое спасибо, Мэри. Многое входит в учебник по реагированию на инциденты. А потоки работы после взлома вне технической части — это то, что даже самым сложным организациям не хватает.

Я хочу отметить одно: мы начали говорить о MSAS и прочем, и, как правило, на основании решения Capital One после их нарушения из Вирджинии ИТ-услуги, приобретенные перед нарушением, а не в связи с юридическим вопросом, технически не покрываются адвокатом/клиентом зонтик привилегий. Таким образом, раздвоение коммуникаций определенным образом и осознание этого в том, с кем вы занимаетесь и как вы строите обязательства в связи с реагированием на нарушение, очень важно для того, чтобы то, что, по мнению отрасли, должно быть привилегированным событием, мы, как правило, считаем, что кибер-это юридический вопрос. Вам нужно убедиться, что вы справляетесь с этим должным образом. Любой из главных тренеров по брешениям очень изощренны в этом, чтобы смягчить эту уязвимость, и это то, что следует помнить о том, что иногда ваше обычное дело не подходит для определенных частей рабочего потока.

Итак, какова процедура обнаружения после взлома? У нас осталось мало времени, поэтому сейчас мы перейдем к этой презентации. Но обычно мы получаем влияющие источники данных, либо сохраняем их на месте, либо напрямую общаемся с субъектами угроз. Обычно они публикуются в каком-то публичном [E-Zines]. Мы вытаскиваем их в инфраструктуру, которая полностью посвящена событиям взлома. Очень важно. Я думаю, что в сообществе поставщиков может быть много данных. Представьте, что у вас есть большое судебное дело в одной базе данных, а теперь в другой, и один набор данных может быть заполнен вредоносными типами файлов. Мы также проводим множество событий нулевого дня. В таких ситуациях у вас нет возможности идентифицировать его.

Итак, главный вопрос заключается в том, есть ли в этом наборе данных конфиденциальные данные на данный момент? И конфиденциальные данные часто будут такими, как PII, PHI, но... вы имеете дело с любыми типами чувствительности бизнеса, интеллектуальной собственностью, контрактами, общениями с клиентами, это тоже очень важно, особенно для людей, которым нужно связаться с нашими клиентами и сообщить им, что произошло нарушение и устранение этих последствий.

Обычно речь идет о некоторых процессах обработки данных. Мы предпочитаем Nuix, в данном случае, особенно там, где нам может потребоваться криминалистический анализ файлов, если у нас есть более изменяющиеся типы вредоносных программ, которые склонны к изменению, хэши MD5 или другие вещи, или мы действительно хотим углубляться в компоненты отдельного файла или с точки зрения расследования, но также для определения определенных типов IOC, которые могут быть встроены в файлы, которые не обязательно являются прозрачными.

На данный момент мы называем «Отчёт об оценке воздействия» на самом деле на высоком уровне, и мы делаем это несколькими различными способами. У нас есть низкоуровневая оценка воздействия, которая действительно происходит сразу, на основе огромной библиотеки регулярных выражений, методов поиска и как с точки зрения содержания, так и с точки зрения доступа к файлам и папкам, которые обогащаются нашим проприетарным рабочим процессом ECA, так называемой ReviewRight Protect Аналитика. А затем мы разработали собственный ИИ, который мы усовершенствовали и оттачивали во многих событиях, которые очень хорошо справляются с идентификацией конфиденциальных данных.

И в этот момент, как правило, тесно сотрудничает... у нас есть наше полностью управляемое предложение, которое приведет вас от нарушения к списку раскрытия информации, скажем так, к списку раскрытия информации, я имею в виду список тех организаций, которые были скомпрометированы, людей, корпораций, их информации, которая была скомпрометирована. Затем мы будем работать с одним из основных поставщиков уведомлений, будь то Equifax, Experian для проверки адресов, а затем уведомления отправляются этим людям. А время работы с HIPAA обычно составляет около 65 дней. И когда эти часы запускаются, обычно это сразу же, как только вы посмотрите на документ. И вы услышите разные вещи о том, когда и где начинаются эти часы, и стратегически важно для очень масштабных нарушений, в большей степени в разных регионах. Очень важно понять, где находятся потенциальные субъекты данных, не только внутри предприятия, но и где они на самом деле живут, откуда и где были собраны их данные и для какой цели. И действительно, возвращаясь к тем системам, которые, возможно, CRM, может быть, система электронных медицинских карт, что, возможно, какая-то другая система часто может служить хорошим показателем того, с чем вы имеете дело с географической точки зрения, с какими регуляторами вы имеете дело.

Этот отчет об оценке влияния ИИ и весь этот рабочий продукт, как правило, затем проходят рабочий процесс, в котором мы статистически проверяем транши документов на основе их попаданий, в частности, с... мы также возвращаем доверительные интервалы, насколько точно компьютер думает об этом, и это стало лучше времени, и мы ищем высокоценные целевые показатели для перехода к интеллектуальному анализу данных, которые обычно называются в области обнаружения электронных данных, анализа и/или извлечения, интеллектуального анализа или извлечения данных. И вы можете заставить очень большие команды работать над этими вопросами, которые на самом деле сопоставляются с различными типами элементов PII, соотнесив их с сущностями.

И вся цель здесь состоит в том, чтобы, по сути, получить дедуплицированный свод списка и, по сути, определить каждую маленькую информацию о вас или обо мне во вселенной данных, откуда и откуда она взялась, и, по сути, возможность дедуплицировать эти элементы метаданных. Здесь речь идет не о дедупликации документов, а о дедупликации более структурированных данных, которые мы собираем. И это очень важно, потому что это становится огромной проблемой больших данных.

Мы используем различные методы обнаружения данных с точки зрения ИИ. Джон, ты хочешь заглянуть сюда на секунду, так как ты главный мастер искусственного интеллекта.

Джон Брюэр

Конечно. Я знаю, что у нас мало времени, поэтому я не буду вдаваться в подробности, но главный вывод этого слайда заключается в том, что мы используем комбинацию старых методов, таких как сопоставление шаблонов Word2Vec, которые в основном используют шаблоны в словах, точнее, шаблоны при расположении слов в документах, чтобы помочь нам получить очень грубое, грубое представление о содержании этого документа, чтобы мы могли сделать более интеллектуальные, компьютеризированные вычеты о содержании в нем и о том, является ли он актуальным или нет.

А затем мы используем множество других моделей, которые используются почти на стадии исследования и только начинают поступать в производство, такие вещи, как GPT, о которых вы, возможно, слышали в новостях, Neo-GPT или трансформаторы, триумвиратные когнитивные модели, что по сути является причудливым способом использования трех различные алгоритмы, позволяющие получать одну и ту же информацию, а затем использовать ее для лучшего результата для наших клиентов. Обнаружение настроений, которое, конечно, изначально было разработано как маркетинговый инструмент, но имеет большое значение в нашей конкретной области для выявления и анализа нарушений. А затем ключевые фразы, не являющиеся сущностью, это опять же ассоциирование людей с названиями и возможность использовать их взаимозаменяемо таким образом, чтобы человек мог использовать эти данные в гнусных целях. Например, возможность сказать, что ссылка на главного ученого по данным HaystacKid также была отсылкой к Джону Брюэру.

Хорошо, Майк, думаю, в этом и есть основные моменты.

Майкл Сарло

И то, что мы можем вернуть наших клиентов — и это действительно в любом случае, когда вам нужно идентифицировать конфиденциальные данные, с трансграничными проблемами, которые у вас есть конфиденциальные данные только в общем судебном процессе, может быть, не существует защитного ордера, возможно, его нужно будет отредактировать. Высокая конфигурируемость, это просто стоковая графика, на самом деле у меня есть серия панелей мониторинга и жесткие полевые данные, которые позволяют и облегчают невероятный объем рабочего процесса, связанного с работой с данными конфиденциальности, и если кто-то заинтересован в том, чтобы узнать больше об этом, просто свяжитесь с командой HaystacKid, мы будьте рады показать вам демонстрацию и ознакомить весь рабочий процесс как в контексте нарушения, так и для любого типа общего взаимодействия eDiscovery, в которых вы имеете дело с конфиденциальными данными.

С точки зрения обзора, мы находимся в дистанционном обзоре около 10 лет, когда удаленные рецензенты были искусственными, и теперь мы были хорошо позиционированы для COVID, так сказать. У нас всегда были технологии, где на самом деле у нас есть веб-платформа, на которой мы организуем наших рецензентов, управляем ими, а любой рецензент, приходящий на наше предприятие, на самом деле проверяется на их способность рецензировать. Здесь важно, потому что технически нарушение иногда может не требовать лицензии или требований адвоката, вы не обязательно делаете юридические звонки, поэтому вы увидите, что иногда бывает очень низкими ценами, это могут быть параюрилы, студенты юридического факультета или, возможно, оффшоры. И убедиться, что эти люди по-прежнему являются хорошим рецензентом и понимают понятия о конфиденциальных данных, крайне важно. Итак, мы разработали специальный тест и стенд экспертов, экспертов по конфиденциальности в этой области как неадвокатов, так и адвокатов, страховые компании технически не хотят платить за адвокатов в некоторых сценариях, поэтому иногда вам нужно, чтобы на предыдущей стороне, со стороны юридической фирмы, вам нужно понимать различия между обоими. Но использование тестирования может привести к действительно высокому качеству продукции.

Кроме того, для всех наших обзоров мы всегда начинаем с анализа калибра, то есть мы получаем репрезентативную выборку данных, которая кодирована руководством группы проверки, руководителями проверок, консультантами, а затем и рецензентами. Мы сравниваем их и проводим восстановительные раунды, и это отличный способ на раннем этапе привить команды к данным, чтобы все были в соответствии с протоколом и тем, что они делают. Я рекомендую это для любого обзора, большого или маленького. Это действительно отличный способ предотвратить обычный цикл обратной связи, который может произойти через неделю, когда пакеты контроля качества наконец станут доступны, или особенно для очень быстро движущихся вопросов, когда команда по обзору вращается через день, и вы снимаете документы из двери три или четыре дня спустя, и на самом деле нет соответствующие петли обратной связи между адвокатом и поставщиком, таким как HaystacKid, чтобы все согласовывались.

Очень важен рабочий процесс. Дедупировать уровень предмета, сокращая численность населения, невероятно важно. Мы хотим иметь возможность выборки наборов документов, которые часто не попадают на ИИ, по типу файла, пути, и мы хотим использовать методы статистической выборки для вырезания этих документов. Точно так же мы хотим отбирать различные транши карманов, которые действительно влияют на условия или ИИ, чтобы узнать, работают ли они должным образом, и мы будем принимать решения по продвижению на основе этого и документировать все, особенно при сокращении рабочих процессов это очень важно.

Все типичные материалы, анализ домена, дедупликация на уровне элементов, опять же, нет причин снова и снова смотреть на один и тот же документ с точки зрения вложений, используя анализ поисковых терминов вне контекста, это типичные строки обнаружения конфиденциальных данных. Кроме того, мы называем документы LDS или действительно большие файлы Excel, файлы базы данных. Мы не говорили о базах данных и о том, как мы с ними справляемся. Это еще один вебинар по передовым технологиям, на который мы могли бы углубиться. Но обратите внимание, что это может быть главным гаечным ключом, и они всегда присутствуют, особенно если у вас есть базы данных, которые могут содержать сотни тысяч отдельных объектов. Это нужно снова объединить с населением, единственным списком людей, которые также извлечены из документов, так что вы действительно делаете две вещи. Дедупировать не в процессе обнаружения электронных данных, это происходит больше в базах данных типа больших данных, Hadoop, Google, Bitquery, тому подобное. Мы используем различные методы в зависимости от размера и масштаба данных и количества отдельных полей, которые необходимо дедупировать, как правило, в иерархическом порядке. Таким образом, вы можете объединить социальные сети — начать вход и имя, а также номер медицинской карты, и вы начинаете добавлять вещи, чтобы получить более глубокое и глубокое понимание. И у разных поставщиков здесь будут разные успехи. Мы видели много данных и написали довольно много кода, чтобы очистить эти данные, чтобы получить лучшие результаты дедупликации.

И в целом, мы проходим процесс, в котором мы должны идентифицировать, как правило, пытаясь увидеть документы в целом, которые подходят для уведомления. Обычно это классифицируется каким-то образом, может быть много разных способов — множество различных полей метаданных, которые мы заполняем. Существует массовое извлечение точек данных, которые могут продолжаться программно. Если мы получим повторяющиеся формы, подобные тому, мы можем вернуться к CRM или другим базам данных, которые могут находиться на месте у клиента, и решили бы фактически выгнать необработанные документы, которые мы, возможно, рассматриваем в пользу более структурированных данных, откуда могли быть созданы данные, которые мы рассматриваем. Если это PDF-файл, который ежедневно отправляется с кучей информации о клиентах, вам лучше вернуться на платформу. И тонна контроля качества происходит на разных уровнях как на стороне обзора, так и в области науки о данных, и это невероятно важно с технической стороны.

Таким образом, у вас гораздо больше технических притоков, которые анализируют данные, нормализуют данные, работают с рецензентами, чем в обычном обзоре, ориентированном на раскрытие электронных данных.

Конечно, отчетность здесь полностью настраивается, и мы сосредоточены на представлении отчетов по различным категориям PII, которые мы видим. Кроме того, в ситуациях, когда у нас много прикрывающих организаций, например, BaaS, где одно нарушение на самом деле представляет собой 50 нарушений, потому что у вас были лица, которые подписывают роботизированные контракты и не знали, на что они вступают в свои договорные обязательства. Теперь вы должны отчитываться по отдельности перед теми организациями, которые могли быть заражены. Иногда структурирование этих отчетов на этом уровне, для тех, кто должен получать уведомления в качестве бизнес-партнера, а затем субъекты данных этих категорий могут быть очень полезными.

Здесь происходит много нормализации. Мы говорим о нормализации, мы подразумеваем стандартизацию данных. Таким образом, вы получаете имена, фамилии, первые имена, все это действительно позволяет получить гораздо лучшие результаты дедупликации, используя различные методы в зависимости от данных. Здесь может быть очень сложно, когда вы начнете получать адреса из Ирландии, которые описывают небольшой дом в конце улицы, а не то, как мы склонны думать о них здесь, в США. Таким образом, вы можете оказаться в разных рабочих потоках, совершенно разных в зависимости от географических регионов, из которой поступают данные.

И затем, конечно, статистическое измерение, подтверждение этих результатов. В этом есть концепция пропорциональности, и это своего рода сжимание бобов, пока вы не получите каждый выпад. В некоторых сценариях некоторые тренеры по брешениям имеют разные точки зрения на это, и это действительно юридическое определение — с точки зрения риска, насколько далеко вам нужно пройти. Вы можете сидеть там и массировать эти списки до конца времени, когда вы начнете работать с сотнями тысяч фрагментов данных об отдельных людях, но в определенный момент это происходит. Нормализация имени очень сложна. Вы слышите, как люди просят об этом совсем немного, но никто не хочет запутать чье-то имя, чтобы их PII смешались с кем-то другим, они не получили письма, это большая проблема. Мы разработали некоторые технологии, чтобы частично помочь нам, но юридические команды, как правило, стесняются в последний момент, когда вы начинаете просить их договориться о доверительных интервалах, марже ошибок и тому подобное. Это просто не компортировать.

И нет ИИ, который волшебным образом мог бы просто пройти через набор данных и автоматически связать все различные элементы человека с кем-то. Итак, мы постоянно задаем этот вопрос. Самое главное, чтобы уйти отсюда и начать думать об ИИ в контексте утечки данных, это то, что он является мультипликатором силы для людей, и, как правило, это то же самое в случае eDiscovery. Вам все равно понадобится тонна рабочей силы. В некоторых случаях процесс может быть автоматизирован определенными способами, просто структурируя обзор и максимально усложняясь, как и любое другое участие, и провев рабочий процесс, протестированный в бою. Работа с тем, у кого есть документированные рабочие процессы, документальные книги и документированные рабочие продукты, основанные на результатах работы, отчеты о защите — это то, что вы можете показать вам, что вы вернетесь, если решите участвовать в полностью управляемом или частично партнерском процессе.

Это, друзья мои, последний слайд, и я собираюсь вернуть его Робу. У нас был один вопрос. Я не знаю, будет ли у нас время для одного из них, но кто-то спросил нас: «Итак, какие хорошие инструкции помогут обнаружить попытки фишинга и программ-вымогателей, которые являются опытными подделками? Мы не можем сказать, что они никогда не должны применять свои полномочия при обстоятельствах. Какая здесь наилучшая практика?»

Ну, лучшая практика, в общем, заключается в том, что вы получаете что-то по электронной почте, запрашиваете ваши учетные данные, а не нажимаете на него. Всегда следует проводить анализ ссылки, навести курсор мыши, если она выглядит подозрительно, скорее всего, это подозрительно. Я никогда никогда не нажимаю на ссылку любого крупного розничного продавца, любого аккаунта, который я знаю, что у меня есть, чего-нибудь. Я бы, по сути, возвращался на сайт сам, обычно используя приложение или просто заходя на сайт, и я бы заходил туда.

Здесь много тренировок. Мы проводим множество симуляций здесь, в HaystacKid. Мы получаем поддельные фишинговые письма, вы должны сообщать о них, и именно так мы заботимся о том, чтобы наши сотрудники прошли обучение. Здесь важно проявлять бдительность. Даже самые искушенные люди могут быть уязвимы перед этим. Мы видим, что многие из них поступают с помощью текстовых сообщений, верно, но есть бесплатные тренинги, Google предлагает здесь некоторые из них, а также запускает полноценные программы обучения по обнаружению фишинга. В интернете много. Я настоятельно рекомендую любой организации, у которой может не быть бюджета, развернуть больше корпоративных учебных программ, видеороликов, всего прочего, тестирования.

Нужно просто предположить, что в некоторых случаях все плохо, и держаться подальше от этого. Джон и Джон, наверное, это для вас. Наверное, мы можем потратить на это всего минуту, чтобы поговорить об этом. Но у нас здесь есть еще один.

«Мы готовим миграцию в облако, когда речь заходит о резервных копиях и программах-вымогателях, неизменяемое хранилище, включая резервные копии, которые не доступны администраторам, становится актуальной темой. Можете ли вы обсудить, пожалуйста?» Безусловно, отнимать административный доступ к нашим администраторам здесь, в HaystacKid, безусловно, было очень актуальной темой.

Просто для того, чтобы там трубу. Вперёд, Джон и Джон, какой совет вы можете дать нам?

Джон Брюэр

Таким образом, я могу сказать, что неизменяемое хранилище обычно слышно в связи с резервными копиями, и это относится к 60-х или 70-х годах, когда у нас были записи много лент для чтения или WORM. Я не уверен, что это особенно применимо к программ-вымогателям, поскольку эти резервные копии обычно доступны администраторам в контексте чтения, потому что в противном случае они не будут полезны в случае аварийного восстановления. Предотвращение доступа к ним для записи, безусловно, удобно для предотвращения злоумышленника от программ-вымогателей и фактического шифрования этих резервных копий, что является наихудшим сценарием с точки зрения эксплуатации, когда вы вымогали как производственную систему, так и резервные копии.

Но Джон, вы хотели прокомментировать это немного больше?

Джон Уилсон

Конечно, об этом много говорят, но с другой стороны этой монеты она помогает защитить резервные копии после их существования. Проблема в том, что если в резервные копии записываются зашифрованные данные, это не очень помогает.

Майкл Сарло

И позвольте мне сказать одно здесь: мы переходим к таким многочисленным организациям, которые являются крупными предприятиями, очень сложными, и когда приходит время получить доступ к резервным копиям, они сломаны, или они даже не могут быть восстановлены каким-либо образом, или они никогда не смогут быть восстановлены в течение определенного периода времени. разумно. Мы постоянно это видим.

Таким образом, вы никогда не знаете, насколько хороши ваши резервные копии на самом деле. Так что, просто о чем подумать, в общем, не связанном с этим.

Джон Брюэр

Итак, единственный момент, который я хотел сделать, я не уверен, что раньше это то, что неизменяемое хранилище не избавляет вас от выкупа ваших данных, потому что до тех пор, пока эти резервные копии все еще доступны, кто-то может украсть эти резервные копии и использовать их для атаки постыда данных или для атаки на организации, имея эти данные в отличие от шифрования.

Майкл Сарло

Спасибо, ребята. Хорошо, хорошо, большое спасибо вам, ребята. Мы очень ценим это. Пожалуйста, не стесняйтесь обращаться к любому из нас, по имени, фамилии, HaystacKid.com, мы будем рады поделиться, сотрудничать, преподавать, обучать, учиться у вас.

Я собираюсь начать это для Роба Робинсона, чтобы закрыть нас. Еще раз спасибо, мы очень ценим это. Спасибо.

Закрытие

Большое спасибо, Майк, и спасибо всей команде, а также нашим сторонникам из EDRM и ACEDS. Напоминаем всем, кто звонит, копия слайдов презентации доступна на вкладке под вашим текущим окном просмотра, а версия презентации по запросу будет доступна вскоре после окончания сегодняшнего разговора. Кроме того, мы хотим поблагодарить всех и каждого из вас, кто успел присутствовать сегодня. Мы знаем, насколько ценно ваше время, и мы, безусловно, благодарны за то, что вы поделились им с нами сегодня.

И последнее, но не менее важное: мы надеемся, что у вас будет возможность посетить нашу следующую образовательную веб-трансляцию. Он запланирован на 15 сентября в полдень по восточному времени и будет назван «Нарушения, ответы и вызовы: основы кибербезопасности, которые должен знать каждый юрист». Мы надеемся, что вы сможете принять участие.

И еще раз благодарю вас за участие сегодня, и это официально завершает сегодняшнюю веб-трансляцию. Пожалуйста, отличного дня.

НАЖМИТЕ ЗДЕСЬ, ЧТОБЫ ЗАГРУЗИТЬ СЛАЙСЫ ПРЕЗЕНТАЦИИ

2021.08.11 - HaystacKid - Обнаружение киберугровых инцидентов в ответ на инциденты с программ-вымогателем — Веб-трансляция августа 2021 года - ФИ

НАЖМИТЕ ЗДЕСЬ, ЧТОБЫ ПОСМОТРЕТЬ ПРЕЗЕНТАЦИЮ ПО ТРЕБОВАНИЮ

О компании HaystacKid™

HaystacKid — это специализированная компания по предоставлению услуг eDiscovery, которая помогает корпорациям и юридическим фирмам безопасно находить, понимать и изучать данные при проведении сложных и интенсивных расследований и судебных разбирательств. Компания HaystacKid мобилизует ведущие в отрасли услуги киберобнаружения, решения для управления предприятиями и предложения по раскрытию юридических данных для обслуживания более 500 ведущих мировых корпораций и юридических фирм в Северной Америке и Европе. Компания HaystacKid обслуживает почти половину из списка Fortune 100 и является альтернативным поставщиком кибер-и юридических услуг, который сочетает в себе опыт и техническое совершенство с культурой обслуживания клиентов «белых перчаток». В дополнение к постоянному ранжированию Chambers компания была недавно названа компанией IDC MarketScape мировым лидером в сфере услуг раскрытия электронных данных и представительным поставщиком в Руководстве Gartner Market Guide по решениям для обнаружения электронных данных 2021 года. Дополнительную информацию о наборе услуг, включая программы и решения для уникальных потребностей юридического предприятия, можно найти на сайте HaystacKid.com.