来自网络攻击的顶尖课程
通过网络弹力的平衡防御是在全国网络安全机构(NCSC)Cyberuk会议上的过去网络攻击的顶级课程中的顶部主题,在格拉斯哥的展望。
商业恢复很重要,Maersk网络安全合规头伦敦·伍德科克表示,丹麦航运巨头是2017年的公司最艰难的攻击,大约有50,000个端点和数千个应用程序和服务器影响。
“组织需要确保他们了解他们的核心业务流程,系统和应用程序,”他说。“从那里,你可以获得他们的关键性以及如何保护和保护它们。”
伍德科克说,这需要平衡预防性和恢复措施。“公司需要致力于假设他们无法阻止每个未来的防止措施,因此需要恢复平衡。
“在保护和恢复方面进行适当投资,公司将自己放在一个更好的位置。”
伍德科克说,马士克的另一个大教训是,间接网络攻击的后果可能与目标攻击造成损害。
“马克斯克和海事行业并不是不受约比的目标,而且还与许多其他国际公司一起,我们是抵押品损害的一部分,这是对许多人来说的叫醒,特别是那些假设袭击的人他说,一定规模和规模总是将被瞄准。“
Cyber安全风险是一个风险管理问题,而不是仅仅是技术人员,董事Gwenda Fong表示,新加坡网络安全机构的战略表示,这参与了向暴露于非医疗的单一的Singhealth管理对2017年违约的回应个人数据为150万人 - 占新加坡人口的25%。
“与各种各样的商业风险一样,网络安全风险需要在适当的水平上管理”,“她说。“网络安全是关于在安全性,系统和成本的可用性之间实现平衡。这是一个需要做出的判断和权衡问题,具体取决于威胁的性质和正在运行的服务的关键性。“
出于这个原因,Fong表示,组织对于提供一份报告结构,该结构支持关键业务领导者在制定网络安全决策,例如资源分配。
Fong表示,当涉及网络防御战略时,组织需要采取防御深度的方法。“这意味着实施更强和多层的安全机制,以保护组织的”皇冠珠宝“,这可能是客户数据,或者在单一的情况下,患者数据。”
行使事故响应计划的需要是小组讨论中的另一个普遍主题。“单一数据泄露表明,通常需要缩小政策与实践之间的差距,”奉。
“组织需要确保地面的实践与网络安全政策的意图相匹配。运行安全运营的运营人员不仅需要熟悉策略和流程,而且还需要内化意图和逻辑,以便他们在出现情况时符合政策的意图。“
她说,这意味着组织需要投资安全政策的发展,以及常规进食培训的运营人员和经常练习。“这些都是一种令人意识到的,他们认为操作人员熟悉事故响应流程的意义上是一种消防训练。”
在网络攻击锻炼规划方面,伍德科克表示他对组织的建议是“思考大”。“不要为小事做准备,”他说。“为巨大的事件做好准备,这不一定是技术事件,而且在您的核心团队中不会得到解决,而且涉及在整个组织以及供应商之间工作。”
向英国网络安全机构的角度来看,NCSC通讯总监尼克·哈德森(NCSC)通信总监,表示,处理网络攻击的多年表明,准备和行使事件响应计划至关重要。
“这是关于知道谁在做他们所扮演的角色,”她说。“这非常重要。组织需要考虑所有利益相关者以及如何照顾您的员工,因为网络攻击很少发生在方便的时间,而且它们通常不会迅速结束。他们有时可能需要几天和几周来解决,并且事件响应计划需要考虑到人们疲倦和饥饿。“
网络攻击期间的通信作为小组讨论中的另一个关键主题。奉式,单一数据泄露强调了与主要利益相关者的早期和准确沟通的必要性。
“公众被告知单一的单独数据违反事件后10天后的事件[新加坡网络安全机构],”她说。“在那段时间内,我们在网站上有一个团队帮助单一的Singhealth包含事件并重建攻击,并究竟是什么数据被剥夺了,以便我们可以确认没有修改或删除医疗记录。
“我们不得不平衡迅速沟通的必要性,需要管理危机并获得事实。”
哈德森说,另一件重要的事情是,哈德森,这是攻击或违约之旅的沟通不仅仅是媒体。
“它必须处于最广泛的通信感,因此它还有关内部通信,以保留员工通知和潜在的监管机构,受违规和供应商影响的人员,”她说。“你需要知道你将如何与他们沟通。”
Hudson表示,组织内的Comms在弥合利益相关者的各个社区方面也具有重要作用。“他们需要不断提出问题,以确保对正在发生的事情以及受影响的情况进行了共同的理解,这是一切都是一致的,有意义,而且所涉及的每个人都在同一页面上。”
在与媒体沟通关于网络事件的沟通方面,哈德森鼓励组织与NCSC联系以进行支持。“NCSC可以成为处理事件和媒体的组织之间的桥梁,”她说,如果它是一种网络攻击,通过涉及NCSC,该机构可以与组织合作,不仅可以将消息送到邮件媒体,还要减轻攻击的影响,并将事件翻译成需要完成的,谁需要知道。
“我们将与您合作成为可信赖的顾问,”她说。
在单一的Singhealth Breach之后,奉献者说,调查人员能够重建攻击,看看凭借良好的,全面的数据日志迅速发生了什么。“我们真的很幸运,因为我们对单身数据库有很好的日志,”她说。
“它看起来很简单,但它是非微不足道的。我不能过于强调数据库日志帮助调查团队很多。良好的家务用途增强了事件回复。“
NCC集团首席技术官Ollie Whitehouse表示,良好数据的可用性是网络安全事件响应者所面临的主要挑战之一。
“及时时尚的好的日志的可用性至关重要,”他说。“但是有许多组织不能让您能够进入其遗产以及发生的事情 - 并且真的挫败了调查。”
怀特豪斯表示,第二次普通挑战是,无能为力地应对事件,例如能够快速锁定事物。
“第三个挑战是供应链,”他说:“特别是在您需要供应商的合同限制的地方,无论是在给客户端时尚时尚还是允许事故响应公司等第三方访问他们的系统为了保护更大的实体。
“只有这三个问题解决这三个问题将使组织能够拥有更有效的回应。特别是当事情来到清淡的几个星期,几个月甚至几年后,因为由于缺乏数据而无法回进,因为你必须向监管机构或股东报告时,这可能会非常令人沮丧。“
出于这个原因,Whitehouse表示,对于在攻击网络攻击时,将允许与服务级别协议(SLA)迅速获取的合同进行合同,这是一个重要的合同。
“如果供应商变得阻碍,则您有一个合同手段要重新开始,以便迫使他们的手,防止他们难以实现所需的数据,”他说。“如果您可以在合同中建立前面,您的期望将是在什么时间范围和谁联系的情况下,这可能非常光滑。”
吉姆斯科特州国家犯罪机构国家网络犯罪单位(NCCU)副主任Jim Stokley表示,从执法角度来看,涉及网络攻击的最重要的事情之一是向警方报告警方。
“组织可以放心,通过向警方报告事件,没有任何信息将与监管机构分享,”他说。“你是犯罪的受害者,我们将被视为机密的信息。
“但报告这一事件很重要,因为它使我们能够适应和响应威胁以及能够调查它,并且任何所得起诉都可以作为未来对网络犯罪分子的威慑作用。因此,我鼓励所有受网络攻击袭击的组织,以向警方报告那些事件。“