您刚刚了解到,整个团队最喜欢的工具(您的共享生产力套件,设计平台或CRM)已被黑客入侵。这是您的团队喜欢的那个。您认为是安全的。现在?您正在凝视潜在的数据泄漏,客户信任问题和操作混乱的桶。
呼吸。您并不孤单 - 这不是道路的尽头。
这是下一步要做的事情(最好是在恐慌设置之前)。
步骤1:确认违规行为(不要依靠谣言)
首先,检查官方频道。供应商通常会陈述其状态页面,博客或安全中心。监视他们的官方社交手柄和检查平台,例如我被击中了以查看用户凭证是否泄漏。
还不清楚吗?直接联系您的客户经理或供应商支持(或使用您喜欢的工具)获取确认和详细信息。
步骤2:锁定并限制损坏
一旦确认违规:
•重置连接到平台的所有凭据
•撤销API访问和OAuth代币
Okta或1个PA SWORD之类的工具来强制执行安全的身份验证和密码旋转
•临时关闭与其他平台的集成以防止级联故障失败
您使用自己喜欢的工具行动的速度越快,包含辐射的机会就越大。
步骤3:与您的团队交谈(透明度=信任)
您的本能可能是“首先修复,以后告知”。不。这只会产生不信任。
反而:
•让您的团队知道发生了什么以及正在采取什么步骤
•向他们提供有关他们需要做的事情的清晰,平静的说明,例如更改密码,避免可疑电子邮件以及暂时停止使用该工具的使用
•通过Slack,Teams或您的内部Wiki共享实时更新。
步骤4:审核,然后评估爆炸半径
最初的伤害控制后,挖掘到日志:
•访问或泄漏了哪些数据
•受影响的用户
•涉及客户记录
•是任何代码或IP删除的
如果您使用Splunk或Datadog安全性(例如,利用它)以获取任何异常的可见性。
合并您的法律和合规团队,尤其是如果您的公司受GDPR或HIPAA等法规的约束,并咨询您最喜欢的工具,以与监管机构或客户管理披露要求。
步骤5:计划下一个(可悲的是,将会有下一个)
安全不是一劳永逸的。一旦尘埃落定,就该发生严重的尸体了。问:
•我们需要迁移到更安全的替代方案
•我们的供应商是否具有SOC 2或ISO 27001合规性
•我们需要更好地分割我们的内部工具
•我们如何改善检测和响应时间
还考虑:
•设置一个错误赏金程序以主动发现漏洞
•采用零信托安全模型(那是什么?)
你没有无能为力 - 你现在准备了
网络攻击已成为数字生活的一部分。但是,将有弹性的团队与嘎嘎作响的团队区分开来的是他们的反应。通过快速移动,清晰地进行交流,并使用您喜欢的工具来重新考虑长期的安全性,您不仅会对黑客做出反应,而且还可以防止您的业务。
因此,是的,您最喜欢的工具可能会被打破。但是你的团队?比以往任何时候都强。
