Wycieki danych stały się codziennością. Mogą się zdarzyć w każdej firmie czy instytucji, a w wielu przypadkach ich konsekwencje są bardzo poważne nie tylko dla organizacji zaatakowanych przez cyberprzestępców, ale także dla ich klientów oraz kontrahentów. W tym artykule przyjrzymy się zalecanym działaniom pozwalającym na skuteczne obsługiwanie takich incydentów.
Nagłówki medialne dotyczące kolejnych wycieków dotykają zaledwie wierzchołka góry lodowej i najczęściej nie oddają złożoności problemu. Handel danymi to bardzo rozbudowany i rozległy proceder, który obejmuje różne rodzaje informacji, wewnętrzne dokumenty skradzione w wyniku cyberataków lub działań nielojalnych pracowników, usługi dające dostęp do sieci firm, a nawet dane logowania określonych osób do konkretnych zasobów. Wszystkie rodzaje wycieków stanowią poważne zagrożenie dla bezpieczeństwa informacji, reputacji oraz odporności firm na kolejne cyberataki. Jak zatem organizacje mogą chronić się przed konsekwencjami kradzieży danych?
- Działania przygotowawcze i proaktywny monitoring
- Analiza
- Weryfikacja i reakcja
- Opanowanie sytuacji lub zmierzenie się z konsekwencjami
- Pozbycie się podatności i powrót do funkcjonowania
Działania przygotowawcze i proaktywny monitoring
Jednym z działań zapobiegawczych może być monitoring dark webu w poszukiwaniu wzmianek o zasobach firmy, takich jak nazwy technologii, produktów, domeny, adresy IP itd. Aby takie zadanie było efektywne warto rozważyć jego automatyzację poprzez zastosowanie wyspecjalizowanej usługi i zintegrowanie jej z firmowym systemem SIEM i/lub SOAR. Dzięki takiemu podejściu firma będzie automatycznie i na bieżąco otrzymywała alerty dotyczące pojawienia się na czarnym rynku cyberprzestępczym związanych z nią informacji.
Analiza
Pierwszym krokiem po otrzymaniu alertu powinna być weryfikacja autentyczności zagrożenia – należy sprawdzić, czy opublikowane dane rzeczywiście pochodzą z firmy i czy nie są dostępne publicznie. Poza wstępnymi wskaźnikami ataku warto także przeanalizować samego cyberprzestępcę, np. poprzez przejrzenie jego aktywności w dark webie i sposobu w jaki odpowiada w różnych wątkach na forach. Ułatwi to weryfikację, czy mamy do czynienia z prawdziwym wyciekiem, a nie np. działaniem mającym na celu łatwe wyłudzenie okupu.
Weryfikacja i reakcja
Kolejnym działaniem jest potwierdzenie incydentu poprzez ocenę potencjalnych szkodliwych działań w systemach firmy. Reakcja na incydent będzie zależała od rodzaju włamania – może to być np. kradzież danych, wystawienie na sprzedaż dostępu do infrastruktury czy wyciek haseł. Jeżeli incydent zostanie jednoznacznie potwierdzony, należy niezwłocznie poinformować o nim wszystkie zainteresowane strony – kadrę zarządzającą, organy regulacyjne, klientów oraz kontrahentów. Po zastosowaniu niezbędnych środków łagodzących, takich jak zmiana wszystkich haseł, warto rozważyć proaktywne przygotowanie publicznego stanowiska we współpracy z działem prawnym i prasowym. Ułatwi to komunikację z zainteresowanymi stronami oraz mediami.
Opanowanie sytuacji lub zmierzenie się z konsekwencjami
Gdy wszystkie zainteresowane strony uzyskają wiedzę o incydencie, kolejnym krokiem będzie rozpoczęcie szczegółowego dochodzenia poprzez analizę dotkniętych systemów IT oraz użytkowników. Konieczne jest zidentyfikowanie przyczyny wycieku oraz upewnienie się, że cyberprzestępcy nie mają już dostępu do systemów. Prace dochodzeniowe muszą obejmować wszystkie naruszone informacje, konta i dostępy. Bardzo przydatnym narzędziem będzie w tym przypadku rozwiązanie XDR dające dostęp do jeziora danych, w którym zapisywane są wszystkie zdarzenia mające miejsce na punktach końcowych w firmowej sieci.
Może się okazać, że incydent miał miejsce dawno temu, a jedynie sama publikacja wykradzionych danych miała miejsce w ostatnich dniach. Takie przypadki też wymagają natychmiastowych działań. Na przykład, stare zhakowane konta w dalszym ciągu mogą stanowić zagrożenie, gdy ich hasła nie zostały zmienione lub zastosowano je w innych elementach infrastruktury. Jeżeli informacje z określonego konta wyciekły w wyniku działania szkodliwego programu kradnącego dane, może się okazać, że urządzenie użytkownika w dalszym ciągu jest zainfekowane, w związku z czym zagrożenie jest aktywne.
Pozbycie się podatności i powrót do funkcjonowania
Na tym etapie firma powinna zająć się przyczynami, które doprowadziły do kradzieży danych. W zależności od rozpatrywanego przypadku może to oznaczać wyeliminowanie luk w zabezpieczeniach, zmianę haseł czy usunięcie obecności cyberprzestępców z systemów.
Jest to także dobry moment, by rozważyć, czy stosowane dotychczas rozwiązania bezpieczeństwa są wystarczająco skuteczne. Jeżeli w firmie w dalszym ciagu funkcjonuje klasyczny produkt antywirusowy, warto rozważyć rozbudowanie go o mechanizmy XDR oraz EDR i uwierzytelnianie wieloskładnikowe pozwalające na wyeliminowanie haseł. W przypadku bardziej dojrzałych działów bezpieczeństwa IT dobrym kierunkiem jest użycie profesjonalnie przygotowanych danych cyberwywiadowczych oraz interaktywnego sandboxa do analizy szkodliwych programów.