Breach ‘best practices’: Het is tijd voor incident response op te groeien

Forrester 2015 ‘Planning for Failure “laat zien dat inbreuken zijn zo onvermijdelijk als slecht weer, maar raakt een valse noot als het karakteriseert enterprise organisaties als onvoorbereid.

Geen kristallen bol nodig: rapport van Forrester is niet verwonderlijk iedereen als het verkondigt dat iedereen geschonden, zijn waarschijnlijk geschonden nu, of zullen binnen afzienbare tijd worden geschonden. En, helaas, we zijn niet verrast toen het rapport informeert ons dat de meeste inbreuken zijn zelfs niet ontdekt door de geschonden partij.

De whitepaper, opgesteld in samenwerking met Veracode, vond dat het mot een kwestie van of, maar wanneer enterprise orgs een ernstige cyberaanval zal lijden – en dat 60 procent van de ondernemingen zal een breuk lijden in 2015.

Waarom hebben veel boards vertrekken IT-beveiliging in de eerste plaats om de veiligheid technici, en waarom kan niet techies overtuigen hun boards om schaarse geld te besteden aan de bescherming van informatie van belanghebbenden? Wij bieden aanwijzingen over hoe de IT security governance gap te sluiten.

“Planning” raakt ook de spijker op de kop toen het laat zien dat geklungel insluiting en botching het incident response veroorzaakt meer schade dan de hacks zelf, kost miljoenen aan verloren zakelijke en kansen, verpest de reputatie van de organisatie, en rekken tot operationele verliezen.

Maar het rapport mist de dartbord helemaal als het gaat ervan uit dat enterprise organisaties lijden in opruimen omdat – het verslag suggereert – dat veel orgs niet over een incident response plan op zijn plaats.

De planning “vertelt ons,” Incident response is een van de meest over het hoofd gezien gebied van informatiebeveiliging. Het is onmogelijk om iedere overtreding te voorkomen, en als ze zich toch voordoen, S & R pros vinden zichzelf onvoldoende voorbereid om te reageren.

Het is gemakkelijk om het verslag te lezen en weg te lopen denken dat iedere overtreding is een Sony-stijl aanval, het vangen-tech uitgedaagd Hollywood beheer door verrassing. En het is gemakkelijk voor velen om te denken dat zelfs een kolos als Target (een andere grote breuk genoemd in het rapport) had slechts hun oma aftands oude incident response plan in de plaats.

Veiligheid; Witte Huis benoemt eerste Federal Chief Information Security Officer, veiligheid, Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond, veiligheid, Chrome etikettering HTTP-verbindingen beginnen als niet-veilige, veiligheid, de Hyperledger Project groeit als gangbusters

Na het citeren van gegevens op een algemeen gebrek aan hogere uitgaven voor incident response na een overtreding, “Planning” lijkt dit een indicatie van de onderneming orgs hoeft te worden opgeleid over vaststelling van de plannen in de eerste plaats te vinden. “Zonder een goed plan in de plaats van tevoren,” aldus het rapport, “het is uiterst moeilijk om te bevatten of te stoppen het incident eenmaal gedetecteerd en de juiste forensisch bewijsmateriaal te bewaren, terwijl u helpen herstellen van IT-diensten.

Verrassend genoeg, zelfs bij die ondernemingen die al een inbreuk hebben geleden tijdens de afgelopen 12 maanden, slechts 24 procent van de veiligheid van het netwerk beslissers rapporteren toegenomen uitgaven op hun incident response programma als gevolg (…)

Om effectief te zijn, moet u een lopende incident management programma waarmee je de potentiële risico’s te identificeren, zodat u passende reactie plannen kunnen maken, die plannen te testen, en houd ze stroom vast te stellen.

Incident response is een van de meest over het hoofd gezien gebied van informatiebeveiliging. Het is onmogelijk om iedere overtreding te voorkomen, en als ze zich toch voordoen, S & R pros vinden zichzelf onvoldoende voorbereid om te reageren.

Dit is allemaal prima – tenzij je een van de vele organisaties die wel een plan, heel erg bedankt. Die, als het gebeurt, is het meeste enterprise organisaties.

IT-mensen zijn niet first responders. First responders zijn opgeleid voor de crisis en de ramp, IT-mensen niet.

Murray vertelde de website, het is niet dat de meeste plaatsen hebben geen incident response plannen – in feite, heeft hij nooit een organisatie die niet hadden ontmoet. Hij zei: “Sommigen zijn verouderd, maar ze hebben allemaal IR plannen.”

Dus de vraag die we zouden rapport van Forrester had willen antwoorden, op de top van al zijn bitterzoete gegevens over falen, was niet “waarom zij niet aan een IR-plan? ‘ – Maar in plaats daarvan, “waarom zijn hun IR plannen niet?

Murray zei dat in zijn ervaring het doen incident response, niet alleen heeft elk bedrijf heeft een IR-plan, ze zijn ook bereid om het uit te voeren. Maar toen crisis hits, Murray gevraagd, wat bureaucraat of leidinggevend personeel, of zelfs IT-persoon voor die kwestie, bereid zijn om echt te handelen in een crisis?

IT-mensen zijn niet first responders “, zei Murray point-blank.” We zijn niet bereid om te reageren onder stress als een brandweerman, dat is wat nodig is. First responders zijn opgeleid voor de crisis en de ramp, IT-mensen niet.

De schade als gevolg van schending Target werd toegeschreven aan preventie – maar weinig gezegd over het al dan niet hebben van een badass set van first responders zou de verlengde dance-remix van de schade door iedereen aangeraakt door de aanval leed kunnen verzachten.

Blame ging naar Target verdediging perimeters en bleef daar, terwijl de kak bergop werd uitgerold. Volgens het rapport van de Amerikaanse Senaat op de overtreding, “Doel gemist informatie die door zijn anti-inbraak software over ontsnappingsplan de aanvallers ‘, waardoor aanvallers om zo veel als 110 miljoen klantgegevens te stelen.”

In een ongekende stap, de invloedrijke proxy adviseur Institutional Shareholder Services (ISS) aanbevolen aan de aandeelhouders te verwijderen zeven van de 10 leden van de raad van bestuur Target’s. In haar verklaring aan investeerders, ISS zei: “Het lijkt erop dat het falen van de commissies om geschikte behandeling van deze vormen het decor voor de inbreuk, wat heeft geleid tot aanzienlijke verliezen voor de onderneming en haar aandeelhouders risico’s te verzekeren.”

Murray legde uit dat een groot deel van het verbreken kan worden gevonden in de exacte middelpunt Forrester maakt, dat het management wordt gevangen in ervoor te zorgen dat een schending “niet opnieuw gebeurt” – en dat incident response planning en besluitvorming wordt overschaduwd door de notie van preventie als een wondermiddel voor aanvallen.

Zoals big data, het internet van de dingen, en social media spreidden hun vleugels, ze brengen nieuwe uitdagingen voor informatiebeveiliging en privacy van de gebruiker.

De gegevens steunt deze omhoog. Bij de vraag beslissers hoe hun veiligheid uitgaven veranderd binnen 12 maanden na een grote breuk, extra beveiliging en controle-eisen bovenaan de lijst (35 procent), “de veiligheid en / of privacy worden regelmatig geëvalueerd / besproken” (erover) werd tweede voor de uitgaven (32 procent), preventie technologieën werd derde (27 procent) en incident response hinkte in op de vierde plaats (24 procent).

Het is dit denken dat een ‘harm reduction’ aanpak van enterprise security maakt – accepteren dat een inbreuk zal gebeuren, en staking stappen om de schade van de onvermijdelijke door het uitgeven van geld op de reactie op incidenten te minimaliseren – een moeilijk te verkopen.

Hoe ga je het management te overtuigen om meer over incident response uitgeven? Murray uitgelegd aan de website, “Als je strijd te zien als een mislukking … in termen markt, je bent in wezen gokken op de crash. Het is net als het wedden op je eigen falen.”

Forrester “Planning” terecht richt zich met haar tweede helft op coaching beslissers via de uitvoering van een doorlopend programma voor het incident response, niet alleen een brandoefening dat iedereen beoefent twee keer per jaar, maar een soort van levende, ademende, zich ontwikkelende programma dat ook betrekking heeft op niet- IT-personeel en kruisen departementale verdeelt.

In die zin, laatste helft van het rapport heeft een uitstekend advies, dat moet worden aangevuld door het lezen van Veracode’s tipsheet, 5 Best Practices in Data Breach Incident Response.

Na analyse rapport van Forrester is het duidelijk dat het management, beleidsmakers en aandeelhouders moeten hun eigen doen opgroeien en ophouden te doen alsof iedereen kan beloven de komende strijd zal niet gebeuren.

Maar op hetzelfde moment, is het tijd voor incident response om te rijpen in dezelfde richting – en aandringen op training dat iedereen koel en helder in het hoofd toen de crisis raakt houdt.

Witte Huis benoemt eerste Federal Chief Information Security Officer

Pentagon bekritiseerd voor cyber-rampenbestrijding door de overheid waakhond

Chrome etikettering HTTP-verbindingen als niet-beveiligde start

De Hyperledger Project groeit als gangbusters