Data Breach หรือ การละเมิดข้อมูลมีให้เห็นทั่วข่าวเมื่อเร็ว ๆ นี้ การทำความเข้าใจวิธีการป้องกัน และสิ่งที่ควรทำเมื่อเกิดขึ้น ถือเป็นสิ่งสำคัญต่อความสำเร็จในการดำเนินงานของทุกองค์กร

องค์กรที่มีการเตรียมพร้อมอย่างดีมีแผนตอบสนองต่อเหตุการณ์ (IRP) ที่พร้อมปรับใช้ในกรณีที่มีการละเมิด แผนเหล่านี้เกี่ยวข้องกับการสื่อสารกับที่ปรึกษากฎหมายทันที ตามด้วยการมีส่วนร่วมกับทีมตอบสนองต่อเหตุการณ์ SentinelOne สนับสนุนแนวทางเชิงรุก โดยเน้นความสำคัญของการระบุหลักฐานและการเก็บรักษาข้อมูลเพื่อจัดการสถานการณ์อย่างมีประสิทธิภาพ

ในบล็อกโพสต์นี้ ทีม SentinelOne Vigilance Respond ให้คำแนะนำที่สำคัญและแนวปฏิบัติที่ดีที่สุดสำหรับการจัดการการละเมิดที่เข้มงวด รวมถึงแปดขั้นตอนสำคัญในการตอบสนองต่อการละเมิด การตัดสินใจอย่างถูกต้องต่อเนื่องหลังจากค้นพบการละเมิดสามารถช่วยให้ผู้นำองค์กรรักษาความปลอดภัยในการปฏิบัติงานและได้รับการสนับสนุนที่ต้องการ

A Brief Refresher | What Is a Data Breach?

สิ่งสำคัญคือต้องเริ่มต้นด้วยพื้นฐาน: การละเมิดข้อมูลคืออะไรกันแน่? การละเมิดข้อมูลคือการเข้าถึงหรือการเปิดเผยข้อมูลที่ละเอียดอ่อนหรือเป็นความลับโดยไม่ได้รับอนุญาต สิ่งเหล่านี้อาจเกิดจากปัจจัยหลายประการ รวมถึงการแฮ็ก การโจมตีของมัลแวร์ บุคคลภายในที่เป็นอันตราย หรือแม้แต่ข้อผิดพลาดของมนุษย์โดยบริสุทธิ์ใจ ผลกระทบจากการละเมิดข้อมูลที่ประสบความสำเร็จมักเป็นอันตรายและมีผลกระทบในวงกว้าง โดยไม่คำนึงถึงแหล่งที่มา ซึ่งอาจนำไปสู่การสูญเสียข้อมูลส่วนบุคคล การเงิน หรือกรรมสิทธิ์ในระยะสั้น และการสูญเสียรายได้ ความไว้วางใจในแบรนด์ และชื่อเสียงในระยะยาว วิ่ง.

คุณเคยถูกละเมิดหรือไม่? | แปดขั้นตอนถัดไปที่ต้องดำเนินการระหว่างเหตุการณ์ด้านความปลอดภัย

การตอบสนองต่อเหตุการณ์เกี่ยวข้องกับกระบวนการที่มีโครงสร้างซึ่งออกแบบมาเพื่อระบุและจัดการเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ ก่อนที่เหตุการณ์ดังกล่าวจะเกิดขึ้น องค์กรที่มีการเตรียมพร้อมอย่างดีจะร่วมมือกับผู้มีส่วนได้ส่วนเสีย หัวหน้าฝ่ายรักษาความปลอดภัย และหัวหน้าแผนกเพื่อจัดทำแผนผังความเสี่ยงเฉพาะของธุรกิจและอุตสาหกรรม และสร้างแผนการตอบสนองที่ปรับให้เหมาะกับความต้องการของธุรกิจของตน แผนการตอบสนองต่อเหตุการณ์จัดทำเอกสารบทบาทและความรับผิดชอบอย่างเป็นทางการ กำหนดเกณฑ์เกณฑ์สำหรับการกำหนดเหตุการณ์ และแผนสำหรับการกักกัน ความต่อเนื่องทางธุรกิจ และการฟื้นตัวอย่างต่อเนื่อง

เมื่อมีการละเมิดเกิดขึ้น ผู้นำองค์กรจะต้องดำเนินการอย่างรวดเร็วเพื่อรักษาหลักฐานและสนับสนุนการสอบสวนที่มีประสิทธิภาพ ขั้นตอนทั้งแปดนี้เป็นรากฐานสำหรับการตอบสนองที่แข็งแกร่งและมีประสิทธิภาพ

1. ติดต่อที่ปรึกษากฎหมายและทีมรับมือเหตุการณ์

องค์กรจำเป็นต้องสำรวจภูมิทัศน์ที่ซับซ้อนของภาระผูกพันทางกฎหมายและแผนการสื่อสารทั้งภายในและภายนอก แม้ว่ามักจะแตกต่างกันไปตามภูมิภาคหรืออุตสาหกรรม ภาระผูกพันเหล่านี้มักจะเกี่ยวข้องกับการแจ้งผู้ที่ได้รับผลกระทบ แจ้งหน่วยงานที่เกี่ยวข้อง และดำเนินการเพื่อลดการแพร่กระจายและลดความเสี่ยงในอนาคต

นอกจากนี้ บริษัทอาจจำเป็นต้องเปิดเผยรายละเอียดของการละเมิดต่อหน่วยงานกำกับดูแล โดยขึ้นอยู่กับกรอบการปฏิบัติตามกฎระเบียบที่บังคับใช้กับพวกเขา แจ้งให้ที่ปรึกษาภายในหรือภายนอกของคุณทราบเสมอเกี่ยวกับเหตุการณ์ด้านความปลอดภัยทางไซเบอร์ที่อาจเกิดขึ้น เมื่อได้รับคำปรึกษาแล้ว ให้ติดต่อผู้ให้บริการติดตามการตอบสนองต่อเหตุการณ์ของคุณ

2. รักษาจุดปลายที่ได้รับผลกระทบให้ใช้งานได้

แม้ว่าการพิจารณาทางกฎหมายและการปฏิบัติตามข้อกำหนดเชิงรับจะมีความสำคัญทันทีหลังจากเกิดการละเมิด แต่ผู้นำด้านความปลอดภัยยังสามารถใช้แนวทางเชิงรุกโดยอิงจากการเก็บรักษาข้อมูลและหลักฐาน

ในการดำเนินการดังกล่าว อย่าปิดเครื่องปลายทางที่ต้องสงสัยใดๆ ที่ถูกบุกรุก Random Access Memory (RAM) มีหลักฐานอันทรงคุณค่า แต่เมื่อระบบปิดลง RAM นั้นจะหายไปอย่างถาวร

3. ตัดการเชื่อมต่อจากเครือข่าย

ยกเลิกการเชื่อมต่อระบบที่ต้องสงสัยที่ถูกบุกรุกจากเครือข่าย มีสองสามวิธีที่คุณสามารถทำได้:

• สำหรับตำแหน่งข้อมูลที่ใช้งานโดย SentinelOne – กักกันระบบที่น่าสงสัยเพื่อให้สามารถเชื่อมต่อกับแพลตฟอร์ม SentinelOne เท่านั้น
• สำหรับปลายทางที่ผู้ให้บริการรายอื่นปรับใช้ – ตัดการเชื่อมต่อเครือข่ายแบบมีสายและปิดการเชื่อมต่อไร้สายทั้งหมด
• สำหรับปลายทางทั้งหมด – พิจารณาแบ่งกลุ่มเครือข่ายที่ถูกบุกรุกจากเครือข่ายที่ปลอดภัย (เช่น เครือข่ายท้องถิ่นเสมือน (VLAN) และรายการควบคุมการเข้าถึงเครือข่าย (ACL) สิ่งนี้สามารถช่วยในการดำเนินธุรกิจต่อไปสำหรับเครือข่ายที่ไม่ได้รับผลกระทบ

4. ระบุและรักษาหลักฐาน

ระบุแหล่งที่มาของหลักฐานที่เป็นไปได้ในไฟร์วอลล์ทั้งหมด ระบบตรวจจับการบุกรุก (IDS) เครือข่ายส่วนตัวเสมือน (VPN) โซลูชั่นป้องกันไวรัส (AV) บันทึกเหตุการณ์) ตรวจสอบให้แน่ใจว่าได้รับการกำหนดค่าให้เก็บรักษาหลักฐาน และจะไม่ทับบันทึกเก่าๆ โดยอัตโนมัติ

5. รวบรวม IOC และตัวอย่าง

รวบรวมตัวบ่งชี้ที่ทราบของสัญญาณหรือหลักฐานที่บ่งชี้ว่าระบบคอมพิวเตอร์หรือเครือข่ายอาจถูกโจมตี (IOC) และตัวอย่างโค้ดที่เป็นอันตรายทั้งหมด ซึ่งอาจรวมถึงที่อยู่ IP หรือโดเมนที่น่าสงสัย แฮช สคริปต์ PowerShell ไฟล์ปฏิบัติการที่เป็นอันตราย บันทึกค่าไถ่ และรายการอื่น ๆ ที่ทราบหรือน่าสงสัยที่อาจนำไปสู่การสอบสวน

ตรวจสอบและเตรียมการคืนค่าฟังก์ชันการทำงานของเครือข่ายผ่านโซลูชันการสำรองข้อมูล ถ้ามี สิ่งสำคัญคือต้องพยายามรักษาภาพทางนิติเวชของระบบที่ถูกบุกรุกก่อนที่จะกู้คืนภาพที่สะอาด การไม่รักษาหลักฐานดังกล่าวอาจเป็นอุปสรรคต่อการสืบสวนให้สำเร็จ ตรวจสอบให้แน่ใจว่าการสำรองข้อมูลนั้นทำงานได้และสะอาดก่อนที่จะดำเนินการกู้คืนใดๆ

7. พัฒนาไทม์ไลน์

เตรียมไทม์ไลน์ของเหตุการณ์ต้องสงสัยที่ทราบซึ่งจะแสดงเมื่อเชื่อว่าการโจมตีเริ่มขึ้นและกิจกรรมที่เป็นอันตรายที่ระบุล่าสุด

8. ระบุจุดปลายสิ้นสุด

พยายามระบุจุดสิ้นสุดที่แสดงกิจกรรมที่น่าสงสัย โดยเฉพาะอย่างยิ่งด้วยความพยายามที่จะระบุระบบที่ได้รับผลกระทบครั้งแรก (ศูนย์ผู้ป่วย) และแหล่งที่มาของการกรองที่อาจเกิดขึ้น

ทำความเข้าใจขั้นตอนเพิ่มเติมหลังการละเมิด

ผลที่ตามมาของการละเมิดข้อมูลอาจมีความซับซ้อนและยากต่อการจัดการ และอาจต้องใช้เวลาและทรัพยากรจำนวนมากในการกู้คืนจากความเสียหาย โปรดทราบว่าส่วนที่ยากที่สุดของการละเมิดข้อมูลไม่จำเป็นต้องเป็นการเก็บรักษาหลักฐาน การกู้คืนระบบ หรือแม้แต่ผลกระทบทางกฎหมายและทางการเงิน

เมื่อข้อมูลที่ละเอียดอ่อนถูกบุกรุก อาจสร้างความเสียหายร้ายแรงต่อชื่อเสียงของธุรกิจและกัดกร่อนความไว้วางใจของลูกค้า การปฏิบัติตามแปดขั้นตอนเหล่านี้เป็นวิธีที่ดีในการเริ่มฟื้นฟูความไว้วางใจและชื่อเสียงของแบรนด์ แต่โปรดจำไว้ว่านี่เป็นเพียงจุดเริ่มต้นเท่านั้น

การบรรเทาการละเมิดในอนาคต

เพื่อหลีกเลี่ยงการละเมิดข้อมูลในอนาคต องค์กรต่างๆ สามารถมั่นใจได้ว่ามีการใช้มาตรการรักษาความปลอดภัยที่เข้มงวดทั่วทั้งระบบของตน แนวทางปฏิบัติที่ดีที่สุดที่แนะนำ ได้แก่:

• การลงทุนในโซลูชันความปลอดภัยทางไซเบอร์ที่แข็งแกร่ง เช่น Extended Detection and Response (XDR) และ Managed Detection and Response (MDR) ช่วยให้มั่นใจได้ถึงแนวทางการป้องกันแบบองค์รวม

• การใช้วิธีการรับรองความถูกต้องที่เข้มงวด เช่น การตรวจสอบสิทธิ์แบบหลายปัจจัย (MFA) หรือการควบคุมการเข้าถึงตามบทบาท (RBAC) เพื่อป้องกันการเข้าถึงระบบและข้อมูลโดยไม่ได้รับอนุญาต

• ดำเนินการประเมินและการตรวจสอบความปลอดภัยเป็นประจำเพื่อระบุและแก้ไขช่องโหว่

• ตรวจสอบและวิเคราะห์การรับส่งข้อมูลเครือข่ายเป็นประจำเพื่อระบุและตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้น

• การใช้การเข้ารหัสข้อมูลและการควบคุมความปลอดภัยอื่นๆ เพื่อปกป้องข้อมูลที่ละเอียดอ่อนจากการเข้าถึงโดยไม่ได้รับอนุญาต

• การสร้างและสื่อสารแผนการตอบสนองต่อเหตุการณ์ที่กำหนดไว้อย่างดีให้กับผู้นำคนสำคัญทั่วทั้งองค์กรเพื่อรับประกันการตอบสนองที่รวดเร็วและมีประสิทธิภาพเมื่อเผชิญกับการละเมิดข้อมูลที่อาจเกิดขึ้น

• การพัฒนาความร่วมมือกับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์และองค์กรต่างๆ เพื่อเข้าถึงโซลูชันข่าวกรองภัยคุกคามและความปลอดภัยล่าสุด

• ตรวจสอบและวิเคราะห์การรับส่งข้อมูลเครือข่ายเป็นประจำเพื่อระบุและตอบสนองต่อภัยคุกคามที่อาจเกิดขึ้น

• ให้การฝึกอบรมและให้ความรู้แก่พนักงานเกี่ยวกับความปลอดภัยของข้อมูลและแนวปฏิบัติที่ดีที่สุด

บทสรุป

การละเมิดความปลอดภัยอาจมาจากแหล่งต่างๆ มากมาย และผลกระทบก็ซับซ้อนและกว้างขวาง สำหรับองค์กรที่ได้รับผลกระทบจากการละเมิดข้อมูล มีขั้นตอนทันทีที่ทำให้แน่ใจว่าหลักฐานได้รับการเก็บรักษาไว้และสามารถดำเนินการสอบสวนได้อย่างมีประสิทธิภาพ เมื่อระบบได้รับการกู้คืนแล้ว องค์กรอาจต้องทำงานร่วมกับผู้มีส่วนได้ส่วนเสีย ผู้ให้บริการด้านความปลอดภัย และหน่วยงานกำกับดูแลเพื่อจัดการกับความท้าทายทางกฎหมาย การเงิน และระยะยาวที่อาจเกิดขึ้น

เนื่องจากผู้คุกคามปรับปรุงวิธีการของตนอย่างต่อเนื่อง องค์กรจึงต้องตอบสนองอยู่เสมอ XDR ช่วยให้องค์กรสามารถปรับแต่งแนวทางการรักษาความปลอดภัยและหยุดการโจมตีได้ก่อนที่จะกลายเป็นการละเมิดโดยสิ้นเชิง SentinelOne นำเสนอ Singularity XDR ซึ่งเป็นโซลูชันชั้นนำในพื้นที่การรักษาความปลอดภัยที่ขับเคลื่อนโดยการตอบสนองอัตโนมัติ เรียนรู้ว่า Singularity ใช้ประโยชน์จากปัญญาประดิษฐ์ (AI) และการเรียนรู้ของเครื่อง (ML) เพื่อตอบสนองต่อระบบนิเวศด้านความปลอดภัยทั้งหมดและปกป้องพื้นผิวการโจมตีแต่ละรูปแบบได้อย่างไร

If you’re currently experiencing a breach, please call us immediately at

1-855-868-3733.