您的数据泄露应对计划是否足够好？压力测试的3种方法

成功地测试您的网络安全事件响应计划的三个步骤

As 数据泄露事件的可能性增加了，精明的企业已经花了时间和精力制定了响应计划。但是计划永远无法幸免于与敌人的第一次接触。对您的事件响应计划进行压力测试，以发现并解决其弱点，而时间又在您身边。

根据Ponemon Institute的 2016年数据泄露成本研究（美国）:

• 丢失业务是数据泄露的最大财务后果。 采取措施保持客户的信任可以减少违规行为的长期财务影响。
• 遏制违规所花费的时间越长，损失就越大。 发现后30天内发生的违规行为平均造成524万美元的损失。如果遏制此漏洞的时间超过30天，则平均成本将增加到885万美元。
• 2016年的平均违规成本为每条记录221美元。 拥有事件响应计划和团队，员工培训，董事会级别的参与以及CISO的位置，可以减少每条记录56美元的数据泄露成本。

正如这些结论一样令人信服，咨询公司及其客户甚至更有理由建立数据泄露事件响应计划（IRP）。它们作为敏感信息的枢纽，使它们成为小偷无法抗拒的目标。

对威胁的认识正确地激发了领导者开发IRP并投资于网络安全服务。

仅在文件上具有IRP是不够的

缓解事件的速度越快，其成本就越低，但是该计划无法规定速度。因此，您的公司和客户应每半年或每年对您的IRP进行压力测试。

当面临真正的漏洞时，实践中花费的时间和资源很可能会带来可观的投资回报。毫无疑问，这种练习会出现缺点，混乱和效率低下。与在一个实际事件中转移认知能力相比，用一个冷静的团队来解决问题要更具成本效益。

当您进行动议时，对IRP进行压力测试最有效，就好像您的公司正在发生主动数据泄露一样。在响应计划中起作用的每个人都聚集在一个房间里，并在特定情况下讨论他们的行动和行动顺序。目的是使每个人都熟悉他们的角色和职责。

从典型的桌面练习到呼叫树，我们已经完成了许多违规响应计划和测试，并测试了响应团队的响应时间。在进行这些练习之后，响应团队会定期对经验表示赞赏，并说他们对自己在实际事件中的反应能力更有信心。

充分利用压力测试练习

1.专注于最可能的方案。

与渗透到防火墙的专用国家/地区相比，您更有可能通过网络钓鱼电子邮件遇到勒索软件。因此，将压力测试的重点放在最有可能发生并威胁最严重潜在后果的方案上。

（有关： 美国公司在2017年面临欧洲本土网络安全挑战)

当您逐渐减少可能的威胁和成本更低的威胁时，您已经了解了响应的常见要素。知道如何使您的计划适应特定威胁是一种专长。在计划阶段不会自然出现的一种。

威胁模型，杀伤链和勒索软件的后果将与被盗设备不同。如果您最可能遇到的两种情况相似，那么您就可以正确考虑一次压力测试，并利用剩余时间来考虑不太可能的威胁，而这可能需要采取不同的应对措施。

头脑风暴压力测试方案的方法

作为公司或公司的领导者，您可以阅读行业协会，其出版物和论坛的新闻。这是使您的安全措施与最可能的威胁保持一致的好习惯。

如果您希望更新数据，请联系当地的美国特勤局或FBI办公室。这些人很少接到未遇险者的电话。他们喜欢参与预防工作。他们很乐意讨论一些具体问题，例如“对于[金融机构，保险经纪人或您所在公司所在的任何行业]，最近三大攻击是什么？

在一定规模下，所有公司在其安全运营中都包括漏洞评估和渗透测试。如果使用您自己的漏洞扫描器可能会过大，请委托第三方进行渗透测试或漏洞评估。当您对IRP进行压力测试时，可以使用结果来告知您的选择。

盘点您的数据外壳和保护协议。如果您的组织很难及时了解客户端设备的补丁，请进行测试以确定您可以处理哪种补丁频率。您的Web服务器或Web应用程序有时过时了吗？围绕面向Web的应用程序及其背后的SQL数据库的渗透构建一个方案。也许PII暴露在那里；把它变成一个场景。

作为数据防御的标准部分，您已经确定了最敏感的信息资产。要求这些资产的所有者帮助集思广益，讨论可能暴露这些数据的情况。

无论如何，小偷总是领先一步。随着勒索软件或网络钓鱼的流行，它们可能会在一年内过时。因此，您必须对下一个即将发生的事情保持警惕。

2.不仅仅是技术练习。

到2013年12月19日Target向其客户发出有关其历史性漏洞的警报时，已经过去了几天。实际上，Krebs on Security在塔吉特公开宣布一周前就发布了有关该漏洞的报告。该报告的准确性如此之高，包括可能发生盗窃的详细信息，以至于它揭示了Target在向客户发出警报之前的延迟程度。这种延迟可能会影响消费者对零售商的信心，该零售商当年第四季度的利润仅为前一年利润的54％。

延迟是Target领导层将违反行为视为纯粹的技术问题的结果。网络管理员或软件工程师没有责任考虑技术解决方案之后的昂贵且棘手的问题：如何聘请法律顾问，如何与客户进行交流（根据州法规），如何与媒体互动等等。

由于非技术人员必须参与真实的事件响应，因此他们也应该参与压力测试活动。除董事会和IT部门外，事件响应团队还必须包括：法律（内部和外部），PR（内部和外部）和HR（如果公开了员工数据）。

在这里，您必须在内部人员和外部专家之间取得平衡。内部人员会更熟悉贵公司的历史，任务，情况，敏感性等。但是，他们已经承担了全部职责。您是否要转移他们来管理事件响应？违规响应管理方面的外部专家可以进行额外的工作，并利用他们的专业知识简化响应。

领导定下基调

在我们参与的事件响应中，一起工作的团队可以最好地了解他们的责任和需要发生的事情，并且他们的领导者对这项工作的关键性质承担了责任。

最高管理层必须为演习定下基调，以说明可能在现实世界中造成的后果。与同龄人的对话，行业杂志和演示中的文章以及顾问的建议都应使领导层评估组织中的各个部门如何减少违规期间的风险。

（有关： 顾问的低技术网络安全行动计划)

3.运用经验教训。

压力测试的真正好处是根据经验进行分析。关键是要改进您的计划-实际上是对错误之处做出反应并加强正确之处。

您的违规应对计划应包括承诺，要在威胁得出结论后的几天内，召集事件响应小组讨论该演习。必须有人负责该过程的组成部分；否则一切都会掉进裂缝。领导事件响应计划的人或业务连续性计划者都是不错的人选。个人应具有业务的广度。具有专职角色的技术人员不足。

许多组织都有某种跟踪应用程序来改进内部流程。也许是年度审核或内部审核。这些审核的结果将被标记，跟踪并集成到工作流程中。应用这些工具指定将在一定时间内实施事件响应小组建议的参与者。

如引言中所述，组织和测试事件响应计划的好处可能远远超过成本。将这个潜在的ROI乘以数据泄露几率的增长，您就有理由至少为年度压力测试分配一些预算。最后，考虑到高管和事件响应团队对自己的响应计划充满信心，他们会放心，我们相信您会提出一个令人信服的论点，即将压力测试放在您的工作重点附近清单。

—阅读 您的员工：抵御网络安全威胁的第一道防线 在ThinkAdvisor的技术中心上。