儘管安全支出創下新紀錄,但遭受資安外洩事件仍然司空見慣。IBM在他們的2022年資料外洩成本報告中訪問了數百家遭受外洩事件的企業,其中83%的企業坦承已經多次成為外洩受害者。
如果您遭受外洩,首先要做的是聯絡您的資訊安全保險公司,他們通常會支付數位鑑識和事件應變公司(DFIR)或災難復原公司的費用,以停止攻擊,進行補救並進行調查。
*小百科:DFIR代表「數位鑑識與事件應變」(Digital Forensics and Incident Response)。DFIR是指在發生資安事件或網路攻擊後,進行數位鑑識和回應的相關程序和技術。這包括收集證據、分析攻擊方式、恢復受影響系統、追蹤入侵者等,以幫助組織應對和防止未來的安全事件。DFIR團隊通常由專業的數位鑑識和安全專家組成,與其他相關單位合作,例如企業內部的安全團隊或外部的安全服務供應商。
這些公司面臨的挑戰是,他們被要求進入他們不熟悉的網路環境,基本上是盲目操作。然後,他們必須在時間壓力下努力限制對您業務造成的影響和損害。您的保險公司也極力減少外洩事件的影響,因為攻擊擴散得越廣,受影響的設備就越多,這意味著需要更多時間和金錢來修復。因此,由於保險公司在外洩事件的賠付數量不斷增加而遭受的財務損失,網路安全保險費用一直在上升。
Illumio 已經證明了「零信任分段」(Zero Trust Segmentation,ZTS)在事件應變中的有效性,用於遏止外洩和災難恢復:
*小百科 : 安全事件應變(Incident Response, IR),是指組織運用多種方式,為資安漏洞或資料外洩事件做好準備的相關作業。
對於不斷增加網路威脅而身處理賠第一線的保險公司,微切分的應用能夠大幅降低攻擊的範圍,並在初期惡意軟體攻擊時達到防護與遏止的作用。
在主動外洩中, Illumio 與EDR工具一同部署,增加了EDR檢測和修復威脅的時間。 Illumio IR 團隊,對於雲端用戶在事件發生時,可藉由平台快速應對DFIR找出事件發生的問題或即時還原停擺的業務,停止外洩擴散,並智能地隔離受感染的系統。
在事後外洩應對中, Illumio 在DFIR後發動部署,並利用微切分技術協助保護重要應用程式,以滿足保險要求或緊急措施。 Illumio 的事件應對團隊還可以主動封鎖未來威脅的常見攻擊媒介。
在這兩種 類型的應對中, Illumio 的合作夥伴可以全天候與擁有豐富實戰經驗的Illumio專家合作,這些專家曾與領先的DFIR和災後復原公司一起應對的實際案例。由於我們的團隊是DFIR合作夥伴的延伸,我們確保瞭解他們的工具和工作流程,以符合他們即時處理外洩的方式。我們的團隊建立 Illumio 租用平台專門針對事件應對(IR)、恢復專案管理和工作流程,而且這些租用平台對於我們的合作夥伴來說是免費提供的。
在主動外洩中, Illumio 微切分(Zero Trust Micro-Segmentation,ZTS)的一項關鍵功能是使用微切分技術,防止惡意軟體的重新感染,將受影響的環境分為「乾淨」和「骯髒」區域。骯髒區域被切分阻隔,僅包含受感染的設備,這些設備在所有應對和恢復工作中被隔離和隔離,但仍然允許IR公司訪問。Illumio為企業設置了一個「恢復」區域,以便他們獲取所需的資料。然後, Illumio 設置了一個「乾淨」區域,將所有經過清理和修復的設備重新上線。我們這樣做是為了使IR或恢復團隊在開始工作之前不需要創建VLAN或分隔網路。
最後,我們開始對關鍵業務應用進行微切分,以便與傳統方法使用老舊工具和重構實體網路相比,更快地將其恢復正常運行。
在許多情況下,當你無法確定攻擊者是否仍然在環境中活躍時,你無法恢復業務。這意味著你通常必須先在各處部署EDR(威脅偵測與應對)並獲得完整的安全檢查,然後才能繼續前進。當團隊在與時間賽跑時,這可能會耗費大量寶貴的時間。
舉個例子,一家製造公司遭到勒索軟體攻擊,導致他們的生產線停擺。他們需要生產商品,但卻無法進行。 Illumio 的事件應對團隊進入活躍中的外洩事件,將受影響的環境分割成區域 — 即使攻擊者仍然活躍於該環境中— 並協助將生產環境恢復正常並讓製造商重新獲得操作權限,同時進行調查和恢復工作。
叡揚資訊與 Illumio 非常興奮地宣布我們的全新事件應對夥伴計劃,旨在與領先的DFIR和恢復公司合作,將零信任微切分(ZTS)納入事件應對和取證工作中。對於正在經歷安全外洩影響的客戶, Illumio 通過優先處理補救措施,讓他們更快地恢復業務運營,比傳統方法要快得多。對於我們的DFIR和恢復夥伴, Illumio 提供經驗豐富的即時支援團隊,準備就緒的客製化租戶,以及一個旨在將微切分整合到現有工作流程中並確保所有合作中完全保密性的計劃。