由不明網路犯罪集團所造成的 VTech 資料外洩事件目前案情正持續升高。就在一連串報導指出此次事件洩漏了客戶的個人身分識別資料之後 (儘管 VTech 的聲明不這麼認為),駭客又公布了一些 VTech 客戶的私人訊息和照片來證明這是一次近乎全面的資料外洩。
VTech 也是網路犯罪受害者,不過,眼前更迫切的問題是使用其產品的家長和兒童後續將面臨的危險。但 VTech 一開始的回應卻沒讓這問題獲得改善,反而變得更糟。還好過去 24 小時之內他們已經有所調整,在資訊公開方面更為坦然。
讓我們從這次事件當中學到教訓。站在防禦的一方,您可以採取下列作法來提升您企業處理資料外洩事件的能力。
開誠布公
您現在就得先想好一套資料外洩發生之後的對外通訊計畫。當您在處理資料外洩事件時,您需要一套明確清楚且合乎當下情況的應變計畫。
以下摘要列出您可能會用到的一些項目:
- 一封開誠布公的電子郵件 (給您的客戶),內容包括:
- 清楚交代被偷的資料細節。
- 提供一位聯絡窗口,這位聯絡窗口必須完全掌握整個情況,並且隨時準備回答任何疑問 (例如您對客戶的補救措施為何)。
- 一句誠懇的道歉。
- 未來相關通訊時間表。
- 一份媒體新聞稿,內容包括:
- 清楚交代被偷的資料細節。
- 說明您已採取什麼行動來通知客戶。
- 提供一位可對外說明並提供進一步資訊的媒體聯絡窗口。
- 一份公開坦誠的說明 (給您的利害關係人),內容包括:
- 清楚交代被偷的資料細節。
- 說明目前已知的資料外洩發生經過。
- 說明您已採取的應變措施。
- 針對未來您有何打算。
- 目前是誰在負責統籌所有對外通訊。
- 一個用來整合所有資訊的公開網址 (例如常見問答集)
- 一有最新發展,內容就應立即更新。
- 將此網址當成所有人的第一參考來源。
- 別將網址藏在企業網站的某個角落,確定使用者一到您的網站就能清楚看見。
這些材料應該事先寫好,並且做成一套可視情況調整的範本。切記,這些是您內部必要應變措施之外的額外工作。
當您發現自己已經遭到駭客入侵,您應採取以下步驟來達成有效的通訊:
- 坦承發生資料外洩,並表示自己正積極展開調查。
- 找出受影響的客戶並且主動通知客戶。
- 提供公開的網址來讓一般大眾查詢最新狀況。
- 通知利害關係人並且簡要說明當前狀況。
- 發出媒體新聞稿,提供關鍵的資訊和聯絡窗口。
前述一切對外通訊皆應採取明確且深表歉意的口吻來撰寫,切忌刻意模糊焦點或交代不清 (例如 VTech 對個人身分識別資訊的重新定義就是負面教材),或者撇清責任,或是強調自己也是受害者。您可以等事後再針對事件的發生細節提出說明和解釋。
眼前的第一目標應該是先降低資料外洩的衝擊。
也就是說,您的客戶必須在第一時間盡快獲得所有必要資訊。若客戶必須採取某些行動 (例如取消信用卡、變更帳號密碼等等),您必須讓客戶清楚了解這點,這樣才能減輕不幸事件發生的機率。
主動果斷出擊
一旦您啟動了應變措施,您的流程應該包含五大步驟:
- 偵查
- 分析
- 控制
- 清理
- 復原
在這五大步驟的前、後,還要分別再加上「準備」和「學習/改進」兩項步驟,這樣就是一套完整的事件應變流程基礎。
這其中最大的挑戰通常在「控制」這個步驟,事件應變小組通常需要面對一些將直接衝擊業務的困難抉擇。
VTech 公司在 2015 年 12 月 1 日更新了他們的常見問答集 (FAQ):
「為了防範起見,我們已經暫時停掉 Learning Lodge、Kid Connect 網路及下列網站,以等待我們徹底評估完成。」
這是任何企業都不希望發生的事。但這是一項 100% 正確的決定,儘管企業營收將因而受到打擊。
但何時才是這類決策的適當時機呢?這一點並無一成不變的原則,要根據您當時手上的資訊來判斷。
但您可事先想好幾套劇本來讓您在下判斷時容易一點。這是一項極為艱難的練習,因為您必須假設您的其他企業防禦措施都已失敗。然而,想要寫出一本事件應變教戰手冊,最重要的就是要找出理論上和實際上可行的劇本 (也就是事變日劇本)。
這項練習的一項目標就是決定企業裡誰才有足夠的權力來下令關閉某些服務。希望您永遠不必面對這樣的抉擇,但若真的被您遇到,您必須知道誰可以下命令。
您所有的安全流程和措施都有助於讓您不需面對關閉服務的抉擇。但若您真的遭到駭客入侵而必須做出決定,那您寧可事先寫好一套教戰手冊,而非臨時才來思考對策。
了解自己暴險的程度
想要降低駭客攻擊的衝擊,您現在能做的最重要一件事就是:重新檢視您所蒐集和儲存的資料。清查一下您手上擁有的資料類型,這樣比較容易評估您將面臨的風險。
當您掌握了這一份清單之後,您可以做一個簡單的練習。將每一種資料分別寫在一張自黏便條紙上。將不同便條紙做一下不同的組合,讓您對它們有不同的看法。
這項卡片分類練習的目的是要找出哪些資料和哪些資料合在一起將提高您的業務風險。
以 VTech 為例,他們的應用程式商店要求使用者提供帳單地址,而社群應用程式則將家長和兒童連結在一起,另外,即時通訊伺服器則會暫時儲存相片和私密訊息。若全部都分開來,這些資料並無風險,但合在一起,整個風險就瞬間飆高。
找出不同資料之間的各種組合,您就更能了解自己所蒐集和儲存的資料可能隱含著什麼風險,進而建立適當的防範措施。
這些防範措施包括:
- 完全不保留資料。
- 將資料分開儲存在不同的後端系統。
- 確實監控資料被彙整的危險跡象。
在您掌握所有您蒐集和儲存的資料類型之前,您將無法知道會面臨什麼樣的風險。當您無法確切掌握這些資訊,您又如何建立一套有效的防禦?
為最壞的情況做打算
沒有人希望被駭,這是資安團隊的噩夢,不過,您現在就能採取一些步驟來降低資料外洩的衝擊。
- 擬定一套對外通訊計畫,建立一些重要的通訊內容範本,讓您在事件發生時只需填入一些不同的細節,如此就能縮短應變時間。
- 最重要的關鍵在於演練和規劃。事先想出一些可能的應變劇本,並且事先演練,萬一您必須採取激烈的手段來控制資料外洩情勢,確定您知道誰有權力下令暫停服務。
- 掌握您正在蒐集哪些資料,以及資料的存放地點。掌握這些資料有哪些不同組合,以及各種組合如何影響資料的價值和風險,必要時增加一些防護措施。
當您正忙著維繫您的企業,或者更糟,正忙著拯救您的企業。您最不希望的就是講出不得體的話。因此,針對事件應變的各個環節事先寫好一套明確的教戰手冊,將是您成功應變的關鍵。
原文出處:What Can Defenders Learn From VTech?|作者:Mark Nunnikhoven (雲端研究副總裁)
《現在加入趨勢科技LINE@,留言即刻輸入 888 看本月好友禮 》
《 想了解更多關於網路安全的秘訣和建議,只要到趨勢科技粉絲網頁 或下面的按鈕按讚 》
《提醒》將滑鼠游標移動到粉絲頁右上方的「已說讚」欄位,勾選「搶先看」選項,最新貼文就會優先顯示在動態消息頂端,讓你不會錯過任何更新。
*手機版直接前往專頁首頁,下拉追蹤中,就能將粉絲專頁設定搶先看。
【推薦】防毒軟體大評比: 惡意程式防禦力 PC- cillin雲端版榮獲第一名!
【推薦】PC-cillin 雲端版 榮獲世界著名防毒評鑑機構高度評比
趨勢科技PC-cillin雲端版 ,榮獲 AV-TEST 「最佳防護」獎,領先28 款家用資安產品防毒軟體 ,可跨平台同時支援安裝於Windows、Mac電腦及Android、iOS 智慧型手機與平板電腦,採用全球獨家趨勢科技「主動式雲端截毒技術」,以領先業界平均 50 倍的速度防禦惡意威脅!即刻免費下載