- Berikutan kejadian, adalah penting untuk mengenal pasti jenis serangan, skop sebenar dan aset yang terjejas sebelum mengambil tindakan.
- Mengekalkan bukti dan menyediakan dokumentasi terperinci adalah kunci kepada analisis forensik dan pematuhan undang-undang.
- Pemulihan mesti selamat dan diutamakan, disokong oleh sandaran yang disahkan dan sistem yang diperkukuh.
- Menutup gelung dengan semakan pasca insiden membolehkan penambahbaikan dalam kawalan, pelan tindak balas dan latihan kakitangan.
Mendapati bahawa organisasi anda baru sahaja mengalami insiden keselamatan siber Ia bukanlah cara terbaik untuk memulakan hari: sistem terkunci, perkhidmatan tergendala, panggilan daripada pelanggan yang bimbang, dan pasukan teknikal kelihatan ketakutan. Tetapi di sebalik kejutan awal, apa yang benar-benar membuat perbezaan ialah apa yang anda lakukan pada waktu-waktu berikutnya: apa yang anda siasat, siapa yang anda maklumkan, apa yang anda simpan sebagai bukti, dan bagaimana anda memulihkan operasi tanpa meninggalkan sebarang peluang untuk penyerang.
Balas dengan kepala yang tenang, kelajuan dan kaedah Ini adalah kunci untuk memastikan serangan kekal menjadi ancaman serius dan tidak melarat menjadi bencana kewangan, perundangan dan reputasi. Dalam baris berikut, anda akan menemui panduan komprehensif, berdasarkan amalan terbaik untuk tindak balas insiden, forensik digital dan perancangan kesinambungan perniagaan, yang merangkumi semua yang perlu anda semak selepas insiden keselamatan siber dan cara mengatur semakan tersebut untuk belajar daripada pengalaman, mengukuhkan pertahanan dan mematuhi kewajipan undang-undang.
Apa yang sebenarnya berlaku: Memahami kejadian dan keseriusannya
Sebelum menyentuh apa-apa secara membuta tuli, anda perlu memahami jenis serangan yang anda hadapi.Ransomware yang menyulitkan pelayan kritikal tidak sama dengan pencerobohan senyap untuk mencuri data atau akses tanpa kebenaran ke laman web korporat. Pengenalpastian yang betul menentukan segala-galanya yang berlaku selepas itu.
Salah satu tugasan pertama adalah untuk mengklasifikasikan insiden tersebut bergantung pada serangan utama: ransomware, kecurian maklumat sulit, pencerobohan akaun korporat, pengubahsuaian laman web, eksploitasi kelemahan, dan sebagainya. Apabila analisis berjalan dan aset yang terjejas ditemui, klasifikasi awal sering berubah, jadi adalah dinasihatkan untuk mendokumentasikan evolusi ini.
Ia juga penting untuk mencari vektor inputMesej pancingan data dengan lampiran berniat jahat, pautan palsu, pemacu USB yang dijangkiti, RDP yang terdedah kepada internet, kerentanan pelayan yang tidak ditampal, kelayakan yang dicuri, salah konfigurasi awan… Mengenal pasti titik akses ini membolehkan anda menentukan skop dengan lebih baik dan, yang paling penting, menutup pintu untuk mengelakkannya daripada berlaku lagi.
Satu lagi aspek yang perlu diteliti dengan teliti ialah sama ada serangan itu kelihatan disasarkan atau oportunistik.Kempen besar-besaran e-mel generik, imbasan automatik untuk kelemahan yang diketahui atau bot yang mengeksploitasi perkhidmatan yang terdedah biasanya menunjukkan serangan rawak. Walau bagaimanapun, apabila pengetahuan terperinci tentang persekitaran, rujukan khusus kepada syarikat atau penggunaan alat khusus industri diperhatikan, ia mungkin serangan yang disasarkan.
Dari situ, semua aset yang berpotensi terjejas mesti disenaraikan.: stesen kerja, Pelayan LinuxPangkalan data, perkhidmatan awan, aplikasi perniagaan, peranti mudah alih dan sebarang sistem yang berkongsi rangkaian atau kelayakan dengan pasukan yang terjejas pada mulanya. Lebih tepat inventori ini, lebih mudah untuk menentukan skop sebenar insiden dan mengutamakan tindak balas.
Mengumpul dan memelihara bukti tanpa menjejaskan bukti
Sebaik sahaja insiden itu dikesan, godaan semula jadi adalah untuk memformat, memadam dan bermula dari awalTetapi itu biasanya merupakan kesilapan besar dari sudut forensik dan perundangan. Jika anda ingin memfailkan aduan, membuat tuntutan insurans atau sekadar memahami apa yang berlaku, anda perlu menyimpan bukti yang sah.
Langkah pertama ialah mengasingkan sistem yang terjejas tanpa mematikannya secara tiba-tiba.Untuk mengelakkan kehilangan data dalam ingatan atau pengubahan rekod kritikal, prosedur biasa adalah memutuskan sambungan daripada rangkaian, menyekat akses jauh dan menghentikan perkhidmatan yang tidak penting, tetapi memastikan peralatan dihidupkan sehingga imej forensik dapat diperoleh.
Mencipta salinan penuh cakera dan sistem merupakan amalan asasAmat disyorkan untuk membuat sekurang-kurangnya dua salinan: satu pada medium tulis sahaja (cth., DVD-R atau BD-R) untuk pemeliharaan forensik, dan satu lagi pada medium baharu yang akan digunakan untuk pemprosesan, analisis dan, jika perlu, pemulihan data. Pemacu keras yang dikeluarkan daripada sistem hendaklah disimpan di lokasi yang selamat, bersama-sama dengan salinan yang dibuat.
Maklumat penting mesti didokumenkan untuk setiap medium yang digunakan.Siapa yang membuat salinan itu, bila, pada sistem apa, dengan alatan apa, dan siapa yang kemudiannya mengakses media tersebut. Mengekalkan rantaian jagaan yang ketat membuatkan semua perbezaan jika bukti ini perlu dikemukakan kemudian kepada hakim atau syarikat insurans.
Selain imej cakera, log dan jejak juga mesti diamankan. semua jenis: log sistem, aplikasi, tembok api, VPN, pelayan mel, proksi, peranti rangkaian, penyelesaian EDR/XDR, SIEM, dsb. Log ini berfungsi untuk membina semula serangan dan mengenal pasti pergerakan lateral, penapisan data atau kegigihan penyerang.
Adalah dinasihatkan untuk menilai secepat mungkin sama ada perlu mengambil tindakan undang-undang.Dalam kes itu, adalah sangat disyorkan untuk mendapatkan pakar forensik khusus yang boleh mengarah pengumpulan bukti, menggunakan alat yang sesuai dan menyediakan laporan teknikal yang sah dari segi undang-undang. Lebih cepat mereka terlibat, lebih kurang risiko pencemaran atau kehilangan bukti yang berguna.
Dokumentasi insiden: apa yang perlu ditulis
Walaupun serangan itu sedang dikawal dan sistem sedang diselamatkan, dokumentasinya mudah diabaikan.Tetapi kemudian ia terlepas pandang untuk analisis kemudian dan untuk mematuhi obligasi kawal selia. Itulah sebabnya penting untuk menulis semuanya dari awal.
Ia sangat berguna untuk menetapkan tarikh dan masa pengesanan dengan tepat.serta simptom pertama yang diperhatikan: amaran daripada alat keselamatan, anomali prestasi, akaun terkunci, mesej ransomware, aduan pengguna, dsb. Jika diketahui, anggaran masa permulaan serangan atau pelanggaran keselamatan juga harus diperhatikan.
Secara selari, senarai sistem, perkhidmatan dan data yang terjejas mesti dikumpulkan.menunjukkan sama ada aset tersebut merupakan aset kritikal perniagaan atau aset sokongan. Maklumat ini penting untuk mengutamakan pemulihan dan mengira impak ekonomi dan operasi insiden tersebut.
Setiap tindakan yang diambil semasa tindak balas mesti direkodkan.Apa yang telah dikeluarkan dari luar talian, perubahan kata laluan yang telah dibuat, tampalan yang telah digunakan, perkhidmatan yang telah dihentikan atau dipulihkan, langkah-langkah pembendungan yang telah diambil dan bila. Ini bukanlah sesuatu yang baharu, tetapi sebaliknya garis masa yang jelas dan mudah difahami.
Ia juga perlu merekodkan nama semua orang yang terlibat. Dalam pengurusan krisis: siapa yang menyelaras, juruteknik yang terlibat, pemilik perniagaan yang dimaklumkan, penyedia luaran yang membantu, dan sebagainya. Ini kemudiannya membantu untuk menyemak prestasi pasukan dan kesesuaian peranan yang ditakrifkan dalam pelan tindak balas.
Satu aspek yang kadangkala dilupakan ialah menyimpan salinan komunikasi yang berkaitan.E-mel yang ditukar dengan pelanggan, mesej menyelamat, perbualan dengan penanggung insurans, pertukaran dengan pihak berkuasa, perbualan dalaman tentang keputusan kritikal, dan sebagainya. Maklumat ini boleh menjadi berharga untuk siasatan forensik, untuk menunjukkan usaha wajar kepada pengawal selia dan untuk menambah baik protokol komunikasi krisis.
Pemberitahuan kepada agensi, pelanggan dan pihak ketiga yang terlibat
Apabila awan debu awal mula mendap, tiba masanya untuk memaklumkan kepada orang yang sesuai.Ia bukan perkara pilihan: dalam banyak kes, peraturan mewajibkannya, dan dalam kes lain, ketelusan adalah penting untuk mengekalkan kepercayaan.
Jika kejadian itu melibatkan data peribadi (pelanggan, pekerja, pengguna, pesakit, pelajar…), adalah perlu untuk menyemak semula kewajipan di bawah Peraturan Perlindungan Data Umum (GDPR) dan perundangan tempatan. Di Sepanyol, ini bermakna memaklumkan Agensi Perlindungan Data Sepanyol (AEPD) apabila terdapat risiko terhadap hak dan kebebasan individu, biasanya dalam tempoh maksimum 72 jam dari tarikh menyedari pelanggaran tersebut.
Apabila kejadian itu boleh dianggap sebagai jenayah (perisian tebusan, pemerasan, penipuan, kecurian maklumat sensitif, ancaman kepada infrastruktur kritikal), adalah dinasihatkan untuk melaporkan insiden ini kepada Pasukan Keselamatan Negara. Di Sepanyol, unit seperti Briged Siasatan Teknologi Polis Negara atau Kumpulan Jenayah Telematik Guardia Civil biasanya campur tangan, dan mereka juga boleh bekerjasama dengan organisasi antarabangsa.
Di peringkat negeri terdapat pusat khusus yang perlu diberi perhatian., seperti INCIBE-CERT untuk warganegara dan entiti swasta, atau CSIRT khusus sektor lain. Memaklumkan kepada mereka boleh memberikan sokongan teknikal tambahan, akses kepada risikan tentang ancaman serupa, alat penyahsulitan atau petunjuk tentang kempen yang sedang dijalankan.
Syarikat yang mempunyai polisi insurans siber harus menyemak semula syarat pemberitahuanIni kerana banyak penanggung insurans perlu dimaklumkan dalam tempoh akhir yang sangat ketat dan syarat perlindungan tentang mematuhi garis panduan tindak balas tertentu dan menggunakan penyedia yang diluluskan.
Akhirnya, tiba masanya untuk memikirkan tentang komunikasi dengan pelanggan, rakan kongsi dan pekerja.Jika data telah dikompromi atau perkhidmatan kritikal terjejas, adalah lebih baik pekerja dimaklumkan secara langsung oleh organisasi, bukannya melalui kebocoran atau laporan akhbar. Mesej yang jelas dan jujur, yang menjelaskan apa yang telah berlaku secara umum, maklumat apa yang mungkin terjejas, langkah-langkah yang sedang diambil dan langkah-langkah yang disyorkan untuk mereka yang terjejas, biasanya merupakan strategi terbaik untuk melindungi reputasi.
Untuk membendung, mengasingkan dan mengehadkan kemaraan penyerang.
Sebaik sahaja disahkan bahawa terdapat kejadian sebenar, perlumbaan melawan masa bermula. untuk menghalang penyerang daripada bergerak lebih jauh, mencuri lebih banyak data atau menyebabkan kerosakan tambahan seperti menyulitkan sandaran atau menjejaskan lebih banyak akaun.
Langkah pertama ialah mengasingkan sistem yang terjejas daripada rangkaianIni terpakai untuk sambungan berwayar dan tanpa wayar. Dalam kebanyakan kes, hanya memutuskan sambungan antara muka rangkaian, mengkonfigurasi semula VLAN atau menggunakan peraturan tembok api tertentu untuk menyekat komunikasi yang mencurigakan sudah memadai. Matlamatnya adalah untuk membendung penyerang tanpa memusnahkan bukti atau mematikan sistem secara sembarangan.
Bersama pengasingan fizikal atau logik, adalah penting untuk menyemak akses jauh.VPN, desktop jauh, sambungan pihak ketiga, akses istimewa, dsb. Anda mungkin perlu melumpuhkan akses tertentu buat sementara waktu sehingga jelas kelayakan mana yang mungkin telah dikompromikan.
Menyekat akaun dan kelayakan yang mencurigakan mesti dilakukan dengan tepatBermula dengan akaun berperingkat tinggi, akaun perkhidmatan yang terdedah, pengguna yang terlibat secara langsung dalam pencerobohan atau mereka yang menunjukkan aktiviti yang tidak normal, adalah dinasihatkan untuk menguatkuasakan perubahan kata laluan yang meluas sebaik sahaja keadaan lebih terkawal, dengan mengutamakan akaun kritikal terlebih dahulu.
Langkah yang lebih teknikal adalah untuk memperkukuh segmentasi dan penapisan trafik Untuk mengelakkan pergerakan lateral dan komunikasi arahan dan kawalan, peraturan tembok api, IDS/IPS, penyelesaian EDR/XDR dan kawalan lain memainkan peranan, membolehkan penyekatan domain berniat jahat, IP dan corak trafik yang dikenal pasti semasa analisis.
Pada masa yang sama, sandaran mesti dilindungi.Jika sandaran berada dalam talian atau boleh diakses daripada sistem yang diceroboh, terdapat risiko ia juga mungkin disulitkan atau diusik. Adalah disyorkan untuk memutuskan sambungannya, mengesahkan integritinya dan menyimpannya untuk fasa pemulihan, sebaik sahaja anda pasti ia bersih.
Forensik digital: membina semula serangan dan mencari kelemahan
Dengan ancaman yang terkawal, bahagian "forensik digital" yang sebenar bermula.Kerja teliti itu untuk membina semula langkah demi langkah apa yang penyerang lakukan, bagaimana dia masuk, apa yang disentuhnya, dan berapa lama dia berada di dalam.
Analisis forensik bermula dengan memproses bukti yang dikumpul.Imej cakera, tangkapan memori, log sistem dan rangkaian, sampel perisian hasad, fail yang diubah suai, dsb., juga belajar daripada insiden dunia sebenar seperti kegagalan dalam penyelesaian EDRAlat khusus digunakan untuk membina semula garis masa, menjejaki perubahan konfigurasi, mengenal pasti proses yang mencurigakan dan memetakan sambungan rangkaian yang luar biasa.
Salah satu objektif utama adalah untuk mengenal pasti kelemahan dan jurang keselamatan yang dieksploitasi.Ini mungkin termasuk perisian yang ketinggalan zaman, konfigurasi lalai, port terbuka yang tidak wajar, akaun tanpa pengesahan dua faktor, kebenaran yang berlebihan, ralat pembangunan atau kegagalan segmentasi rangkaian. Senarai kelemahan ini kemudiannya akan menjadi asas untuk langkah pembetulan, serta alat untuk Pengurusan Postur Keselamatan Aplikasi (ASPM).
Analisis ini juga menentukan skop sebenar serangan tersebut.Ini termasuk menentukan sistem mana yang sebenarnya telah dicerobohi, akaun mana yang telah digunakan, data apa yang telah diakses atau diekstrak, dan berapa lama penyerang mempunyai keupayaan untuk bergerak bebas. Dalam persekitaran yang kompleks, ini mungkin memerlukan semakan terperinci selama beberapa hari atau minggu.
Apabila terdapat petunjuk-petunjuk pengekstrakan, log rangkaian dan pangkalan data akan diperiksa dengan lebih mendalam. untuk mengukur berapa banyak maklumat yang telah dibocorkan, ke destinasi mana, dan dalam format apa. Maklumat ini penting untuk menilai impak undang-undang dan reputasi, serta obligasi pemberitahuan kepada pihak berkuasa dan pihak yang terjejas.
Semua kerja ini tercermin dalam laporan teknikal dan eksekutifLaporan-laporan ini bukan sahaja harus menjelaskan aspek teknikal serangan tersebut, tetapi juga implikasinya terhadap perniagaan dan cadangan untuk penambahbaikan. Laporan-laporan ini berfungsi sebagai asas untuk mewajarkan pelaburan keselamatan, menyemak proses dalaman dan memperkukuhkan latihan kakitangan.
Menilai kerosakan, data yang terjejas dan kesannya terhadap perniagaan
Selain aspek teknikal semata-mata, selepas sesuatu insiden, angka dan akibatnya perlu dipertimbangkan.Iaitu, untuk menilai impak dari segi operasi, ekonomi, perundangan dan reputasi.
Pertama, impak operasi dianalisis.Ini termasuk: perkhidmatan yang tergendala, gangguan pengeluaran, masa henti sistem kritikal, kelewatan penghantaran atau projek, ketidakupayaan untuk membuat invois, pembatalan temu janji atau intervensi, dsb. Maklumat ini adalah asas untuk menganggarkan kerugian akibat gangguan perniagaan.
Kemudian data yang terjejas mesti diperiksa dengan teliti.: maklumat peribadi pelanggan, pekerja, pembekal atau pesakit; data kewangan; rahsia perdagangan; harta intelek; kontrak; rekod perubatanRekod akademik, dan sebagainya. Setiap jenis data mempunyai risiko dan obligasi berkaitan yang berbeza.
Bagi data peribadi, tahap sensitiviti mesti dinilai. (contohnya, data kesihatan atau kewangan berbanding maklumat hubungan mudah), jumlah rekod yang terdedah dan kemungkinan penggunaan berniat jahat seperti penipuan, kecurian identiti atau pemerasan. Penilaian ini menentukan sama ada untuk memaklumkan Agensi Perlindungan Data Sepanyol (AEPD) dan pihak yang terjejas, serta langkah pampasan yang ditawarkan.
Ketiga, impak ekonomi langsung dikira.Kos ini termasuk perkhidmatan keselamatan siber luaran, peguam, komunikasi krisis, pemulihan sistem, pemerolehan segera alat keselamatan baharu, kerja lebih masa, perjalanan, dan sebagainya. Di samping itu, terdapat impak tidak langsung yang lebih sukar diukur, seperti kehilangan pelanggan, kerosakan reputasi, denda kawal selia atau penalti kontrak.
Akhir sekali, impak reputasi dan kepercayaan pihak berkepentingan dinilai.Ini termasuk reaksi pelanggan, pelabur, rakan kongsi, media dan pekerja. Insiden yang diuruskan dengan buruk, dengan sedikit ketelusan atau tindak balas yang perlahan, boleh menyebabkan kos reputasi yang berlarutan selama bertahun-tahun, walaupun ia diselesaikan dengan betul dari segi teknikal.
Pemulihan selamat: memulihkan sistem tanpa memperkenalkan semula musuh
Sebaik sahaja difahami apa yang berlaku dan penyerang telah diusir, fasa memulakan semula sistem bermula. dan kembali normal. Tergesa-gesa akan membazir jika anda ingin mengelakkan jangkitan semula atau membiarkan pintu belakang aktif.
Langkah pertama adalah untuk menentukan keutamaan pemulihanTidak semua sistem sama pentingnya untuk kesinambungan perniagaan: adalah perlu untuk mengenal pasti sistem yang benar-benar kritikal (pengebilan, pesanan, sistem sokongan, platform khidmat pelanggan, komunikasi asas) dan memulihkannya terlebih dahulu, meninggalkan sistem sekunder atau pentadbiran semata-mata untuk kemudian.
Sebelum memulihkan, sistem mesti dibersihkan atau dipasang semula.Dalam kebanyakan kes, pilihan paling selamat adalah memformat dan memasang semula dari awal, kemudian menggunakan tampalan dan konfigurasi yang telah diperketatkan, daripada cuba "membersihkan" sistem yang terjejas secara manual. Ini termasuk menyemak skrip permulaan, tugasan berjadual, akaun perkhidmatan, kunci pendaftaran dan sebarang mekanisme pengekalan yang mungkin dengan teliti.
Pemulihan data mesti dilakukan daripada sandaran yang disahkan. tanpa kompromi. Untuk melakukan ini, sandaran dianalisis dengan alat anti-perisian hasad dan tarikh disemak untuk memilih versi sebelum permulaan insiden. Apabila boleh, disyorkan untuk memulihkan terlebih dahulu dalam persekitaran ujian terpencil dan mengesahkan bahawa semuanya berfungsi dengan betul dan tanpa tanda-tanda aktiviti berniat jahat.
Semasa kembali kepada pengeluaran sistem dan perkhidmatan, pemantauan mestilah dilakukan dengan lebih intensif.Matlamatnya adalah untuk segera mengesan sebarang percubaan penyerang untuk menyambung semula, aktiviti yang tidak normal, lonjakan trafik yang tidak dijangka atau akses yang luar biasa. Penyelesaian seperti EDR/XDR, SIEM atau perkhidmatan pemantauan terurus (MDR) sangat membantu dalam pengawasan yang dipertingkatkan ini.
Manfaatkan fasa pembinaan semula untuk meningkatkan kawalan keselamatan Ia satu keputusan yang bijak. Contohnya, dasar kata laluan boleh diperkukuhkan, pengesahan pelbagai faktor, mengukuhkan segmentasi rangkaian, mengurangkan keistimewaan yang berlebihan, menggabungkan senarai putih aplikasi atau menggunakan alat pengesanan pencerobohan dan kawalan akses tambahan.
Pengajaran yang dipelajari dan penambahbaikan berterusan susulan insiden tersebut
Setelah kecemasan berlalu, tiba masanya untuk duduk dengan tenang. dan menganalisis apa yang berjalan lancar, apa yang salah, dan apa yang boleh diperbaiki. Melayan insiden itu sebagai latihan sebenar adalah apa yang benar-benar meningkatkan tahap kematangan keselamatan siber.
Adalah kebiasaan untuk menganjurkan tinjauan pasca insiden Mesyuarat ini melibatkan wakil daripada IT, keselamatan, perniagaan, perundangan, komunikasi dan, jika berkenaan, vendor luaran. Ia mengkaji semula garis masa, keputusan yang dibuat, cabaran yang dihadapi, kesesakan dan titik buta dalam pengesanan atau tindak balas.
Salah satu hasil daripada semakan ini adalah untuk melaraskan pelan tindak balas insiden.: mentakrifkan semula peranan dan kenalan, menambah baik templat komunikasi, memperhalusi prosedur teknikal, menjelaskan kriteria peningkatan atau menambah kes penggunaan tertentu (cth., serangan ransomware, kebocoran data atau insiden awan).
Satu lagi penyelesaian penting adalah untuk mengutamakan langkah-langkah keselamatan struktur Berdasarkan kelemahan yang dikesan: menampal sistem, mengukuhkan konfigurasi, menyegmentasikan rangkaian, menyemak peraturan tembok api, melaksanakan MFA di tempat yang belum dikuatkuasakan, mengehadkan akses jarak jauh, menggunakan prinsip keistimewaan paling minimum dan menambah baik inventori aset.
Pada masa yang sama, insiden itu biasanya menonjolkan keperluan untuk lebih banyak latihan dan kesedaran.Latihan pancingan data, bengkel tindak balas praktikal, sesi tentang amalan terbaik untuk pengendalian maklumat dan latihan atas meja membantu kakitangan mengetahui cara bertindak dan mengurangkan risiko ralat manusia yang menyebabkan begitu banyak pelanggaran.
Organisasi yang mempunyai sumber dalaman yang lebih sedikit boleh mempertimbangkan penyumberan luar perkhidmatan terurus. seperti pemantauan 24/7, pengesanan dan tindak balas terurus (MDR), atau pasukan tindak balas insiden luaran yang melengkapi CSIRT dalaman. Ini amat relevan apabila pemantauan berterusan tidak dapat dikekalkan atau apabila persekitaran sangat kompleks.
Akhirnya, setiap insiden yang dianalisis secara menyeluruh menjadi tuas untuk penambahbaikan. Ini menguatkan daya tahan, mempercepatkan keupayaan tindak balas dan mengurangkan kemungkinan serangan serupa berjaya pada masa hadapan. Melihat pengurusan insiden sebagai kitaran berterusan persediaan, pengesanan, tindak balas dan pembelajaran adalah apa yang membezakan organisasi yang hanya "memadamkan kebakaran" daripada organisasi yang benar-benar muncul lebih kuat dengan setiap tamparan.
Mengekalkan pandangan komprehensif tentang apa yang perlu dicari selepas insiden keselamatan siber —daripada mengenal pasti serangan kepada memelihara bukti, berkomunikasi dengan pihak ketiga, pemulihan yang selamat dan pengajaran yang dipelajari— membolehkan anda beralih daripada panik spontan kepada tindak balas profesional dan berstruktur, yang mampu mengehadkan kerosakan, mematuhi peraturan dan memperkukuh keselamatan organisasi secara nyata.
Penulis yang bersemangat tentang dunia bait dan teknologi secara umum. Saya suka berkongsi pengetahuan saya melalui penulisan, dan itulah yang akan saya lakukan dalam blog ini, menunjukkan kepada anda semua perkara yang paling menarik tentang alat, perisian, perkakasan, trend teknologi dan banyak lagi. Matlamat saya adalah untuk membantu anda mengemudi dunia digital dengan cara yang mudah dan menghiburkan.