Analiza incydentu bezpieczeństwa – DCM (Detect, Classify, Manage)

Rekomendowaną praktyką przy analizie incydentu jest sprawdzenie stanu zasobów na 30 dni przed nim i 30 dni po nim. DCM jest jedynym narzędziem, które to umożliwia, dzięki posiadanej osi czasu.

Na osi widzimy wykres wolumenu danych. Możemy następnie zaznaczyć moment, który nas interesuje i wniknąć w informacje szczegółowe. Zamieszczona poniżej wizualizacja pokazuje rozłożenie w środowisku, uwzględniając nadany im typ we wcześniejszym procesie klasyfikacji. Raport zawiera koła o wielkości odpowiadającej ilości przechowywanych danych w lokalizacji oraz kolorze oznaczającym charakter danego zbioru danych. Każdy typ danych ma swój kolor, a odcień koła, które widzimy na obrazku zależy od proporcji rodzajów danych. Dzięki temu możemy dokładnie określić, które lokalizacje w zasobach wymagają szczególnej ochrony. W poniższym przykładzie rozkład typów plików jest równomierny i neutralny poza lokalizacją nazwaną „Executive Team”, gdzie dominują czerwony i żółty (ściśle tajne oraz własność intelektualna).

Są trzy opcje obrazowania zasobów. Możemy zobaczyć typ danych/ryzyko, wg.:

• endpointów (urządzeń),
• użytkowników, którzy ostatnio zmieniali plik,
• struktury organizacyjnej, np. działów, np. stopni hierarchii (możliwość dostosowania).

W powyższym przykładzie, widzimy, że dwaj użytkownicy edytują inne typy danych niż pozostali. Kolory przypisuje się podczas konfiguracji programu, np.

🟡  intelektualna,

🟢  kategorie danych osobowych,

🟠  osobowe wrażliwe,

🔵  finansowe,

🔴  secret.

Natomiast wielkość koła zależy od liczby edytowanych plików w danym przedziale czasowym. Możemy też zobaczyć, z jakich urządzeń edytowano pliki.

Gdybyśmy podejrzewali konkretny endpoint jako ten, przez który haker uzyskał dostęp do plików, klikamy w niego i widzimy listę plików, które stanowią potencjalny wyciek. Szacowanie powagi incydentu jest łatwiejsze dzięki danym uprzednio wagom ryzyka.

Liczbę posiadanych plików poszczególnych kategorii widzimy w następnej części interfejsu (paski po prawej stronie). Z kolei po lewej zliczona jest liczba plików, które poddaliśmy jednej a z akcji naprawczych. Nasze narzędzie ma kilka możliwości „naprawczych”, które są wykonywane zbiorczo, np. na wszystkich plikach, w których znaleźliśmy sformułowanie lub kod, których poufność chcemy ochronić.

Tak więc:

Jeżeli rozpoznamy ryzyko w treści ➡️ możemy ją zredagować,

jeśli dokument ma zbyt szeroki dostęp ➡️ ograniczony,

dokumenty wrażliwe ➡️ przenosimy do lepiej chronionej lokalizacji,

nadmiarowe ➡️ usuwamy.

Tak się prezentują możliwości raportowe narzędzia używanego w procesie DCM™.

Czas na zgłoszenie incydentu do organu nadzorczego ds. ochrony danych to 72 godziny.

Usługa DCM™ pozwala szybko i dokładnie określić skutki incydentu, a następnie wygenerować raport dowodowy dla PUODO.

Analiza zmiany wolumenu i rozłożenia danych w czasie jest możliwa dzięki regularnemu skanowaniu infrastruktury, które wykonujemy w ramach współpracy.