一些數(shù)據(jù)泄露事件總是出現(xiàn)在新聞頭條中，也會引起人們的關(guān)注。密蘇里州州長Mike Parson就一家報(bào)社報(bào)道中小學(xué)網(wǎng)站出現(xiàn)的安全漏洞舉行了一次新聞發(fā)布會，這引起了社交媒體的強(qiáng)烈反對。因?yàn)樗麑⑵毓鈿w咎于發(fā)現(xiàn)公眾可訪問敏感數(shù)據(jù)的報(bào)社記者，而不是出現(xiàn)安全漏洞的網(wǎng)站。

這件事讓安全專家想起了幾年前從幾位從事微軟安全問題通信工作人員那里獲得的經(jīng)驗(yàn)和教訓(xùn)。微軟安全事件通常以各種細(xì)節(jié)出現(xiàn)在新聞中，但其安全通信團(tuán)隊(duì)通常對此保持沉默。專家開始以為他們不了解面臨的安全問題，但后來發(fā)現(xiàn)他們在等待后續(xù)解決方案，或者仍在調(diào)查一些事實(shí)。

率先發(fā)布有關(guān)安全事件的消息通常意味著會出錯，或者更糟糕的是，受害者不完全了解情況，并提供通常無法輕易糾正的錯誤信息。在這個全天候的新聞世界中，在這個過程中過早地披露企業(yè)面臨的安全問題而帶來不必要的審查。因此，企業(yè)在發(fā)布數(shù)據(jù)泄露事件的通知中應(yīng)該遵循中間立場，既不過早發(fā)布，也不過晚發(fā)布。

企業(yè)明智的做法是制定如何應(yīng)對數(shù)據(jù)泄露事件的計(jì)劃，以下是如何制定這一計(jì)劃的方法：

1.了解網(wǎng)絡(luò)保險(xiǎn)公司的違規(guī)流程

企業(yè)在發(fā)生數(shù)據(jù)泄露事件之前需要聯(lián)系其網(wǎng)絡(luò)保險(xiǎn)公司，以了解保險(xiǎn)公司在發(fā)生事件時希望遵循的流程。一旦懷疑存在違規(guī)行為，他們應(yīng)該是企業(yè)首先聯(lián)系的人之一。他們可能需要引入調(diào)查人員以更好地了解違規(guī)行為的性質(zhì)。保險(xiǎn)公司也有自己的溝通專家，他們將協(xié)助溝通過程或成為企業(yè)遭遇數(shù)據(jù)泄露事件的發(fā)言人。

2.制定溝通計(jì)劃

企業(yè)在確定發(fā)生違規(guī)事件時需要進(jìn)行溝通?？梢云鸩菪枰故镜臏贤０濉４_保關(guān)于企業(yè)的客戶在發(fā)生違規(guī)事件后的溝通清晰明確。企業(yè)遵循網(wǎng)絡(luò)保險(xiǎn)提供商和律師關(guān)于在面向客戶的網(wǎng)站上進(jìn)行溝通和公共關(guān)系通知的指導(dǎo)。一旦發(fā)生違規(guī)事件，需要監(jiān)控隨著情況的變化可能需要的后續(xù)溝通。

3.了解相關(guān)的違規(guī)通知指南和規(guī)定

如果是政府部門，則需要遵循美國國家標(biāo)準(zhǔn)與技術(shù)研究院(NIST)的違規(guī)披露和通知指南。私營企業(yè)也需要建立類似的流程。由于遭受勒索軟件重創(chuàng)，美國的立法者開始采取行動確保更好的溝通和調(diào)查。最近推出的美國參議院第2666號法案要求對員工超過50人的企業(yè)報(bào)告勒索軟件支付有著嚴(yán)格的24小時限制，例如，在發(fā)現(xiàn)危及、可能危及或嚴(yán)重影響聯(lián)邦機(jī)構(gòu)或相關(guān)實(shí)體履行關(guān)鍵職能的勒索軟件操作后24小時內(nèi)，發(fā)現(xiàn)勒索軟件操作的聯(lián)邦機(jī)構(gòu)或相關(guān)實(shí)體應(yīng)提交勒索軟件通知。

4.制定漏洞披露計(jì)劃

企業(yè)應(yīng)該提前審查的另一個流程是漏洞披露計(jì)劃。隨著企業(yè)的更多信息被放置在網(wǎng)絡(luò)上，通常沒有更多的資源來全面審查和識別可能無意中部署的所有安全漏洞。

大企業(yè)通常有漏洞賞金計(jì)劃，為漏洞研究人員發(fā)現(xiàn)問題的行為支付報(bào)酬，但大多數(shù)企業(yè)都沒有這樣的計(jì)劃。有些公司依賴第三方漏洞賞金計(jì)劃，例如在安全研究人員和企業(yè)之間進(jìn)行協(xié)調(diào)的零日計(jì)劃。

所有擁有面向客戶的網(wǎng)站或資產(chǎn)的企業(yè)都有而且應(yīng)該有一個允許公眾披露漏洞的流程。而security@的電子郵件別名通常被保留用于報(bào)告安全問題，因此需要確保有一個既定的披露流程。

5.考慮滲透測試服務(wù)

企業(yè)通常有自己的門戶網(wǎng)站，如果發(fā)生的數(shù)據(jù)泄露事件對企業(yè)產(chǎn)生重大影響，需要考慮讓安全團(tuán)隊(duì)或聘請第三公司對運(yùn)營環(huán)境進(jìn)行滲透測試。像Black Hills信息安全公司這樣的安全廠商長期以來一直使用滲透測試團(tuán)隊(duì)或安全紅隊(duì)來鞏固他們的安全防御。Purple Teaming結(jié)合了攻擊和防御方法，以獲取更多關(guān)于網(wǎng)絡(luò)漏洞以及如何解決這些漏洞的知識。

最重要的是，企業(yè)需要審查處理安全問題和違規(guī)行為的流程，確保已經(jīng)建立適當(dāng)?shù)牧鞒虂硖幚磉`規(guī)行為。企業(yè)需要知道的是，他們面臨的不是違規(guī)事件是否會發(fā)生，而是何時發(fā)生。