如何应对数据泄露

一旦发生漏洞，您的首要任务就是封堵安全漏洞。这将防止通过相同途径再次入侵。然后调查原因。

• 保护与入侵相关的任何物理区域。例如，如果发生了非法闯入，应尽快更改门禁密码。 
• 立即关闭所有受影响的系统，但在取证专家进行调查之前不要关闭系统。
• 建立事件响应团队。您的团队可能包括来自各个学科的专家。您可能需要聘请一名独立的取证调查员，并让法律、信息安全甚至人力资源参与进来。专业的事件响应专家可以提供必要的专业知识。
• 捕捉漏洞的取证图像并收集证据。
• 咨询法律团队。网络漏洞通常会产生合同和数据保护法方面的后果，因此了解自己在这方面的立场至关重要。
• 如果可能，用干净的机器替换脱机机器，但要更新所有凭据，以防这些凭据是造成漏洞的原因。
• 如果您的网站被篡改，请立即删除任何不需要的信息，并联系搜索引擎从其缓存中删除被篡改的页面。
• 搜索其他网站，以防您的信息已在其他地方公开发布。
• 采访发现漏洞的人，帮助追查原因。

在整个过程中，确保您没有销毁任何证据--您将需要这些证据来找出漏洞的原因、解决问题并确定补救措施所造成的损失。

一旦追查到入侵源头和入侵系统的途径，下一步就是清除导致入侵的所有漏洞。

• 您的服务提供商是否参与了泄密事件？如果是，请分析他们可以访问哪些个人信息，必要时更改他们的权限。
• 与服务提供商合作，确保其安全性达到您所需的水平。
• 如果现有的网络分段无法提供您所希望的整体保护，请考虑改变网络分段的方式，以提高复原力。
• 你的取证分析应该已经揭示了你预期的保护措施是否有效。加密是否启用，备份是否按计划执行？
• 一旦确定了谁有权访问涉及违规的数据，请检查他们的权限以及这些权限是否必要。如果没有，则采取措施更严格地限制访问权限。
• 准备好向所有利益相关者（从员工到客户和投资者）传达违规事实。 

在修复问题的过程中，请考虑人们会就漏洞提出哪些问题，并在网站上公布关键问题的答案，以尽可能保持情况透明。

修复漏洞的原因是避免漏洞再次发生的最关键步骤，但很可能会产生影响，需要进一步采取补救措施。

• 对于涉及个人信息的网络泄密事件，各国甚至美国各州都可能有不同的法律规定。
• 在某些司法管辖区，个人数据丢失可能涉及惩罚性成本。
• 联系执法部门，报告情况和潜在身份盗窃的任何影响。您可能还需要联系当地的情报机构，如美国的联邦调查局。
• 如果外泄涉及健康记录，您可能需要通知特定组织，如联邦贸易委员会。您可能还需要联系媒体。
• 对于涉及财务信息的数据失窃，请联系维护受影响账户的企业，如信用卡公司。
• 通知其他受影响方，包括个人。提供补救服务，如免费电话号码供这些当事人用于联系，以及免费信用监控，以跟踪他们的身份是否被恶意使用。

一旦您遵循了这些步骤，您就可以很好地防止再次发生同类型的外泄事件，并对此次事件的结果进行补救。有关通知受影响方的具体规则的详细清单，请参阅美国联邦贸易委员会的数据泄露应对指南。

造成安全漏洞的原因有很多。越来越多的全时工作和混合工作导致更多的设备和员工在不受传统的基于边界的网络安全保护的情况下访问重要的企业资源。混合工作也导致更多的个人设备（通过 BYOD）被用于内部网络，因为混合员工将他们的个人设备带入办公室。这两种趋势都扩大了威胁领域--网络犯罪分子正在利用这一点。 

然而，这些因素只是扩大了网络漏洞的现有原因。

恶意内线

员工具有有害意图并利用其访问权限制造安全漏洞。

设备丢失或被盗

可访问或包含敏感信息的设备丢失或被盗。

恶意外来者

威胁者利用网络攻击载体从系统或个人获取安全信息。

终端安全薄弱

恶意外来者会发现易受攻击的端点，如未打补丁的设备、老旧软件或认证协议执行不力。