Een ernstig cyberincident, ben jij er klaar voor?

January 11, 2022

Cybersecurity-gerelateerde aanvallen zijn niet alleen talrijker en diverser geworden, maar ook schadelijker en ontwrichtender. Er duiken regelmatig nieuwe soorten beveiligingsgerelateerde incidenten op. Preventieve activiteiten zoals een security scan of een pentest kunnen het aantal incidenten verlagen, maar niet alle incidenten kunnen voorkomen worden.

Het is daarom noodzakelijk om incidenten snel te kunnen detecteren, eventuele verlies en vernietiging van data te minimaliseren, zwakke punten te verminderen en IT-diensten weer snel te herstellen. De meest effectieve en efficiëntste manier om dat te doen is via een incident responsplan. Maar hoewel de behoefte aan een incident respons plan duidelijk is, heeft een verrassend grote meerderheid van de organisaties er geen, of heeft een plan dat onderontwikkeld is.

ⓘ Incident responsplan
Een incident responsplan is een document waarin de procedures, stappen en verantwoordelijkheden van een organisatie voor haar incident respons programma worden beschreven. Het document wordt ingezet om het personeel van een organisatie te helpen bij het detecteren, reageren op en herstellen van netwerkbeveiligingsincidenten.

Indien je nog geen incident responsplan hebt, stellen wij voor om eens met de volgende stappen aan de slag te gaan.

Maak incident respons een onderdeel van jouw organisatie

Veel IT-managers zijn geneigd om direct met het plan zelf aan de slag te gaan. Maar het is ook belangrijk om te bespreken hoe incident respons de bredere missie van de organisatie ondersteunt. Wanneer het stilleggen van de IT-omgeving verregaande gevolgen heeft voor de bedrijfsvoering van jouw organisatie, zou een degelijk incident responsplan hoge prioriteit moeten hebben. Door dit bespreekbaar te maken, creëer je draagkracht voor het opstellen van dit plan. Zodoende krijg je voldoende tijd en resources om een gedegen plan uit te werken.

Bespreek hoe jouw organisatie een incident respons wil benaderen

Het is belangrijk voor de organisatie om te weten dat de waarde van een goed incident respons plan niet eindigt wanneer een beveiligingsincident voorbij is. Voor de IT-manager of netwerkbeheerder zal dit voor de hand liggen, maar het is belangrijk om anderen binnen de organisatie hier ook bewust van te maken. Zo kan het ondersteuning bieden voor succesvolle rechtszaken of kan de documentatie gebruikt worden om aan auditors te laten zien. Maar het kan ook de mogelijkheid bieden om het risicobeoordelingsproces verder te ontwikkelen of het incident respons proces zelf te verbeteren. Door dit bespreekbaar te maken, maak je een incident responsplan een integraal onderdeel van de security van jouw organisatie.

De fases van incident respons

Wanneer je voldoende draagkracht hebt binnen de organisatie, bepaal je de activiteiten die vereist zijn in elke fase van de incident respons. De activiteiten in een incident responsplan worden vaak in een aantal fasen aangepakt. Binnen elke fase zijn er specifieke behoeftegebieden waarmee rekening moet worden gehouden. Wij nemen je mee in de verschillende fases.

  1. Voorbereiding.

    Om snel en volledig te kunnen handelen terwijl een incident zich voordoet, moet iedereen weten wat de verantwoordelijkheden zijn en welke beslissingen er genomen moeten worden. Zorg er daarom voor dat er documentatie bestaat die regelmatig wordt bijgewerkt en zo actueel blijft. Voor een goed voorbeeld kun je hier terecht.

    Naast de nodige documentatie is het ook belangrijk dat jouw medewerkers goed zijn opgeleid met betrekking tot hun rol en verantwoordelijkheden voor het reageren op dergelijke incidenten. Denk specifiek aan security awareness of phishing.

    Zorg er ten slotte voor dat je de beschikking hebt over de juiste technologie om adequaat op een incident te reageren of dat je beschikt over iemand die je up-to-date houdt over de mogelijkheden om je hier op voor te bereiden. Het grootste probleem voor het oplossen van een beveiligingsincident voor security specialisten is praktisch altijd het ontbreken van een effectieve technologie-implementatiestrategie.
Pro-tip: Upload nooit bestanden naar online scanners. Veel hackers rekenen op services zoals VirusTotal voor het ontdekken van gerichte malware.
  1. Analyse en detectie

    Bepaal of een incident heeft plaatsgevonden, wat de ernst is en om welk type beveiligingsincident het gaat.

    Begin met het aanwijzen van indicatoren van een incident, bepaal of een indicator deel uitmaakt van een aanval of dat het een vals positief is, documenteer het incident, scoor de incidenten op de impact die het zal hebben op de bedrijfsfunctionaliteit, de vertrouwelijkheid van de getroffen informatie en de herstelbaarheid van het incident, en stel de juiste afdelingen/personen op de hoogte.

    Laat je echter niet misleiden door de eenvoud van hierboven. De detectie- en analysefase kan zeer uitdagend zijn.
Pro-tip: Onderzoek niet alles. Geef meedogenloos prioriteit aan jouw onderzoeksinspanningen. Voer bijvoorbeeld alleen forensische analyses uit op endpoints die aanvallers daadwerkelijk hebben gebruikt of aangepast. Bij een groot incident waarbij een aanvaller beheerdersrechten heeft, is het praktisch onmogelijk om alle potentieel gecompromitteerde bronnen (waaronder mogelijk alle organisatiebronnen) te onderzoeken.
  1. Inperking

    Nadat een beveiligingsincident is gedetecteerd, is het belangrijk om de inbraak in te dammen voordat de aanvaller toegang kan krijgen tot meer bronnen of meer schade kan aanrichten. Het primaire doel van deze procedure is om de impact op klanten of hun gegevens, of op de betreffende systemen, services en toepassingen te beperken. Cybersecurity-analisten gebruiken vaak netwerksegmentatie als een proactieve strategie om de impact van toekomstige beveiligingsincidenten te verkleinen.
Pro-tip: Overweeg aanpassingen zorgvuldig. Tenzij je een onmiddellijk risico loopt om bedrijfskritieke gegevens te verliezen, zoals verwijdering, versleuteling en exfiltratie, moet je het risico van het niet aanbrengen van de wijziging afwegen tegen de verwachtte zakelijke impact. Het tijdelijk afsluiten van de internettoegang van jouw organisatie kan bijvoorbeeld nodig zijn om bedrijfskritieke activa te beschermen tijdens een actieve aanval. Als er wijzigingen nodig zijn waarbij het risico van het niet uitvoeren van een actie groter is dan het risico om het wel te doen, documenteer de actie dan in een wijzigingslogboek. Wijzigingen die tijdens incident respons worden aangebracht, zijn gericht op het verstoren van de aanvaller en kunnen een negatieve invloed hebben op jouw organisatie. Je zal deze wijzigingen dan terug moeten draaien na het herstelproces.
  1. Uitroeiing

    Uitroeiing is het proces waarbij de hoofdoorzaak van het beveiligingsincident met een hoge mate van vertrouwen wordt geëlimineerd. Het doel is tweeledig:

    - om de tegenstander volledig uit de omgeving te verdrijven
    - om de kwetsbaarheid (indien bekend) te verminderen die de kwaadwillende in staat stelde of zou kunnen stellen om de omgeving opnieuw te betreden.
Pro-tip: Verwijder gecompromitteerde systemen uit het netwerk maar let hierbij op het veiligstellen van de informatie- en logbestanden. Dit is vaak de sterkste inperkingstechniek in de toolkit voor incident respons van cyberbeveiligingsanalisten.
  1. Herstel

    Naarmate het respons team een redelijk niveau van vertrouwen krijgt dat de tegenstander uit de omgeving is verdreven en alle bekende kwetsbare paden zijn geëlimineerd, zal je herstelstappen moeten initiëren om de services naar een bekende en goede configuratie terug te brengen.

    Tijdens de uitroeiings- en herstelinspanningen moeten beveiligingsanalisten een duidelijk begrip ontwikkelen van de hoofdoorzaak van het incident. Het herbouwen en/of herstellen van systemen moet altijd worden gedaan met de analyse van de hoofdoorzaak van het incident in gedachten.

    Als je hebt vastgestelt dat er zich een beveiligingsincident heeft voorgedaan, zal je jouw klanten daarvan onverwijld op de hoogte moeten stellen (en binnen de contractuele en nalevingsvereisten waarmee ze hebben ingestemd).
Pro-tip: Valideer dat het herstelplan met succes is uitgevoerd en dat er geen tekenen van inbreuk in de omgeving meer zijn.
  1. Activiteit na het incident

    Sommige beveiligingsincidenten, met name die incidenten die gevolgen hebben voor de klant of resulteren in een datalek, zullen onderworpen moeten worden aan de nodige nazorg. Voer daarom een gedetailleerde analyse uit met alle partijen die betrokken zijn bij het beveiligingsincident.

    Zo raden we aan de volgorde van gebeurtenissen die het incident hebben veroorzaakt te documenteren en een technische samenvatting van het incident te maken, ondersteund door het bewijsmateriaal van alle partijen die betrokken zijn bij de inbreuk (indien bekend). Deze samenvatting kan bijvoorbeeld omschrijven hoe de incident respons is uitgevoerd en andere belangrijke aandachtspunten. Identificeer daarnaast alle technische fouten, procedurefouten, handmatige fouten, procesfouten en communicatiestoringen, en/of voorheen onbekende aanvalsvectoren die werden geïdentificeerd tijdens de reactie op beveiligingsincidenten.
Pro-tip: Gebruik de analyse rechtstreeks voor de verbetering van de service, de operationele processen en documentatie van jouw organisatie. Het plan stelt je namelijk in staat nieuwe prioriteiten te stellen in de ontwikkelingscyclus van jouw organisatie.

Hulp nodig?

Onze consultants hebben een ongeëvenaarde ervaring met de meest extreme aanvallen ter wereld. Als je denkt dat er een inbreuk op jouw organisatie is gepleegd, neem dan contact op met ons team.

Klaar om jouw cybersecurity naar een hoger niveau te tillen?

Let's get started!