Geen enkele organisatie is 100% veilig voor cyberaanvallen. Door de omvang van het gemiddelde aanvalsoppervlak en de vastberadenheid van cybercriminelen is het niet uit te sluiten dat ook jouw organisatie een keer gehackt wordt. Maar organisaties hoeven zich niet zomaar gewonnen te geven wanneer er een aanval plaats vindt.
Door incident response-processen te op te zetten en rigoureus te testen is het mogelijk om een aanval te detecteren en te isoleren voordat het blijvende financiële of reputationele schade toebrengt. De truc is om te weten wat je moet doen als cybercriminelen toeslaan.
Werk samen met experts
Wanneer kritieke systemen falen en beveiligingsteams alarm slaan is de eerste ingeving vaak om de netwerkverbinding zo snel mogelijk te verbreken – om te voorkomen dat een aanval zich verder verspreidt. Het afsluiten van servers wordt echter niet altijd aangeraden omdat dit kan leiden tot het verlies van belangrijke data die essentieel zijn voor forensisch onderzoek.
Om ervoor te zorgen dat de juiste zaken op het juiste moment worden uitgevoerd, is het belangrijk om een een professioneel Incident Response (IR)-team in te schakelen. Het IR-team zal conform een vast proces (bijvoorbeeld van het SANS-institute) werken om systemen veilig te herstellen en digitaal forensisch onderzoek te doen, om zo de killchain te onderzoeken en de impact te bepalen. Tevens zorgt het team ervoor de actor geen toegang meer heeft tot de systemen door alle endpoints en servers sterk te beveiligen. Vaak is de beste optie om contact op te nemen met een derde partij in plaats van het in-house te beheren, mede omdat zeer specialistische kennis en vooral ervaring noodzakelijk is.
Een incident kan een extreem stressvolle situatie veroorzaken. Wanneer het bestaan van een organisatie op het spel staat is het essentieel om het hoofd koel te houden. In stressvolle situaties kunnen belangrijke dingen die vaak over het hoofd worden gezien. Zelfs het noodplan dat ergens in de la ligt werkt zelden precies zoals verwacht in de praktijk.
Keep calm and carry on
Professionele IR-teams hebben ervaring met cyberincidenten en weten precies wat ze moeten doen. Een gecoördineerde aanpak is cruciaal. Incident Response werkt alleen als iemand het voortouw neemt, rustig blijft en duidelijke instructies geeft. Een deskundige, al dan niet extern, die niet persoonlijk wordt beïnvloed door de gebeurtenissen, is hiervoor het meest geschikt. Een Incident Response team werkt over het algemeen met coordinators en analysten – waarin de coordinators de projectcoordinatie uitvoeren en de analysten het digitaal forensich onderzoek uitvoeren.
Een IR engagement vereist een bijna 24/7 beveiligingsoperatie, waarbij expertise van verschillende disciplines nodig is. Daarnaast is de afstemming over de ex- en interne communicatie, juridische zaken en met de mogelijke verzekeraar crusiaal. Het is cruciaal om de juiste IR-partner te vinden. Verspil dus geen kostbare tijd door te wachten tot er een incident plaatsvindt voordat je een partner zoekt. Ga vast onderzoeken welke IR-partner daarbij zou kunnen helpen.
Start met de data
Professionele Incident Responders starten met het onderzoeken wat er precies is gebeurd, wanneer het is gebeurd en hoe het is gebeurd. Om een cyberincident snel onder controle te krijgen, moeten ze analyseren welke systemen zijn getroffen. Hiervoor zijn de juiste data essentieel. Windows-gebeurtenislogboeken alleen zijn niet voldoende, omdat ze onbetrouwbaar kunnen zijn – cybercriminelen manipuleren dergelijke bestanden vaak om onopgemerkt te blijven.
Telemetriedata van beveiligingssystemen en het monitoren van activiteiten op endpoints en in het netwerk zijn van groot belang voor het IR-team. Deze data moeten worden geconvergeerd en gecorreleerd in een gecentraliseerd XDR- en/of SIEM-platform. Hoe betekenisvoller de data, hoe sneller en gerichter het team het cyberincident kan aanpakken. Door ‘patient zero’ te identificeren en het pad van de aanvallers te volgen, kunnen organisaties leren van gemaakte fouten en eventuele kwetsbaarheden aanpakken om de veerkracht voor de toekomst op te bouwen. Zelfs nadat IT-systemen zijn hersteld, is het belangrijk om de IT-omgeving met extra aandacht te monitoren voor het geval de aanvaller zich nog steeds verbergt en mogelijk weer een nieuwe poging doet.
Reviews, updates en tests
Een aantal organisaties beschikt al over een IR-noodplan al dan niet gecombineerd met een business continuity-plan. Maar hoe bepaal je bijvoorbeeld welke back-upsystemen niet zijn aangetast? Hoe lang duurt het om een offline back-up, te herstellen? Is het kosteneffectief? Organisaties moeten in hun IR-plan verschillende scenario’s overwegen en alternatieve acties definiëren. Denk ook aan het opzetten van een communicatiekanaal buiten de IT-omgeving van de organisatie om, voor het geval het document management system en e-mailsysteem uitvalt of aanvallers berichten onderscheppen. Een veilige berichtendienst buiten de organisatie om is een noodzaak.
Daarnaast moeten organisaties hun IR-plan te allen tijde direct beschikbaar stellen en bij voorkeur offline opslaan, zodat het bij een cyberaanval niet kan worden gecodeerd. Het plan moet ook de systeemdocumentatie bevatten dat een overzicht biedt van de IT-omgeving. Dit moet regelmatig worden bijgewerkt. Een noodplanning is niet iets wat je één keer opschrijft en vervolgens in een la opbergt. Het moet regelmatig worden herzien en aangepast als de vereisten veranderen. Om te testen of het ook in de praktijk werkt, kunnen Red Teaming- of Purple Teaming-oefeningen handig zijn om live aanvallen te simuleren en zo elke keer te kunnen verbeteren.
Voldoen aan compliance-vereisten
Effectieve IR-planning versterkt de veerkracht van een organisatie om een cyberaanval te overleven. Het is geen toeval dat de NIS2-richtlijn dergelijke maatregelen verplicht stelt voor aanbieders van kritieke infrastructuur en andere entiteiten. Artikel 21, lid 2, definieert incidentafhandeling, back-upbeheer, disaster recovery en crisismanagement als minimumnormen.
Maar zelfs organisaties die niet onder de NIS2 of andere richtlijnen vallen, moeten goed nadenken over hoe ze in actie kunnen komen als ze worden aangevallen, liefst voordat ze worden aangevallen. Vergeet niet dat het geen kwestie is van ‘als’, maar van ‘wanneer’ de organisatie wordt aangevallen en een IR team nodig heeft.
Kortom wees erop voorbereid dat een aanval succesvol kan zijn, maar voorkomen is beter dan genezen. Er zijn hele effectieve manieren om een organisatie te beschermen! Bijvoorbeeld door het gebruik van eXtended Detection and Response waarmee een aanval wordt gedetecteerd voordat deze effectief wordt. Daarnaast zijn proactieve maatregelen belangrijk. Door met Attack Surface Management goed inzicht te hebben in de risico’s van het aanvalsoppervlak kan het beveiligingsniveau continue wordt verhoogd.
Dit is een ingezonden bijdrage van Trend Micro. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.