Detection en response voor boards en CEO’s
In het huidige bedrijfsklimaat worden CEO’s vaak verantwoordelijk gehouden wanneer een beveiligingsincident uit de hand loopt. CEO’s van bedrijven als Equifax, Yahoo en FACC hebben allemaal na inbreuken terechtgestaan in bestuurskamers en rechtbanken van de publieke opinie. Van hen wordt vaak verwacht dat zij zich verantwoorden voor het vermogen van hun bedrijf om te reageren op cyberaanvallen. Ik durf zelfs te zeggen dat het vermogen van een CEO om zich te verantwoorden voor de sterke en zwakke punten van zijn bedrijf op het gebied van beveiliging, onderdeel moet zijn van het incidentresponsproces. Net als hoe effectief hij in staat is om de schade aan de reputatie en geloofwaardigheid van een merk te beperken.
Blijf op de hoogte van cybersecurity in jouw bedrijf
Consultants van F-Secure merken vaak op dat ongeveer 50% van de investeringen in cyberbeveiliging nutteloos is, maar de meeste bedrijven hebben geen idee welke 50% dat is. Hoe kom je erachter welke helft van het budget mogelijk verspild wordt? Een van de eerste stappen is het identificeren van kritieke activa. Dit omvat onder andere het opzetten van een red team-aanval. Waarvan de resultaten te gebruiken zijn om het aanvalsoppervlak te verkleinen, bewustwording op te bouwen en een bedrijfscultuur van voortdurende verbetering te ontwikkelen.
Als onderdeel van de inspanningen van de CEO’s en/of het bestuur om op de hoogte te zijn van het ontwikkelingsniveau van het bedrijf, moet je ook nagaan hoe jouw bedrijf zich na een succesvolle inbreuk kan redden. Het vermogen om bedreigingen te detecteren en erop te reageren voordat ze ernstige schade kunnen toebrengen is het belangrijkste in het verbeteren van de cyberdefensie.
Hieronder vind je een lijst met eenvoudige technische vragen. De eerste drie zijn gericht op het vermogen om te detecteren. De laatste drie hebben betrekking op het vermogen om met een vastgestelde inbreuk om te gaan. Het idee achter deze vragen is niet dat ze alles zouden bestrijken of zelfs dat ze zich op het belangrijkste zouden richten. De lijst van de te verrichten taken en de capaciteiten waarover je moet beschikken, is lang en kan niet door slechts een paar vragen worden opgevolgd. De volgende zes vragen zijn echter allemaal zinvol en de antwoorden zijn erg leerzaam. Een onmiddellijke ‘ja’ op elke vraag is veelzeggend. Aan de andere kant zegt een lege blik en ‘Ik heb geen idee’ net zoveel. Voer een kort gesprek over elk onderwerp om te begrijpen wat er nog meer wordt gedaan of gepland rond elk domein.
Vragen voor het meten van het vermogen om te detecteren
1. Zijn er lokprofielen (in Active Directory of iets dergelijks) en krijg je waarschuwingen wanneer deze profielen het doelwit zijn?
Verklaring: Aanvallers gebruiken bijna altijd bestaande gebruikersaccounts om na de eerste indringing nog meer voet aan de grond te krijgen. Dat soort activiteiten zou goed zichtbaar zijn in een nepaccount dat door het IT-team is aangemaakt, omdat het account normaal gesproken helemaal niet actief zou zijn. Om ervoor te zorgen dat dit nuttig is, moet het beveiligingsteam automatisch worden gewaarschuwd wanneer er enige activiteit wordt gedetecteerd in deze nepaccounts.
2. Word je gewaarschuwd over mislukte inbraakpogingen tegen endpoint-apparaten, zoals laptops?
Verklaring: Aanvallers gebruiken vaak bekende kwetsbaarheden in systemen om voet aan de grond te krijgen. Vaak heeft het IT-team de systemen bijgewerkt en werkt de aanval niet. Het is belangrijk om op de hoogte te worden gesteld van deze mislukte pogingen, omdat ze kunnen aantonen dat je het doelwit bent van een serieuze tegenstander.
3. Ontvangt het beveiligingsteam meldingen als werkstations met elkaar communiceren?
Verklaring: Er is meestal geen netwerkverkeer direct tussen werkstations, alleen tussen werkstations en servers. Als een eindapparaat rechtstreeks verbinding probeert te maken met een ander eindapparaat, moet het beveiligingsteam op de hoogte worden gesteld.
Vragen voor het meten van de responscapaciteit
1. Kun je zien welke gebruikers een e-mail hebben ontvangen met een bijlage genaamd “example.pptx”?
Verklaring: het beveiligingsteam heeft vaak logboeken nodig om te kunnen zien wat er daadwerkelijk in de IT-omgeving gebeurt. Het niet of niet snel toegang krijgen tot deze logs kan het vermogen om te reageren belemmeren.
2. Kun je op afstand bewijs verzamelen van een werkstation? (Bijv. een afbeelding uit het geheugen)
Verklaring: Dit is één van de belangrijkste mogelijkheden voor forensisch werk tijdens een incident, omdat het helpt snel zicht te krijgen op wat er werkelijk is gebeurd.
3. Kun je aangeven welke gebruiker bijvoorbeeld 15 maanden geleden is aangesloten op adres 1.2.3.4?
Verklaring: Net als de eerste twee vragen geeft het snel en efficiënt kunnen beantwoorden van deze vraag aan hoe snel je inzicht kunt krijgen in wat er daadwerkelijk is voorgevallen tijdens een incident.
Technische vragen zoals deze lijken misschien te diepgaand of te gedetailleerd voor een CEO. Maar iedereen, met inbegrip van het topmanagement en bestuursleden, moet een zekere mate van kennis hebben over de technische beveiligingscapaciteiten van het bedrijf.
Door inzicht te krijgen in het technische vermogen en de sterke punten van het bedrijf, kun je de context van het beveiligingsincident en de daaropvolgende respons inschatten. Je kunt de juiste vragen stellen in plaats van je te moeten verdiepen in de basisprincipes van de IT-omgeving en de beveiliging van het bedrijf. Die kennis helpt bij het bieden van betere begeleiding om ervoor te zorgen dat verschillende belanghebbenden samenwerken in plaats van chaos en paniek toe te laten slaan.
Hoewel effectieve samenwerking een belangrijk element is in de responscapaciteit van het bedrijf, is er een aspect van individuele verantwoordelijkheid dat de rol van de CEO uniek maakt. Van CEO’s wordt verwacht dat zij de controle over alle aspecten van hun bedrijf houden. In veel opzichten zijn aanvallen niets meer dan een poging van een tegenstander om de controle over een bedrijf, zijn activa of zijn personeel in handen te krijgen. DDoS-aanvallen, afpersing, spionage en diefstal kunnen allemaal worden gezien als een poging van een tegenstander om de touwtjes in handen te nemen. In dat opzicht is het passend dat belanghebbenden verwachten dat u de verantwoordelijkheid draagt voor deze aanvallen.
Tot slot
Het is belangrijk dat iedereen binnen een bedrijf proactief reageert op bedreigingen. Uw eerste ervaring met de cyberbeveiliging van uw bedrijf mag niet bestaan uit een telefoontje van de CISO die een inbreuk meldt. Begin met het stellen van bovengenoemde vragen. Zo maak je aan iedereen duidelijk dat de kennis over het detecteren van een incident, de respons op een incident en het herstel van een incident belangrijk genoeg is om als een bedrijfsbrede prioriteit te worden behandeld. Door dit op de juiste manier te doen, kan jouw bedrijf een beveiligingscultuur ontwikkelen die klaar is om aanvallen aan te pakken met een snelle, efficiënte respons die schade kan beperken en het bedrijf in staat stelt zijn activiteiten te hervatten.
De beveiliging van een bedrijf is als een spier. Om in vorm te blijven moet er worden getraind. Dat betekent dat er regelmatig mee moet worden geoefend, zodat deze zijn werk kan doen wanneer het nodig is om het op te nemen tegen aanvallers. Externe specialisten in cyberbeveiliging kunnen hierbij als trainers optreden. Zij moedigen een bedrijf aan om beter te presteren. Hun volledige focus op beveiliging betekent dat zij medewerkers kunnen voorzien van de begeleiding, kennis en motivatie om beter te presteren en aanvallers een stap voor te blijven.
Het is geen gemakkelijke taak om CEO of voorzitter te zijn. Je wordt altijd achteraf gezien beoordeeld. Er wordt verwacht dat je alles weet en altijd op de hoogte bent van wat er gebeurt. Cyberbeveiliging is een van de gebieden waarbij dit lastig is, aangezien de technische eisen vrij hoog liggen om goed te begrijpen wat de werkelijke preventie-, detectie- en responsmogelijkheden van het bedrijf zijn.
Wil je meer weten over dit onderwerp? Dat kan! Rob praat je graag bij. Plan snel een afspraak met hem in.
Categorieën