Cyberaanvallen kosten organisaties veel geld. Soms heeft dit direct gevolgen. En soms duurt het jaren voordat de geleidelijke koersdaling en het verminderde vertrouwen van klanten voelbaar is.
Volgens recente onderzoeken duurt het gemiddeld 69 dagen voordat een cyberaanval is opgelost nadat deze eenmaal is ontdekt. Deze kloof tussen detectie en respons houdt in dat organisaties een cruciale kans missen om aanvallen te stoppen voordat aanvallers hun doel bereiken. Dit doel kan onder andere bestaan uit de encryptie van servers, de exfiltratie van gegevens en de inzet van ransomware.
De paraatheid om te reageren vereist een investering van tijd en financiële middelen in personen, processen en technologie. Het bereiken van 100% paraatheid voor respons vraagt een hoge mate van tijd en investering. Dit artikel schetst de basisprincipes van hoe organisaties zich kunnen voorbereiden op, reageren op en herstellen van een cyberaanval.
Vóór een cyberaanval
Stel vast zonder welke endpoints en servers uw organisatie niet kan functioneren
Wat is in jouw organisatie van waarde voor aanvallers? Bedenk dit vóórdat er een inbreuk plaatsvindt. Bijvoorbeeld vertrouwelijke klant- en personeelsgegevens, informatie over intellectueel eigendom, fusies en overnames en uitbreidingsplannen. Koppel die informatie aan de endpoints en servers die essentieel zijn voor een vlotte bedrijfsvoering. Het samenvoegen van de twee leidt ertoe dat de cybersecurity-investering kan worden ingezet voor de verdediging van de meest essentiële activa. Dit kan bestaan uit het houden van toezicht op endpoints en het maken van back-ups van bedrijfskritische servers.
Bescherm de endpoints
Bij de meeste moderne cyberaanvallen worden eerst de endpoints gecompromitteerd. Daarom is de inzet van een detectiemiddel voor endpoints vóór een cyberaanval van essentieel belang. Het helpt responders om direct inzicht te krijgen in hoe de aanvaller binnenkwam, waartoe hij toegang heeft verkregen en wat hij mogelijk probeert te bereiken.
Train eerstelijns responders
Elke organisatie moet een team van ‘eerstelijns responders’ aanwijzen: het team dat wordt ingeschakeld wanneer er vermoedelijk een incident gaande is. Jouw team van responders moet weten:
- Welke stappen moeten worden genomen om het vermoedelijke incident te onderzoeken;
- Hoe ze toegang kunnen krijgen tot gegevens en telemetrie om te bevestigen of het incident moet worden geëscaleerd;
- Hoe ze het incident in de eerste 48 uur kunnen beheren;
- Wanneer de incident-responsteams, intern of extern, moeten worden ingeschakeld.
De training van eerstelijns responders moet niet beperkt blijven tot beveiligingsmedewerkers en IT-personeel. Er moeten veel verschillende soorten personeel worden getraind in eerstelijns responsacties: van personal assistants tot personeelszaken, office managers en analisten.
Zorg ervoor dat uw team van eerstelijns responders uw volledige IT-landschap omvat, met inbegrip van een kaart van alle endpoints, hardware en software, met duidelijke rollen en verantwoordelijkheden.
Tijdens een cyberaanval
Het incident is eenmaal bevestigd, wat nu?
Schakel de host niet uit
Wanneer een inbraak wordt vastgesteld, is een veelvoorkomende vergissing om de stekker uit het stopcontact te trekken. Hoewel het afsluiten van de stroomvoorziening vanuit het oogpunt van inperking een goede zaak lijkt, maakt het de taak van de responder een stuk lastiger. Als de aanval volledig in het geheugen is gevestigd, kan het afsluiten van die host het bewijs van hoe de aanvaller toegang kreeg tot het endpoint volledig verwijderen. Het belemmert het verzamelen van informatie over de oorsprong van de aanval en de potentiële doelstellingen.
Dit beleid moet voortdurend worden gecommuniceerd naar alle medewerkers.
Stel de belangrijkste contactpersoon of -personen voor de incident-responsteams vast
We kunnen niet genoeg benadrukken hoe belangrijk dit is. Wanneer organisaties dit niet hebben gedaan, en er een incident gaande is, kan er veel tijd worden verspild aan het nagaan wie de eigenaar van systemen is, met wie de responders moeten spreken wat betreft escalatie en wie de benodigde begroting kan goedkeuren. Het is vaak noodzakelijk om verdedigende maatregelen te nemen om het bedrijf te beschermen, zoals het verwijderen van kritieke elementen van de infrastructuur. Als een bedrijf hier niet op voorhand op voorbereid is, kan het moeilijk zijn om de voor en tegens te bespreken terwijl een aanvaller zich in de systemen bevindt.
De aanvaller direct verjagen is niet altijd de juiste zet
Het is logisch dat je de aanvaller zo snel mogelijk wilt verjagen. Maar dat is niet altijd de juiste zet. Dit is vooral belangrijk wanneer het gaat om geavanceerde aanvallers. Op het moment dat zij worden gewaarschuwd over het feit dat ze zijn ontdekt, kunnen zij namelijk ofwel ransomware inzetten, ofwel het strijdtoneel verlaten om later, minder opvallend, terug te komen. Een afgewogen en gecoördineerde respons kan ervoor zorgen dat de activa worden beschermd en de aanvaller zonder toevlucht wordt verdreven.
Na een cyberaanval
Kom op adem
Inbreuken, hoewel stressvol en potentieel schadelijk, kunnen soms leiden tot goede dingen. Zo kunnen er bijvoorbeeld beveiligingsverbeteringen in de hele organisatie worden doorgevoerd, kan er extra personeel worden ingehuurd en krijgt men een breder inzicht in het feit dat beveiliging in elk aspect van een organisatie moet worden ingebouwd. Het is echter van essentieel belang dat je:
Aanbevelingen tot acties
We geven aanbevelingen voor verbeteringen na een incident die de impact van toekomstige aanvallen kunnen verminderen. Een goed voorbeeld hiervan is ons eigen onderzoek op het gebied van Active Directory-beveiliging met behulp van de Red Forest-architectuur. Dit kan, als het goed wordt geïmplementeerd, grote invloed hebben op de doeltreffendheid van een aanvaller als hij die omgeving in gevaar heeft gebracht. Het vergt weliswaar investeringen in tijd en geld, maar de nasleep van een incident biedt vaak een kans om dergelijke verbeteringen aan te brengen. Het komt soms voor dat organisaties onze aanbevelingen niet opvolgen en terugvallen in het risicoprofiel waarmee ze begonnen voordat ze werden aangevallen.
Bouw voortdurende verbeteringen en beoordelingen in
Cybersecurity is een levenscyclus. Een van de beste manieren om ervoor te zorgen dat je goed beschermd bent tegen het dreigingslandschap is om lering te trekken uit onderzoek en een programma te bouwen dat deze aanbevelingen kan implementeren. Beperkingen in begroting en tijd maken het echter moeilijk om alle aanbevelingen uit te voeren. 10% paraatheid is daarentegen beter dan geen paraatheid. Het gaat niet alleen om geldelijke investeringen, maar ook om interne verbeteringen in processen en procedures.
Wil je meer weten over dit onderwerp? Dat kan! Rob praat je graag bij. Plan hier een afspraak met hem in.
Categorieën