Zo stop je een aanval binnen een paar minuten
Veel aanvallers zijn slim genoeg om hun doelen voor de aanval in slechts enkele minuten te bereiken. Hoe stop je dit soort aanvallen voordat ze zijn voltooid?
Het ontdekken van, reageren op en het inperken van een aanval die gaande is, is afhankelijk van de voorbereiding op drie belangrijke vlakken:
- Snelheid
- Inzicht
- Deskundigheid
Hoe wordt je de beste op deze vlakken?
Snelheid
Responssnelheid verkrijg je door de nodige hulpmiddelen beschikbaar te maken, zodat responders in staat zijn sneller te handelen dan een aanvaller.
Deze hulpmiddelen zijn op een paar gebieden van toepassing:
Communicatie
Hoe communiceren medewerkers tijdens een incident dat gaande is?
Je krijgt mogelijk niet meteen inzicht in wat er aan de hand is op het moment dat er zich een incident voordoet, maar pas op een later tijdstip. Het kan zijn dat de communicatie-infrastructuur is gecompromitteerd of in gevaar is. Het is daarom van essentieel belang dat je van tevoren nadenkt over de andere communicatiemogelijkheden die als back-up dienen. Elke in-band-optie en out-of-band-optie heeft zijn voor- en nadelen. Het is de moeite waard om na te denken over welke van deze opties het beste aansluit op de behoeften van jouw bedrijf.
Wie doet wat?
Tijdens een incident heb je goed leiderschap nodig om snel te kunnen reageren. Het gaat hier niet alleen om één of meer individuen, maar om het overdragen van verantwoordelijkheden aan veel verschillende afdelingen binnen het bedrijf. Je moet ook plaatsvervangers aanwijzen om ervoor te zorgen dat je niet afhankelijk bent van personen die mogelijk op vakantie of niet beschikbaar zijn. Veel incidenten worden echter vertraagd door een gebrek aan begrip en duidelijkheid over wie de leiding heeft. Beslis dit ruim op tijd vóór een incident, zodat het proces niet wordt belemmerd.
Hoe zal het allemaal verlopen?
Een draaiboek voor de respons op incidenten is cruciaal. Zo hoeft niemand zich ooit af te vragen wie wat zal doen, ongeacht hoe een scenario uitpakt. Dit is van essentieel belang voor een snelle respons.
Inzicht
Dekking
De hulpmiddelen die snelheid mogelijk maken, moeten worden aangedreven door alle activiteiten binnen de IT-infrastructuur, indien mogelijk met een dekking van 100%. Alle gemiste activa zijn potentiële plaatsen waar aanvallers kunnen binnendringen.
Het behalen van de dekking waarmee een snelle respons mogelijk is, begint bijna altijd bij het endpoint. Dat is waar de meeste moderne cyberaanvallen beginnen. Een detectiemiddel voor endpoints dat zowel zicht en controle geeft over meerdere endpoints is de sleutel tot succes.
Loggen
Bedenk goed hoe vaak en hoeveel je moet loggen op je activa om forensisch onderzoekers in staat te stellen de juiste informatie te vinden. Dit omvat vluchtige informatiebronnen, zoals RAM, maar vooral DNS-logboeken. Veel verschillende malware-families berusten namelijk nog steeds op DNS om een eerste communicatie te verwezenlijken. Als je DNS-zoekopdrachten niet terug kunt traceren van gateway-logs naar de host die verantwoordelijk was voor het incident, kan dit de respons-acties vertragen.
Loggen houdt daar ook niet op. Elk type logboek, van firewall tot Active Directory en van Web Proxy tot antivirus, voegt op zijn eigen manier waarde toe en biedt meer mogelijkheden om inzicht te krijgen.
Beheer en uitbreiding van de dekking
De omgevingen waarin we werken zijn vluchtig. Het dreigingslandschap verandert, er komen steeds nieuwe medewerkers bij en nieuwe middelen en software worden, zo nu en dan, zelfs op uur basis ingezet. Organisaties moeten zich bewust zijn van deze voortdurende toename van het aanvalsoppervlak en moeten de zichtbaarheid van hun standaard werkmodel vergroten. Op deze manier worden de endpoints voortdurend beschermd, of het nu gaat om nieuwe, huidige of oude endpoints.
Waarom is dit van belang?
Als je een complexe gateway-instelling hebt, kan het een flink aantal uren duren voordat de wijzigingen zijn doorgevoerd. Hoewel dit in de normale gang van zaken prima is, kan het in een live-respons-scenario problematisch zijn. Door vooraf over deze zaken na te denken en te plannen, neemt het vermogen toe om binnen enkele minuten te reageren.
Deskundigheid
Als we twee organisaties met dezelfde hulpmiddelen en hetzelfde investeringsniveau in beveiliging tegenover elkaar zetten, vormen personen de onderscheidende factor. Capabele personen met de juiste expertise en de juiste mentaliteit maken een snelle en efficiënte respons mogelijk op momenten die zeer stressvol kunnen zijn en waarop het landschap onzeker kan zijn. Het gaat niet alleen om de mogelijkheid een zoekopdracht uit te voeren op endpoints en andere dataopslagplaatsen, maar ook om het verklaren van die gegevens en het nemen van de juiste beslissingen op basis van beschikbaar bewijs.
Het bepalen wie per onderdeel binnen je infrastructuur eigenaar is, is van het grootste belang. Dit houdt in dat je weet met welke persoon je contact moet opnemen wanneer je informatie nodig hebt over specifieke activa en onderdelen van de infrastructuur, zelfs om twee uur ‘s nachts.
Training
Medewerkers op elk niveau hebben training nodig over wat ze moeten doen als het bedrijf wordt aangevallen. Sommigen hebben meer training nodig dan anderen. Degenen die in de frontlinie van de verdediging staan, de ‘eerstelijns responders’, zullen regelmatiger training nodig hebben. Bedenk wie binnen de organisatie het voornaamste respons-team zullen vormen en neem de tijd om oefeningen en simulaties uit te voeren, zodat iedereen goed bekend is met zijn rol.
10% paraatheid is beter dan geen paraatheid
De paraatheid heeft betrekking op vele aspecten, waarbij de meeste organisaties niet perfect zijn.
Als je echter kunt ophelderen wie waar eigenaar van is, wat de dekking is van de meest bedrijfskritische activa en welke hulpmiddelen je zult gebruiken voor detectie en respons, dan bent je goed op weg om een aanval binnen enkele minuten te kunnen stoppen.
Wil je meer weten over dit onderwerp? Dat kan! Rob praat je graag bij. Plan snel een afspraak met hem in.
Categorieën