Net als bij een ‘gewoon’ crisisplan is het aan te raden een Incident Response Plan (IRP) op te stellen voor het geval er een datalek is, of een hackpoging succes heeft. Het is voor bedrijven niet meer de vraag of, maar wanneer zich een incident voordoet.
Een IRP helpt je bedrijf om na te denken over de digitale veiligheidsrisico’s binnen de organisatie. Je identificeert vooraf een aantal maatregelen die tijdens een incident zullen helpen om snel tot actie over te gaan. Ook helpt een IRP te zien waar de zwakheden binnen de organisatie zich bevinden.
Om ervoor te zorgen dat een bedrijf is uitgerust met de juiste tools voor het beheren, analyseren en beschermen van de kritieke data, systemen en applicaties, is het van belang om op alle niveaus en over alle afdelingen heen meer aandacht te besteden aan het opbouwen van weerbaarheid.
Welke vijf stappen moeten in een IRP aan bod komen?
- Voorbereiding. Voorbereiding is de sleutel tot effectieve incidentrespons.
- Detectie en rapportage. De focus van deze fase is detecteren van potentiële beveiligingsincidenten en deze te rapporteren.
- Analyse.
- Inperking en neutralisatie.
- Activiteit na het incident.
Stap 1. Voorbereiding
Voorbereiding is de sleutel tot effectief handelen in het geval er een cyber security issue optreedt. Zelfs het beste incident responsteam kan een incident niet effectief aanpakken zonder vooraf opgestelde richtlijnen.
Er moet een degelijk plan liggen waar het team mee aan de slag kan. Om beveiligingsissues met succes aan te pakken, moeten onderstaande onderdelen in een incidentresponsplan terugkomen.
- Ontwikkel en documenteer IR-beleid: stel beleid, procedures en overeenkomsten vast voor incidentresponsbeheer.
- Definieer communicatierichtlijnen: communicatienormen en richtlijnen opstellen om naadloze communicatie tijdens en na een incident mogelijk te maken.
- Continue monitoring van dreiging: verzamel en analyseer doorlopend verschillende bronnen van informatie om te bepalen welke bedreigingen er zijn.
- Oefen ‘droog’ de processen en stappen: voer operationele oefeningen uit om incidenten op te sporen. Dit zorgt voor een meer proactieve reactie op incidenten.
- Beoordeel het huidige detectievermogen: beoordeel de huidige mogelijkheden voor detectie van bedreigingen en actualiseer risicobeoordelings- en verbeteringsprogramma's.
2. Detectie en rapportage
De focus van deze fase is bewaking. Een potentieel incident kun je zo snel detecteren en hierover rapporteren.
- Monitoring: gebruik firewalls en inbraakpreventiesystemen om gegevensverlies of digitale inbraak te voorkomen.
- Detectie: detecteer potentiële incidenten door waarschuwingen van een Security Information & Event Management (SIEM) oplossing.
- Notificatie: analisten maken een incidentticket, documenteren de eerste bevindingen en wijzen een initiële incidentclassificatie toe.
- Melding: het rapportageproces moet escalatie van dreigingsniveau kunnen faciliteren.
3. Analyse
Verreweg het belangrijkste onderdeel van een goed IRP vormen de inspanningen van de analysefase. Juist omdat deze analyse de basis vormt voor de strategie die in de volgende fase wordt gehanteerd.
Gegevens en data uit de verschillende monitoring- en detectiesystemen worden geanalyseerd. Degene binnen de organisatie die zich hiermee bezighoudt moet de juiste vaardigheden hebben en een gedetailleerd begrip van live systeemreacties, digitaal forensisch onderzoek, geheugenanalyse en malware-analyse. Terwijl bewijs wordt verzameld, moeten analisten zich concentreren op drie primaire gebieden:
Eindpuntanalyse
- Bepaal welke sporen mogelijk zijn achtergelaten door de hacker.
- Verzamel feiten die nodig zijn om een tijdlijn van activiteiten te reconstrueren.
- Analyseer een bit-voor-bit kopie van systemen vanuit een forensisch perspectief en identificeer wat er op een apparaat is gebeurd.
Binaire analyse
- Onderzoek kwaadaardige binaries of tools die door de hacker worden gebruikt en documenteer de functionaliteit van die programma's.
Omvang analyse
- Analyseer bestaande systemen en logboektechnieken om de omvang van het incident te bepalen.
- Documenteer alle aangetaste accounts, machines, enz. zodat effectieve neutralisatie mogelijk is.
4. Inperking en neutralisatie
- Dit is een van de meest kritieke fases bij incidentrespons. De strategie voor neutralisatie is tenslotte gebaseerd op de intelligentie en de informatie die tijdens de analysefase is verzameld.
- Gecoördineerde afsluiting: zodra alle aangetaste systemen en apparaten zijn geïdentificeerd, voert u een gecoördineerde afsluiting van deze apparaten uit. Zorg voor een duidelijke melding naar alle IR-teamleden om de juiste timing te garanderen.
- Wissen en opnieuw opbouwen: wis de geïnfecteerde apparaten en bouw het besturingssysteem opnieuw op. Wijzig wachtwoorden van alle besmette accounts.
- Verzoek tot blokkeren IP-adres: als er domeinen of IP-adressen bekend zijn van waaraf hackers opereren, kun je deze laten blokkeren om verkeer vanaf deze domeinen buiten te sluiten. Let wel: hackers wisselen snel van IP-adres of hebben meerdere adressen ter beschikking dus het effect hiervan is beperkt.
5. Activiteit na het incident
Nadat het incident is opgelost is er nog steeds werk aan de winkel. Zorg ervoor dat alle informatie goed gedocumenteerd wordt zodat die een volgende keer weer bruikbaar is.
- Vul een incidentrapport in: het documenteren van het incident helpt het IRP te verbeteren en aanvullende beveiligingsmaatregelen uit te breiden.
- Monitor na het incident: volg nauwlettend alle activiteiten na het incident, omdat hackers soms weer verschijnen. We raden een beveiligingslogboek aan om te analyseren welke triggers mogelijk verband houden met het vorige incident.
- Update dreigingsinformatie: update de dreigingsinformatie binnen de organisatie.
- Identificeer preventieve maatregelen: creëer nieuwe beveiligingsinitiatieven om toekomstige incidenten te voorkomen.
- Coördineer nieuwe beveiligingsinitiatieven: coördinatie binnen de organisatie is van cruciaal belang voor de juiste implementatie van nieuwe beveiligingsinitiatieven.
Lees hier het originele artikel op Digital Guardian