Ook al neem je nog zoveel beveiligingsmaatregelen, vroeg of laat krijgt elke organisatie te maken met beveiligingsincidenten. De gevolgen hiervan kunnen zeer ernstig zijn en de dienstverlening in gevaar brengen. Je kunt daarom maar beter goed voorbereid zijn. Welke stappen moeten er bijvoorbeeld genomen worden wanneer een incident plaatsvindt? En hoe kun je de gevolgen beheersen? Dit en meer leg je vast in een Incident Response Plan. Hoe je dat doet lees je in deze blog.

Het begint bij de bron…

Beveiligingsincidenten kunnen afkomstig zijn van verschillende bronnen. Bij veel evaluaties van incidenten komt naar voren dat tijdens het proces van het detecteren en behandelen van een beveiligingsincident, het identificeren van de juiste bron één van de belangrijkste stappen is om succesvol te kunnen reageren op het incident. Het begrijpen van deze bronnen is dus erg belangrijk. Enkele voorbeelden van bronnen van een beveiligingsincident zijn:

• social engineering; zoals phising
• een hack/inbraak op het netwerk of systeem; meestal via exploiteerbare kwetsbaarheden
• malware; waaronder ook ransomware
• een kwaadwillende insider (bijvoorbeeld een ontevreden werknemer)
• menselijke fouten; bijvoorbeeld medewerkers die niet geïnformeerd of zich bewust zijn van de regels
• of misconfiguratie van hardware/software 

Actie is reactie

Wanneer je de basisprincipes van een inbreuk begrijpt en weet hoe je op de juiste manier kunt reageren, kun je gegevensverlies en impact op je IT-dienstverlening minimaliseren. Tijd is hierbij van essentieel belang. Net als het hebben van een concreet plan en de implementatie van de juiste processen die het responsteam in staat stellen om snel actie te ondernemen. Wat we als ervaring van de recente (in de media beschreven) beveiligingsincidenten hebben kunnen leren, is dat het hebben van een proactieve houding en een goede planning de impact van een inbreuk op de organisatie aanzienlijk kan verminderen.

Incident Response Plan

Kortom, als organisatie moet je weten welke incidenten er kunnen plaatvinden én bepalen welke concrete stappen je als organisatie moet nemen in het geval dat zich een incident voordoet. Een Incident Response Plan kan je hierbij helpen. Incident response is het proces (de reactie) waarmee een organisatie omgaat met een incident en de gevolgen van een incident. Het advies is om een plan te hebben zodat er gecoördineerd actie genomen kan worden wanneer er een incident plaatsvindt. Het Incident Response Plan geeft de stappen weer die je moet nemen indien er een incident heeft plaatsgevonden. Het SANS Institute ontwikkelde het incident response framework dat uit zes fases bestaat. Het framework kan als standaard gebruikt worden bij het maken van een Incident Response plan. Hieronder licht ik de zes fases van het framework toe.

Fase 1: Voorbereiding
Een goede voorbereiding op elk mogelijk type van beveiligingsincident is de sleutel tot succes. Juist als er geen incidenten zijn moet je je bezighouden met incident response. Zo tref je voorbereidingen voor een mogelijk incident en heb je medewerkers die zich bezighouden met het monitoren van de IT-omgevingen, bijvoorbeeld in een een Security Operation Centre (SOC). Het is belangrijk om een aantal draaiboeken (ook wel eens playbooks genoemd) op te stellen en klaar te hebben liggen waarin exact staat beschreven hoe je een incident moet beoordelen, hoe je zorgt dat een incident de juiste prioriteit krijgt en wanneer een incident moet worden geëscaleerd. Zorg dat deze ‘playbooks’ goed geborgd en veilig bewaard worden en dat de medewerkers die hiermee aan de slag moeten, op de hoogte zijn van de inhoud en weten wat er van hen verwacht wordt wanneer zich een incident voordoet. Daarnaast is het belangrijk om incidenten te blijven oefenen. Zo creëer je meer kennis over mogelijke incidenten en kun je ook met elkaar kijken waar verbetering mogelijk of vereist is.

Fase 2: Identificatie
Je kunt een incident alleen succesvol oplossen als je de omvang en reikwijdte van het incident kent. In de identificatie fase analyseer je wat er gebeurd is, wat de omvang en de ernst van het incident is en verzamel je gegevens over het incident. In sommige gevallen kan dit als bewijsmateriaal gelden in digitaal forensisch onderzoek. Het is dus erg belangrijk om dit zorgvuldig te doen. Focus je daarbij niet alleen op het eerste apparaat waarop je de dreiging hebt ontdekt. Denk ook na over of de dreiging zich kan hebben verplaatst of verspreid naar andere hardware en/of netwerken.

Fase 3: Schade beperken
Na het ontdekken en identificeren van het incident is het noodzakelijk om de schade te beperken. De acties die hierbij genomen worden zijn volledig afhankelijk van het incident zelf. Bij een storing zal dit vooral gaan om het herstellen van de apparatuur of het in gebruik nemen van een back-up. Wanneer het een criminele activiteit betreft, zoals een hack-aanval, is het belangrijk om ervoor te zorgen dat de aanvaller niet bij belangrijke informatie kan. Dit wordt ook wel het inperkingsproces genoemd. Dit houdt in dat de geïnfecteerde hardware worden geïsoleerd van de rest van het netwerk om verspreiding van een aanval tegen te gaan.

Fase 4: Vernietigen
Wanneer het incident met succes is ingeperkt, kan je beginnen met het ‘uitschakelen’ van de dreiging. Hoe je dit doet, is afhankelijk van de oorzaak (dus ook afhankelijk van het specifieke incident). Zo kun je hardware patchen, malware uitschakelen, of gecompromitteerde accounts uitschakelen. In het ‘playbook’ beschrijf je de stappen die per type incident van toepassing zijn, en wie hiervoor aan de lat staat.

Fase 5: Herstellen
De volgende fase, is de herstelfase. Het doel van deze fase is het herstellen van de systemen (hardware en software) en daarmee de dienstverlening van je organisatie. Kijk voordat je hieraan begint goed of er nog vreemd gedrag plaatsvindt op het netwerken en wat hiervan de oorzaak is.  Bijvoorbeeld aantal foutieve inlogpogingen of gebruik van speciale (beheer)rechten. Als er ‘schone’ back-ups beschikbaar zijn, kunnen deze worden gebruikt om de systemen te herstellen. Test tenslotte of alles weer naar behoren werkt.

Fase 6: Evaluatie
Zodra de dreiging is geweken, is de volgende fase het beantwoorden van de vraag ‘hoe voorkomen we dat dit opnieuw gebeurt?’. Evalueer het incident en de incident response. Is er juist gehandeld? Had het incident voorkomen kunnen worden? Dit kan worden meegenomen voor een mogelijk volgend incident. Betrek hierbij alle teams die bij het incident betrokken zijn geweest en pas eventuele draaiboeken en/of procedures aan indien nodig.

Best practices

Richt je bij het maken van draaiboeken (‘playbooks’) op de belangrijkste aanvalsscenario’s waarmee je als organisatie te maken kunt krijgen. Denk aan malware, DDoS, onbevoegde toegang, phishing en bedreiging van binnenuit. Voer deze draaiboeken vervolgens ook uit door middel van cyberdreigingsoefeningen. Door dit te doen bereid je je voor op het echte werk. Het creëren van enkele aanvalsscenario’s die door de betrokken teams kunnen worden besproken, is een geweldige manier om eventuele draaiboeken die zijn opgesteld te toetsen. En wil je incident Resonse echt naar een hoger niveau brengen binnen je organisatie? Monitoor dan zelf actief of er verdachte activiteiten op het netwerk plaatsvinden en zorg dat je als organisatie (real-time) inzicht hebt in wat er gebeurt met de gevoelige data die je in beheer hebt en adequate actie kunt ondernemen op het moment dat er zich een probleem voordoet. Hierdoor vind je eventuele dreigingen niet alleen eerder, ook wordt de kennis van het SOC groter. Hoe meer je dit doet en hoe beter je een beeld hebt van hoe het er ‘normaal’ uitziet op het netwerk, hoe eenvoudiger het wordt om kwaadaardige activiteiten te herkennen. Incident Response is dus van grote meerwaarde.

Dus, ben jij binnen jouw organisatie nog niet met Incident Response bezig? Start hier dan morgen nog mee.

Meer informatie?
Heb je na het lezen van deze blog vragen of hulp nodig binnen jouw gemeente op dit vlak? Laat ons dit dan even weten en neem contact met ons op.