Incident Response: Voorkomen is beter dan genezen

Chris Hazewinkel

26-03-2021

Incident Response: Voorkomen is beter dan genezen

Ruim een derde van alle Nederlandse bedrijven krijgt jaarlijks te maken met een security-incident en de kosten daarvan zijn aanzienlijk. Bij MKB-bedrijven gaat het om bedragen tussen de 2,5 en 4 ton en bij nog grotere bedrijven loopt de schade vaak zelfs in de miljoenen. Dit bedrag stijgt elk jaar nog eens met 50 procent. Door aandacht te besteden aan incident response readiness, kunnen organisaties veel tijd, geld en stress besparen voor als er een écht security-incident plaatsvindt. Driekwart van de Nederlandse bedrijven heeft echter geen incident response readiness plan. Tijd voor verbetering. Dit zijn de vier belangrijkste adviezen om de incident response readiness van je organisatie te verbeteren.

1. Voorbereiding: maak een incident response readiness-plan

Een security-incident levert vaak niet alleen hoge kosten op voor herstel, maar ook het imago van de organisatie loopt een flinke deuk op. Klanten vragen zich af of het hun klantgegevens nog wel veilig zijn bij de organisatie. En ligt de organisatie voor langere tijd plat, dan zullen klanten afhaken en kiezen voor andere leveranciers. Zo raakt het imago van het bedrijf nog verder beschadigd en daalt de omzet.

Door het opstellen van een incident response readiness-plan wordt het makkelijker snel weer ‘back in business’ te zijn en kan de schade die een aanvaller aanricht, aanzienlijk worden beperkt. Organisaties met een incident response readiness-plan, maken hierdoor tot een derde minder kosten bij een incident. Daarnaast verhoogt het plan automatisch het security-bewustzijn binnen het bedrijf. Met het stijgend aantal cyberaanvallen in het achterhoofd zal een incident response readiness-plan dan ook steeds vaker een vereiste worden. Tot slot helpt het bij het creëren van onderscheidend vermogen ten opzichte van organisaties die dit nog niet op orde hebben.

Een goed incident response readiness-plan moet de volgende elementen bevatten:

  • Communicatieprotocollen - Leg vast wat er gecommuniceerd wordt en op welk moment dit moet gebeuren. Om verdere imagoschade te voorkomen, is open en transparantie communicatie over een security-incident van wezenlijk belang.
  • Policies & Rollen - Beschrijf de werkwijze, rollen en verantwoordelijkheden van de verschillende medewerkers bij een security-incident.
  • Het incident handling proces - Hoe is de detectie van incidenten ingericht? Welke stappen worden er genomen om het aangetaste deel van het netwerk zo snel mogelijk te isoleren? Het is aan te raden deze processen te baseren op bekende frameworks zoals NIST en SANS. Op de NIST-website is bijvoorbeeld een handige gids te vinden die je kunt downloaden voor incident response handling.
  • De preventieve cyber security maatregelen - Licht de preventieve cyber security maatregelen toe die zijn genomen om incidenten zo veel mogelijk te voorkomen en ook te kunnen traceren waar incidenten gestart zijn (log files).
  • Beschikbare resources - Welke mensen zijn er intern beschikbaar om direct in actie te komen bij een security incident? En met welke externe security-specialisten kan er eventueel geschakeld worden? Het kan veel tijd schelen om hier alvast over na te denken. Als een externe partij bij een security-incident eerst nog de mensen en het IT-netwerk moet leren kennen, gaat er veel kostbare tijd verloren.

Het incident response readiness-plan moet ongeveer twee keer per jaar worden geëvalueerd en bijgesteld. Kloppen bijvoorbeeld de namen van de medewerkers nog die in het plan staan en werkt de beslisboom nog hetzelfde? Door een halfjaarlijkse evaluatie van het plan te combineren met regelmatige security crisis-oefeningen, gaat de incident response readiness met sprongen vooruit.

Ieder bedrijf wordt een keer gehacked, dus zorg dat je er klaar voor bent. Dit hoeft niet eens in je eigen bedrijf te gebeuren. Driekwart van de security-incidenten is een gevolg van een hack ergens in de keten. Dus ieder bedrijf, groot of (en soms liever) klein kan een doelwit zijn; dit noemen ze third party risk.

2. Detectie en analyse van mogelijke aanvallen

Een tweede aspect dat een rol speelt bij het verbeteren van de incident response readiness, is de detectie en analyse van mogelijke aanvallen. Elk bedrijf in Nederland wordt dagelijks aangevallen, maar met goede detectie slagen lang niet al deze aanvalspogingen. Het is belangrijk om met de juiste middelen snel inzicht te hebben in of er sprake is van een vals alarm of dat er echt iets aan de hand is.

Een paar voorbeelden
Scanning- en detectiesoftware kan je helpen automatisch een (relevante) melding te krijgen als er actie vereist is. Ook patches kunnen een goede indicator zijn van waar een aanval te verwachten is. Bij legacy-software besluiten bedrijven soms patches niet te installeren, omdat de software dan niet meer werkt. Door in de gaten te houden welke patches niet zijn geïnstalleerd, krijg je een beeld van waar je mogelijk een aanval kunt verwachten.

Ook komt het soms voor dat ethische hackers bedrijven informeren dat er databases met gegevens van het bedrijf rondgaan op het dark web. Of dat tegenstanders van een bedrijf in actie komen met cyberaanvallen. Zo probeerde een hacker in Amerika onlangs toegang te krijgen tot een systeem waarbij het mogelijk was de hoeveelheid sodium hydroxide in het water van de waterzuiveringsinstallatie aan te passen. Gelukkig kon dit net op tijd worden voorkomen. Probeer dus goed in kaart te brengen uit welke hoek je mogelijk een aanval kunt verwachten en neem waarschuwingen van ethische hackers altijd serieus. Dit zijn je externe risicofactoren.

3. Isoleren, oplossen en herstellen van een security-incident

Een derde focusgebied voor betere incident readiness is het vooraf in kaart brengen van de stappen die je gaat nemen om een security-incident zo snel mogelijk te isoleren en op te lossen.

Door vooraf vast te stellen hoe je een incident gaat isoleren en welke (externe) incident response-specialisten je inschakelt, weet je zeker dat je snel en efficiënt kunt handelen als dit nodig is. De specialisten zullen zo snel mogelijk vaststellen welke systemen getroffen zijn en deze vervolgens isoleren. Daarna helpen ze met een herstelstrategie waarin duidelijk wordt vastgelegd welke stappen er nog nodig zijn om terug te keren naar een normale bedrijfsoperatie.

4. Bepaal de post-incident acties

Stel ook vooraf de acties vast die moeten plaatsvinden na een security-incident. Haal niet alleen opgelucht adem om vervolgens gewoon weer door te gaan. Kijk met je team en eventueel ook met de externe specialisten wat er gedaan kan worden om klaar te zijn voor het volgende incident, want het is cruciaal dat deze aandacht voor incident response een continu proces is in de organisatie. De kans is groot dat er in de toekomst (weer) een hack plaatsvindt en alleen door van incident response een cyclisch proces te maken kunnen organisaties zorgen dat ze klaar voor het volgende security-incident.

Voorkomen is beter dan genezen
Het bewustzijn van het belang van incident response readiness bij het management team is een laatste belangrijke voorwaarde voor het borgen ervan in de organisatie. De CISO kan een wezenlijke rol bij spelen bij dit bewustwordingsproces. Hij moet zorgen dat directie zich bewust is van het risico en de impact van een mogelijke cyberaanval. Een incident response readiness plan van vijf- tot zevenduizend euro is immers een lage investering in vergelijking met de kosten voor het oplossen van een cyberaanval zonder voorbereiding. Een CISO die dit goed aanpakt, laat de directie dus inzien dat incident response readiness cruciaal is voor een succesvolle, concurrerende organisaties. Want net als bij veel andere zaken in het leven geldt: voorkomen is beter dan genezen!

Door: Chris Hazewinkel (CEO / foto) en Wessel Hissink (Incident Response Specialist) van Computest Services

Terug naar nieuws overzicht

Tags

Security
Security