Recovery-beleid is een topprioriteit
In (digitale) media lees je tegenwoordig dagelijks over cybersecurity incidenten, vaak omvangrijk van aard en met grote impact. Deze ontwikkeling is niet nieuw, maar lijkt de afgelopen jaren steeds grotere vormen aan te nemen. De tijd dat organisaties zich geen zorgen hoefden te maken over de veiligheid van hun informatie ligt ver achter ons. Als organisatie word je gedwongen steeds meer maatregelen te treffen om de kans op een cybersecurity incident te minimaliseren zo schrijft Arnold Derksen, Sales Manager – Giant ICT in deze blog.
Met het periodiek uitvoeren van de diverse security patches, vulnerability scanning, back-up & disaster recovery testing en inzet van endpoint detection & response-tooling, ben je als organisatie een heel eind op weg. Echter, organisaties weten inmiddels dat het onmogelijk geworden is om je voor de volle 100% te wapenen tegen de boze digitale buitenwereld. Anno 2021 is het niet meer de vraag of je een keer met een cybersecurity incident te maken krijgt, maar wanneer dit gebeurt.
De werkelijke schade van een ransomware incident
Toch lijkt de urgentie van dit thema nog niet altijd de juiste prioriteit mee te krijgen binnen organisaties. Er wordt daarbij niet altijd voldoende geïnvesteerd in mensen, processen en middelen, met alle gevolgen van dien. Als er onvoldoende tijd, energie en geld in security maatregelen wordt gestoken, is de kans groot dat een organisatie bij een incident niet of niet goed kan herstellen. De focus bij organisaties is inmiddels verschoven naar het recovery aspect, bovenop passende security maatregelen ter voorkoming van incidenten zoals bijvoorbeeld een ransomware aanval. De ?nanciële gevolgen van zo’n ransomware aanval worden steeds groter. Losgeld (betaling) en herstelkosten zijn niet de enige schadeposten. Indirecte schadeposten kunnen zijn: reputatieschade, downtime, dataverlies, aansprakelijkheid, bezuinigingen (of zelfs faillissement) en bijkomende schade (denk aan lekken van PII-gegevens zoals BSN-nummers).
NIST Cybersecurity Framework als houvast
De security-verantwoordelijke(n) binnen organisaties hebben dus met een uiterst complexe puzzel te maken, waarin – zoals gezegd – mensen, processen en middelen optimaal afgestemd dienen te zijn en blijven. Met name het in kunnen spelen op continue veranderingen is pure topsport. Om het security speelveld binnen alle lagen van de organisatie begrijpelijk uit te kunnen leggen bieden de vijf functies (of pijlers) in het NIST Cybersecurity Framework goede houvast: identify, protect, detect, respond en recover.
Focus op recovery aspect
Recovery is geen nieuw begrip en wordt al jaren gebruikt binnen de IT. Echter, de importantie van het recovery aspect is almaar gegroeid. De traditionele oplossingen die ingezet worden rondom thema’s als back-up of anti-virus zijn niet meer voldoende om je te wapenen tegen bijvoorbeeld ransomware of andere bedreigingen. Het is gaat er niet meer alleen om of je je back-up (data) goed weggeschreven hebt, maar ook of deze volledig geslaagd is, geverifieerd is, bruikbaar is en vooral onbereikbaar is bij een ransomware-incident (immutable back-ups). Dataprotectie speler Veeam spreekt tegenwoordig dan ook niet meer over de 3-2-1 regel, maar over de 3-2-1-1-0 regel.
Ook op vlak van anti-virus zie je die ontwikkeling. Het bijwerken van virusdefinities binnen een traditionele anti-virus tooling is achterhaald, waarbij je in een groot gedeelte van de gevallen niet tijdig kunt reageren op een incident. Daarvoor in de plaatst hebben endpoint detection & response (EDR) oplossingen hun intrede gedaan. EDR-oplossingen zoals SentinelOne kijken naar gedrag in plaats van (actuele) virus definities. De scope van een EDR-oplossing is dan ook veel uitgebreider in vergelijking met traditioneel anti-virus (zie afbeelding). Bij EDR-oplossingen worden afwijkingen in gedrag direct gedetecteerd, waarop direct en passend gereageerd wordt. Bij een incident kan er eenvoudig teruggegaan worden naar een eerdere, veilige situatie, zodat je als organisatie kunt doorwerken. Het detecteren en reageren op meldingen binnen de EDR-oplossing zijn vanzelfsprekend cruciaal. Dit kunnen IT-afdelingen zelf inregelen, uitbesteden aan een kennispartij of een samenspel van beide.
Recovery-simulaties worden door organisaties in veel gevallen niet of slechts beperkt uitgevoerd
Maar de kern van de groeiende importantie van het recovery-aspect is dat het niet alleen belangrijk is dat je maatregelen hebt genomen en acteert op incidenten, je moet ook weten of je bij een daadwerkelijk incident ook echt terug kunt vallen op je maatregelen. Kortom, werken die maatregelen ook echt op het moment dat je bij een incident terug wilt draaien naar de ‘schone’ situatie?
Organisaties zouden met een draaiboek, een levend document, moeten werken – vaak calamiteitenplan genoemd. Hierin worden mensen, processen en middelen beschreven, waarbij recovery uiteindelijk het allerbelangrijkste aspect is. Het startpunt hierbij zou een business impact analyse moeten zijn, waarin een bedrijf allereerst bepaalt wat de belangrijkste processen zijn en wat de schade zou zijn als die tot stilstand zouden komen. Met deze processen zou een begin moeten worden gemaakt in de recovery-procedure. De recovery-simulatie is in feite het periodieke examen moment om te weten of je recovery-procedure ook echt werkt in de praktijk.
Idealiter zou een recovery-simulatie een aantal maal per jaar aangekondigd of onaangekondigd uitgevoerd moeten worden. In de praktijk blijkt dat organisaties zich beperken tot het ‘in het klein’ testen van het recovery-plan en onderliggende maatregelen. Dit is een logisch gevolg van de uitdagende dagelijkse operatie en de impact die een recovery-simulatie heeft op een organisatie en het IT-team. Begrijpelijk, maar onverstandig. Bij het beperkt testen van de recovery-procedure (of plan) en de onderliggende maatregelen, weet je simpelweg niet of je recovery-procedure (of plan) in de praktijk – dus, in het geval van een incident – ook echt werkt.
Organisaties zouden niet moeten wachten tot het te laat is, maar het eventuele schrijven van een recovery-procedure (of plan) en het uitvoeren van recovery-simulaties torenhoog op de agenda moeten zetten.
Door: Arnold Derksen, Sales Manager – Giant ICT
