Nieuws

Acht tips ter voorbereiding op uw security-incidenten!

Vroeg of laat krijgt vrijwel ieder bedrijf jammer genoeg te maken krijgen met een security-incident. Met deze acht tips willen we u aanzetten tot denken.

Vroeg of laat krijgt vrijwel ieder bedrijf  jammer genoeg te maken krijgen met een security-incident. Er zijn echter maar weinig bedrijven die een strijdplan klaar hebben liggen. Hoe moet men met zo"n incident omgegaan? Paniek en improvisatie zijn eerder regel dan uitzondering. Met deze acht tips willen we u aanzetten tot denken.

Iedereen beseft tegenwoordig dat 100 procent veiligheid niet bestaat – zéker met geregelde DDOS-aanvallen op banken en andere grote instellingen. Vroeg of laat zal vrijwel ieder bedrijf dus jammer genoeg te maken krijgen met een security-incident. Er zijn echter maar weinig bedrijven die een strijdplan klaar hebben liggen, hoe met zo’n incident moet worden omgegaan. Paniek en improvisatie zijn eerder regel dan uitzondering, zodra dat onvermijdelijke moment daar is. Die gebrekkige voorbereiding kan een ramp veroorzaken, want we weten allemaal dat onder druk vaak hele slechte beslissingen worden genomen.

Incidentafhandeling is een enorm breed onderwerp, maar een paar hints kunnen wel gegeven worden. Ik hoop natuurlijk dat u onderstaande acht tips nooit nodig zult hebben, maar die kans is helaas uiterst klein.

1. Maak een incidentbestrijdingsplan.

Dit is natuurlijk het meest voor de hand liggende advies dat je kunt bedenken, maar  je zou verwonderd zijn van het aantal organisaties dat er zelfs nog nooit over heeft nagedacht. Zo’n plan hoeft geen dik boekwerk te zijn van 400 pagina’s. Een breed verspreid, goed gedocumenteerd doch beknopt bestrijdingsplan kan een enorm verschil maken wanneer het onvermijdelijke straks plaatsvindt.

2. Stel vooraf uw incidentbestrijdingsteam samen.

Zie er op toe dat er medewerkers in zitten uit uiteenlopende disciplines. In een goed incidentbestrijdingsteam zitten niet alleen maar IT- of securitymensen, hoewel zij ongetwijfeld de harde kern zullen vormen. Daarnaast horen er zeker mensen in thuis van de pr- en hr-afdeling, juridische zaken en het management, om er slechts een paar te noemen. Neem je bijvoorbeeld niemand op uit je pr-team, dan zou de schade door slechte communicatie naar buiten zelfs weleens groter kunnen zijn dan die door de beveiligingsinbreuk zelf.

Denk eraan dat elk teamlid precies weet wat er van hem of haar verwacht wordt. Houd de lijst met teamleden daarbij goed in de gaten. Zo’n lijst is namelijk binnen de kortste keren niet up-to-date meer: mensen verlaten het bedrijf, gaan op vakantie of vergeten waarvoor ze getekend hebben.

 

3. Bepaal je aanpak: ‘kijk en leer’ of ‘bedwing en herstel’.

Zodra een incident plaatsvindt en je hebt kunnen vaststellen wat er gebeurt – bijvoorbeeld dat een hacker een van de webservers in zijn greep heeft gekregen – zal je de afweging moeten maken ‘zo snel mogelijk de boel herstellen’ of ‘nietsdoen en kijken wat de aanvaller allemaal uithaalt’, zodat je ervan kunt leren. Die beslissing moet je vooraf nemen want het vereist goede voorbereiding, operationele ondersteuning en een ervaren team dat de risico’s kan inschatten. De meeste organisaties zullen (behoren te) kiezen voor het beperken van de schade en herstel van de zakelijke systemen. Gedetailleerd forensisch onderzoek en observatie van de aanvallers zal voor veel bedrijven een te kostbare aangelegenheid zijn, maar verzuim niet enig bewijsmateriaal te verzamelen, want dat kan later heel goed van pas komen.

Mocht je het soort doelwit zijn dat door de vijand weleens langdurig op de korrel genomen zou kunnen worden, dan kan het heel zinvol zijn om te observeren en te leren van je vijand zodat je je in de toekomst beter kunt wapenen tegen zijn aanvallen. Begin hier echter niet aan als je niet beschikt over de noodzakelijke middelen (mensen, redundantie qua systemen en netwerkinfrastructuur voor adequate beperking van de risico´s) om dit succesvol uit te voeren. Dit vereist ook absolute steun van leidinggevenden, want anders sta je zo op straat als het misloopt.

Neem deze beslissing vooraf. Krijg de risicobereidheid van het management op de radar en stem je incidentbestrijdingsproces hierop af. Je zult natuurlijk de ‘kijk en leer’-aanpak niet bij elke aanval toepassen. Breng de twee te bewandelen paden in kaart en bepaal in welke omstandigheden je het ene en wanneer je het andere pad op gaat.

4. Deel vooraf bellijsten uit.

Een andere veel gemaakte fout is dat je ook in geval van een incident geneigd bent te vertrouwen op je normale communicatie-infrastructuur. Bedenk dat indien je LAN uit ligt, niemand elkaars nummer kent en de e-mail het ook niet meer doet. In zo’n situatie wordt het knap lastig een incident te bestrijden.

Besluit ook hier vooraf hoe je gaat communiceren. Maak gebruik van een call bridge of vergelijkbare technologie en voorzie vervolgens alle betrokkenen van de juiste details.

5. Verzamel forensische data en incidentbestrijdingsgegevens.

Hierbij worden veel fouten gemaakt. De druk kan hoog zijn tijdens en vlak na security-incidenten. Dit werkt fouten in de hand. Je moet ervoor zorgen dat je de juiste data en logs in voldoende mate weet vast te leggen. Je moet dit niet onderschatten, want je kunt je tijd tenslotte maar een keer indelen. Bepaal vooral goed hoe je je bewijzen en aantekeningen vastlegt. Wat die laatste betreft, geef ik de voorkeur aan een gelinieerd en van data voorzien papieren aantekenboekje. Dat doet het altijd goed in de rechtzaal.

Gebruikt u een toolset voor het vastleggen en analyseren van het tijdelijk geheugen, zoals bijvoorbeeld Volatility? Haal je de voeding van de machine en neem je een image van de disk om zoveel mogelijk vast te leggen voor de aanval wordt afgekapt? Bepaal in welke omstandigheden je welk pad bewandelt en bouw een toolkit waarmee je zo aan de slag kan.

6. Haal ook je gebruikers aan boord. Incidentbestrijding is niet alleen een zaak van IT. Zorg ervoor dat je incidentbestrijding afgestemd is op je bedrijfsbeleid voor het gebruik van IT-middelen en het vergroten van het securitybewustzijn bij de medewerkers. Je wilt dat je gebruikers weten hoe ze je moeten inlichten als ze vermoeden dat er sprake is van een incident. Vooral de systeembeheerders, applicatie- en data-eigenaars moeten weten hoe ze je kunnen bereiken indien er zich iets ongewoons voordoet. Zo kan het incidentbestrijdingsproces indien nodig snel worden gestart. Het beleid optekenen en vervolgens ergens op het intranet dumpen, volstaat niet!

7. Weet hoe je een wetsovertreding aanmeldt en strafvervolging in gang zet. Bij bepaalde typen incidenten wordt van je vereist dat je zodanig rapporteert dat er strafvervolging in gang kan worden gezet. Vaak weet echter niemand precies hoe dat moet. Of het nu gaat om het hacken van je webserver of de diefstal van creditcardgegevens het levert je het nodige op als je vooraf op de hoogte bent van hoe het proces precies verloopt en wat de vereisten zijn.

8. Oefening baart kunst. Je hebt het proces tot in de puntjes gedocumenteerd, maar als het op de uitvoering aankomt, neemt niemand contact op via het in de lucht gebrachte communicatiekanaal of weet wat hij of zij moet doen. Zet een incident in scene en laat je team inbellen en zich door het nepscenario worstelen. Vergeet hen vooral niet te vertellen dat het om een oefening gaat , anders eindig je nog met het rampscenario dat de praktijkoefening geïnterpreteerd wordt als de waarheid. En het is heel lastig mensen ervan te overtuigen dat je achteraf gezien níet gehackt bent geweest!

Ter afsluiting: als je gaat werken aan een incidentbestrijdingsplan vind je hier nog nuttige bouwstenen van SANS (good sample incident forms) en NIST (draft on incident handling – PDF). Veel succes met het incidentbestrijden.

beveiligingblogbusinesspolicy

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken