Gehackt? 4 expert tips om juist te reageren

De kans is groot dat uw bedrijf vroeg of laat gehackt wordt. Ook al doet u er alles aan om uw bedrijf hiervoor te behoeden. Want zoals u weet, bent u nooit 100% beveiligd. Bereid u daarom nu al goed voor. Wat gaat u doen indien uw bedrijf onder vuur komt te liggen? Want reageren op een kritiek cyberincident is een ongelooflijk stressvolle en intense tijd.

Hoewel niets de druk van het omgaan met een aanval volledig wegneemt, helpen deze 4 tips van cybersecurity experts u bij het verdedigen van uw organisatie. Ze zijn gebaseerd op de praktijkervaring van de Sophos Managed Threat Response- en Sophos Rapid Response-teams. Zij hebben gezamenlijk gereageerd op duizenden cyberincidenten.

Tip 1: Gehackt? Tijd is cruciaal, reageer zo snel mogelijk

Als uw bedrijf gehackt werd, is elke seconde van belang. Bedrijven wachten soms te lang om te reageren. De meest voorkomende reden is dat ze de ernst van de situatie onderschatten. Dat gebrek aan bewustzijn leidt tot een gebrek aan urgentie.

Aanvallen slaan meestal toe op ongelegen momenten: vakanties, weekends en midden in de nacht. Daardoor bestaat het risico op een “dat bekijken we morgen wel“-houding. Maar morgen is het misschien al te laat nog om iets te doen om de impact van de aanval te minimaliseren. Incident reponse is een specialistische taak die men niet bij 1 persoon kan neerleggen. Het vergt diepgaande specialisatie van een team.

Zelfs als het beveiligingsteam zich ervan bewust is dat het bedrijf gehackt is, hebben ze misschien niet de ervaring om te weten wat ze moeten doen, waardoor ze te traag reageren. De beste manier om dit tegen te gaan, is door incidenten vooraf te plannen.

Wees ook beducht voor “alarmmoeheid”. Dat wil zeggen dat aanvalsindicatoren verloren gaan in de massa omdat er te veel bellen afgaan. Daardoor kan het team dit niet behappen. Zelfs wanneer men in eerste instantie een case opent, krijgt deze mogelijk niet de juiste prioriteit vanwege een gebrek aan zichtbaarheid en context. Dit kost tijd en de tijd staat niet aan de kant van een verdediger als het gaat om respons op incidenten.

Tip 2: Kraai niet te vroeg victorie als u gehackt bent

Bij reactie op incidenten is het niet voldoende om enkel de symptomen te bestrijden. Het is ook belangrijk om de oorzaak te behandelen. Wanneer u een bedreiging detecteert, moet u eerst de onmiddellijke aanval beoordelen. Dit kan betekenen dat u bijvoorbeeld een uitvoerbaar ransomware-bestand of een trojan verwijdert. Of dat u de data exfiltratie (het kopiëren van uw bedrijfsdata) blokkeert. In de praktijk stoppen veel beveiligingsteams echter de eerste aanval, maar realiseren ze zich niet dat ze de oorzaak niet echt hebben opgelost.

Het succesvol verwijderen van malware en het wissen van een waarschuwing betekent niet dat de aanvaller uit de omgeving is verwijderd. Mogelijk ging het slechts om een test die door de aanvallers werd uitgevoerd om te zien met welke verdedigingsmechanismen ze te maken hebben. Als de aanvaller nog steeds toegang heeft, zal hij waarschijnlijk opnieuw toeslaan, maar destructiever.

Incidentresponsteams moeten ervoor zorgen dat ze de hoofdoorzaak aanpakken van het oorspronkelijke incident dat ze hebben verholpen. Heeft de aanvaller nog steeds voet aan de grond in de omgeving? Zijn ze van plan een tweede golf te lanceren? Dan wordt u alsnog gehackt. Operators voor incidentrespons die duizenden aanvallen hebben verholpen, weten wanneer en waar ze dieper moeten onderzoeken. Ze zoeken naar al het andere dat aanvallers doen, hebben gedaan of misschien van plan zijn te doen in het netwerk – en neutraliseren dat ook.

Tip 3: Maak de juiste data zichtbaar

Tijdens het navigeren bij een aanval maakt niets het verdedigen van een organisatie moeilijker dan blind vliegen. Het is belangrijk om te werken met juiste data van hoge kwaliteit. Hierdoor is het mogelijk om potentiële indicatoren van een aanval nauwkeurig te identificeren en de hoofdoorzaak vast te stellen.

Effectieve teams verzamelen de juiste gegevens om de signalen te zien Ze kunnen de signalen van de ruis onderscheiden en weten welke signalen het belangrijkst zijn om prioriteit te geven.

Signalen verzamelen

Een te beperkt inzicht in een omgeving is een zekere manier om aanvallen te missen. Door de jaren heen zijn er veel big-data-tools op de markt gebracht om deze specifieke uitdaging op te lossen. Sommige vertrouwen op gebeurtenisgerichte gegevens zoals logboekgebeurtenissen. Andere gebruiken bedreigingsgerichte gegevens en nog andere vertrouwen op een hybride aanpak. Het doel is hoe dan ook hetzelfde: voldoende gegevens verzamelen om zinvolle inzichten te genereren voor het onderzoeken van en reageren op aanvallen die anders zouden zijn gemist.

Het verzamelen van de juiste gegevens van hoge kwaliteit uit een breed scala aan bronnen zorgt voor volledig inzicht in de tools, tactieken en procedures van een aanvaller. Anders wordt waarschijnlijk slechts een deel van de aanval gezien.

Ruis verminderen

Maar verzamel ook geen onnodige gegevens. Uit angst om iets te missen, verzamelen sommige bedrijven (en de beveiligingstools waarop ze vertrouwen) alles. Op die manier maken ze het echter niet gemakkelijker om een ​​speld in een hooiberg te vinden. Integendeel, ze maken het moeilijker door meer hooi op te stapelen dan nodig. Dit verhoogt niet alleen de kosten van het verzamelen en opslaan van gegevens, maar het veroorzaakt ook veel ruis, wat leidt tot de alarmmoeheid die we al eerder vermeldden, maar ook tot tijdverspilling bij het zoeken naar false positives (signalen die uiteindelijk onschuldig blijken).

Context toepassen

Zowel inhoud als context zijn nodig om een ​​effectief incidentresponsprogramma uit te voeren. Door zinvolle metadata toe te passen die aan signalen zijn gekoppeld, kunnen analisten bepalen of signalen kwaadaardig of onschuldig zijn.

Een van de meest kritische componenten van effectieve detectie en reactie op bedreigingen is het prioriteren van de signalen die er het meest toe doen. De beste manier om te bepalen welke waarschuwingen er het meest toe doen, is met een combinatie van context die wordt geboden door beveiligingstools (d.w.z. endpoint detectie en responsoplossingen), kunstmatige intelligentie, informatie over bedreigingen en de kennisbasis van de menselijke operator.

Context helpt om vast te stellen waar een signaal vandaan kwam, het huidige stadium van de aanval, gerelateerde gebeurtenissen en de mogelijke impact op het bedrijf.

Tip 4: Het is ok om hulp te vragen

Geen enkel bedrijf kijkt er naar uit om pogingen tot een breach aan te pakken. En om adequaat te reageren op incidenten is specifieke kennis nodig. Dit betekent dat IT- en beveiligingsteams die verantwoordelijk zijn voor de reactie op incidenten onder hoge druk, in situaties terechtkomen waar ze eenvoudigweg niet de vaardigheden voor hebben. En die situaties hebben vaak een enorme impact op het bedrijf.

Ook het gebrek aan de juiste middelen om incidenten te onderzoeken en er op te reageren, is een van de grootste problemen waarmee de cyberbeveiligingsindustrie tegenwoordig kampt.

Daarom bieden security bedrijven managed security services aan. Meer specifiek, managed detectie en respons (MDR)-services. MDR-services zijn uitbestede beveiligingsactiviteiten. Een team van specialisten fungeert als een verlengstuk van het beveiligingsteam van een klant. Deze services combineren door mensen geleide onderzoeken, opsporing van bedreigingen, realtime monitoring en respons op incidenten met de juiste technologie om informatie te verzamelen en te analyseren.

Aan de andere kant, voor organisaties die geen MDR-service hebben ingezet en reageren op een actieve aanval, zijn incident response specialistische services een uitstekende optie. Deze hulpverleners schakelt men in wanneer het beveiligingsteam overweldigd is en externe experts nodig heeft om de aanval te stoppen. Zij zorgen er bovendien mee voor dat de tegenstander geneutraliseerd wordt.

Zelfs organisaties met een team van bekwame beveiligingsanalisten kunnen profiteren van de samenwerking met een incidentresponsservice om hiaten in de dekking (denk aan nachten, weekends, vakanties) en gespecialiseerde rollen die nodig zijn bij het reageren op incidenten te dichten.