Zo maakt u een cyber response plan en reageert u correct op een aanval

Wat is de beste manier om te voorkomen dat een cyberaanval verandert in een volledige data breach? Bereid u voor door middel van een cyber response plan.

Wanneer een cyberveiligheidsincident toeslaat, is tijd van essentieel belang. Daarom heeft u een goed voorbereid en goed begrepen cyber response plan nodig. Een plan dat alle betrokken partijen onmiddellijk kunnen uitvoeren. Dit zal namelijk de impact van een aanval op uw organisatie drastisch verminderen.

Veel bedrijven realiseren zich pas na een data breach dat ze veel kosten, pijn en verstoring konden vermijden als ze vooraf een effectief cyber response plan hadden opgesteld.

Deze gids biedt u een framework voor de planning van cyberveiligheidsincidenten waarmee u de beste kans heeft om uw ​​tegenstander (hacker) te dwarsbomen. Deze aanbevelingen zijn gebaseerd op de praktijkervaringen van de Sophos Managed Threat Response- en Sophos Rapid Response-teams, die tienduizenden uren ervaring hebben met het omgaan met cyberaanvallen.

Cyber response plan voor cyberincidenten

Er zijn 10 belangrijke stappen voor een effectief incidentresponsplan.

1. Bepaal de belangrijkste stakeholders

Het correct opvolgen van een mogelijk incident is niet enkel de verantwoordelijkheid van het ICT-team. Want een incident heeft sowieso gevolgen voor bijna elke afdeling in het bedrijf. Vooral als het incident verandert in een grootschalige inbreuk (data breach). Om uw ​​reactie goed te coördineren, moet u bepalen wie erbij betrokken moet worden. Dit omvat vaak vertegenwoordiging van het senior management, beveiliging, IT, juridische zaken en public relations.

Weten wie er aan tafel moet zitten en betrokken moet zijn, moet u van tevoren bepalen. Stel een communicatiemethode vast om een ​​snelle reactie te garanderen. Hou er rekening mee dat uw normale communicatiekanalen (d.w.z. zakelijke e-mail) mogelijk niet beschikbaar zijn door een incident.

2. Identificeer essentiële systemen

Om de omvang en impact van een aanval te beperken, bepaalt u eerst de systemen met de hoogste prioriteit in het bedrijf. Zo kan u uw beschermingsstrategie definiëren, alsook de omvang en impact van een aanval. Bovendien kan uw incidentresponsteam zich tijdens een aanval concentreren op de meest kritieke systemen. Zo beperkt u de bedrijfsonderbreking tot een minimum.

3. Oefen verschillende scenario’s

Incidentrespons is net als veel andere disciplines: oefening baart kunst. Hoewel het moeilijk is om de intense druk die uw team zal ervaren tijdens een inbreuk volledig na te bootsen, zorgt oefening voor een beter gecoördineerde en effectieve reactie wanneer zich een echte situatie voordoet.

Het is belangrijk om niet alleen technische oefeningen uit te voeren. Ook bredere oefeningen met de verschillende zakelijke stakeholders (zie boven) zijn een must.

Deze oefeningen testen de reacties van uw organisatie op een verscheidenheid aan mogelijke incidentresponsscenario’s.

Veelvoorkomende reactiescenario’s voor incidenten zijn onder meer:

• Actieve tegenstander gedetecteerd in uw netwerk: in dit scenario is het van cruciaal belang dat het responsteam bepaalt hoe een aanvaller uw omgeving heeft kunnen infiltreren, welke tools en technieken ze hebben gebruikt, wat het doelwit was en of de aanvaller nog in het netwerk zit. Deze informatie zal helpen bij het bepalen van de juiste actie om de aanval te neutraliseren.
  Hoewel het voor de hand lijkt te liggen dat u de tegenstander onmiddellijk uit uw omgeving verwijdert, kiezen sommige beveiligingsteams ervoor om te wachten en de aanvaller te observeren. Zo verzamelen ze belangrijke informatie om te bepalen wat de aanvaller probeert te bereiken en welke methoden hij hiervoor gebruikt.

• Succesvol datalek: als u een succesvol datalek detecteert, moet uw team bepalen welke data er gestolen werden en hoe. Deze informatie leidt vervolgens naar de juiste reactie. Is er bijvoorbeeld een noodzaak om rekening te houden met de impact op compliance en regelgevingsbeleid. Moeten u bijvoorbeeld klanten contacteren of zijn er mogelijke juridische consequenties.

• Succesvolle ransomware-aanval: als kritieke gegevens en systemen versleuteld zijn, moet uw team een ​​plan volgen om dergelijke verliezen zo snel mogelijk te herstellen. Dit omvat een proces om systemen te herstellen via back-ups. Om ervoor te zorgen dat de aanval niet wordt herhaald zodra u weer online bent, moet het team onderzoeken of de toegang van de tegenstander is afgesloten. Bovendien moet uw bedrijf bepalen of het eventueel bereid is om in extreme situaties losgeld te betalen en zo ja, hoeveel.

• Systeem met hoge prioriteit gecompromitteerd: wanneer een systeem met hoge prioriteit wordt gecompromitteerd, kan uw organisatie mogelijk niet normaal verder functioneren. Naast alle stappen die nodig zijn als onderdeel van een incidentresponsplan, moet uw organisatie ook overwegen om een ​​bedrijfsherstelplan op te stellen om minimale verstoring in een scenario als dit te garanderen.

4. Implementeer beschermingshulpmiddelen

De beste manier om met een incident om te gaan, is u ertegen te beschermen. Zorg ervoor dat uw organisatie beschikt over de juiste endpoint-, netwerk-, server-, cloud-, mobiele en e-mailbeveiliging.

5. Zorg voor maximale zichtbaarheid

Om juist te reageren tijdens een aanval heeft u een goed zicht nodig op wat er tijdens een aanval gebeurt. Voordat de effectieve aanval plaatsvindt, moeten IT- en beveiligingsteams ervoor zorgen dat ze de omvang en impact van een aanval begrijpen. Ook moeten ze de toegangspunten en persistentiepunten van de tegenstander bepalen. Een goede zichtbaarheid omvat het verzamelen van logboekgegevens, met een focus op endpoint- en netwerkgegevens. Aangezien het bij veel aanvallen lang duurt om ontdekt te worden, is het belangrijk dat u beschikt over historische gegevens die dagen, weken of zelfs maanden teruggaan. Zorg er bovendien voor dat er een back-up van dergelijke gegevens wordt gemaakt, zodat deze toegankelijk zijn tijdens een actief incident.

6. Implementeer sterke toegangscontrole (authenticatie)

Aanvallers kunnen zwakke toegangscontrole gebruiken om de verdediging van uw organisatie te infiltreren en bijvoorbeeld administrator rechten te bekomen. Zorg ervoor dat u over de juiste tools beschikt om sterke toegangscontrole (authentication) tot stand te brengen. Dit omvat, maar is niet beperkt tot, het implementeren van meervoudige authenticatie, het beperken van beheerdersrechten tot zo min mogelijk accounts, het wijzigen van standaardwachtwoorden en het verminderen van het aantal toegangspunten dat u moet controleren.

7. Investeer in onderzoekstools

Uw organisatie moet niet alleen zorgen voor de zichtbaarheid, maar ook voor tools die de nodige context bieden.

Denk daarbij aan veel gebruikte tools voor respons op incidenten zoals endpoint detectie en respons (EDR) of uitgebreide detectie en respons (XDR). EDR-tools helpen analisten om vast te stellen welke systemen zijn gecompromitteerd, wat op zijn beurt helpt bij het bepalen van de impact en omvang van een aanval. Hoe meer gegevens er worden verzameld – van de eindpunten en daarbuiten – hoe meer context er beschikbaar is tijdens het onderzoek. Met een bredere zichtbaarheid kan uw team niet alleen bepalen waarop de aanvallers zich richten, maar ook hoe ze toegang hebben gekregen tot de omgeving en of ze er nog steeds toegang toe hebben.

8. Breng responsacties tot stand

Het detecteren van een aanval is slechts een deel van het proces. Om goed te reageren, moeten IT- en beveiligingsteams ervoor zorgen dat ze de mogelijkheid hebben om een ​​breed scala aan herstelmaatregelen uit te voeren om een ​​aanvaller te verstoren en te neutraliseren. Enkele voorbeelden:

• Het isoleren van getroffen hosts
• Schadelijke bestanden, processen en programma’s blokkeren
• Blokkering van command and control en kwaadaardige websiteactiviteit
• Gecompromitteerde accounts bevriezen en de toegang voor aanvallers afsnijden
• Tools en gereedschappen van tegenstanders opruimen
• Toegangspunten sluiten die worden gebruikt door aanvallers (intern en extern)
• Configuraties aanpassen (bedreigingsbeleid, eindpuntbeveiliging en EDR inschakelen op onbeschermde apparaten, uitsluitingen aanpassen, enz.)
• Betrokken systemen herstellen via offline back-ups

9. Geef bewustmakingstraining

Hoewel geen enkel trainingsprogramma ooit 100% effectief zal zijn tegen een vastberaden tegenstander, helpen trainingen (d.w.z. phishing awareness trainingen) uw risiconiveau te verlagen en het aantal waarschuwingen te beperken waarop uw team moet reageren. Het gebruik van tools om phishingaanvallen te simuleren, biedt uw personeel een veilige manier om een ​​phish te ervaren. Zo identificeert u risicovolle gebruikersgroepen die mogelijk aanvullende training nodig hebben.

10. Huur een beheerde beveiligingsdienst in

Veel KMO’s zijn niet uitgerust om incidenten alleen af ​​te handelen. Voor een snelle en effectieve reactie zijn ervaren beveiligingsmedewerkers nodig. Om er zeker van te zijn dat u correct kunt reageren, kunt u overwegen om met een externe partner te werken. Zij bieden een 24/7 opsporing van bedreigingen, onderzoek en respons op incidenten, geleverd als een beheerde service. MDR-services helpen uw organisatie niet alleen om te reageren op incidenten, maar werken ook om de kans op een incident te verkleinen.