Beste bezoeker,

Wij zien dat u een adblocker gebruikt die ervoor zorgt dat u geen advertenties ziet op cio.nl. Dit vinden wij jammer, want cio.nl is mede dankzij deze advertenties gratis toegankelijk. Wilt u een uitzondering maken voor cio.nl door deze te whitelisten?
!
Welkom op cio.nl! Wist u dat u met een gratis Insider-account altijd op de hoogte blijft over al het nieuws, achtergrondartikelen, opinies, interviews en events rondom IT? Schrijf u nu gratis in »
  •  
  •  
1 Reacties Bewaren
security, computer, pc,

Hoe je je organisatie voorbereidt op beveiligingsincidenten

Een goede voorbereiding op een security-incident kan je helpen in het minimaliseren van de impact ervan, zegt SANS-instructeur Kai Thomsen. Hier zijn tips.

Als je gesprekken voert met beveiligingsprofessionals, kom je er al snel achter dat hun werk ook minder glamoureuze aspecten omvat. Het schrijven van rapporten over incidenten en het treffen van voorbereidende maatregelen wedijveren daarbij om de eerste plaats. In dit artikel ga ik in op het treffen van voorbereidingen voor beveiligingsincidenten. Verder leg ik uit waarom incidentrespons niet per sé een chaotische nachtmerrie hoeft te zijn met werkdagen van 15 uur en zonder garantie op resultaat. Als je het goed aanpakt, kan je organisatie zelfs beter worden van een beveiligingsincident. Effectieve IT-beveiliging is een haalbare kaart, en een goede voorbereiding draagt in sterke mate bij aan een succesvolle verdediging.

Een paar dagen geleden nam ik deel aan een tweedaagse workshop. Het doel was om een incidentresponsplan te ontwikkelen voor een bedrijfslocatie waar nog geen voorbereidingen waren getroffen voor eventuele beveiligingsincidenten. Het goede nieuws is dat ik dit project ten uitvoer ga leggen in het gezelschap van een incidentreponsteam dat weet hoe belangrijk een effectieve voorbereiding is, hoe dit vorm moet krijgen en hoe je grip kunt houden op een situatie die op zijn zachtst gezegd chaotisch is.

Het IDG Contributor Network geeft jou als IT-professional of opiniemaker een platform als je je kennis of mening wil delen met collega's via de websites van IDG: CIO.nl, CSO.nl, Computerworld.nl, Webwereld.nl en CxO.nl.

Analisten, experts en IT-professionals kunnen deelnemen aan het platform als zij hun collega's van originele content kunnen voorzien. We accepteren geen promotionele bijdragen of herschreven content. Deelname kan worden aangevraagd via contributor@idg.nl

En daarmee zijn we aanbeland bij de waarde van een goede voorbereiding: het dwingt je om na te denken over de waarschijnlijke scenario's waarmee je organisatie kan worden geconfronteerd. Op die manier word je niet verrast en kun je veel sneller en efficiënter reageren.

Dat klinkt misschien als een open deur. Uit recente artikelen in Duitse kranten blijkt echter dat minder dan 40 procent van alle Duitse bedrijven goed is voorbereid op ernstige beveiligingsincidenten. En in andere landen ziet het er niet beter uit. Terwijl ik dit schrijf, staat mijn Twitter-timeline bol van de commentaren en links naar artikelen over het datalek bij Equifax. Het gaat waarschijnlijk om de grootste dataroof ooit. En het is helaas een schoolvoorbeeld van hoe je het communicatie- en herstelaspect van een beveiligingsincident niet moet afhandelen. Bedrijven die moeten voldoen aan de eisen van de GDPR, de Europese wetgeving inzake databescherming die komend jaar van kracht gaat, kunnen dan ook niet om een incidentresponsplan heen.

Hoog tijd voor een paar aanbevelingen ten aanzien van de voorbereiding op beveiligingsincidenten. Ik zal het zo algemeen mogelijk houden in de hoop dat mijn advies ook van waarde is voor bedrijven die niet over een speciaal incidentresponsteam beschikken. En dat is waarschijnlijk de meerderheid.

Ik geef er de voorkeur aan om het voorbereidingsproces op te splitsen in drie aspecten:

• Communicatie

• Omgeving

• Toolkit

Communicatie is in mijn ogen het belangrijkste aspect van elke vorm van crisismanagement, en incidentrespons maakt daar duidelijk deel van uit. Iedereen kan zich wel een paar voorbeelden voor de geest halen van bedrijven die na een datalek op dit punt de plank faliekant missloegen.

En om het opnieuw zo algemeen mogelijk te houden is er meestal sprake van drie communicatiegebieden:

• IT-beheer

• Operationele teams die al dan niet deel uitmaken van de IT-afdeling, zoals het incidentresponsteam

• Betrokkenen buiten het operationele/IT-domein. Dit kan gaan om afdelingen die te maken krijgen met gegevensdiefstal, dataverlies of downtime, of de PR-afdeling, die zorg moet dragen voor de communicatie met de buitenwereld, inclusief klanten wier data is gelekt.

In mijn ervaring heeft een incidentresponsteam minimaal twee vaste medewerkers nodig die zorg dragen voor het communicatieaspect. De eerste stap in de voorbereidingsfase is dus om deze taken toe te wijzen aan teamleden, of u nu wel of niet over een vast incidentresponsteam beschikt. De tweede stap is om een lijst op te stellen van alle contactpersonen voor elk communicatiegebied en die lijst up-to-date te houden. Zodra alle contactpersonen in kaart zijn gebracht, moeten zij natuurlijk weten wat er van hen verwacht wordt als er zich een beveiligingsincident voordoet. Dat betekent dat er een beschrijving van hun rol nodig is. Als je het goed wilt aanpakken, raad ik je met klem aan om informele oefensessies te houden. Op deze manier kunnen alle betrokkenen ervaring opdoen in de rol die hen is toegekend. En het hoeft niet om bedrijfsbrede oefeningen in crisismanagement te gaan. Het speelsgewijs op kleine schaal in scène zetten van een paar 'wat als'-scenario's is een uitstekende manier om te beginnen.

Wil je uitgebreidere voorbereidingen treffen? Denk dan na over alternatieve communicatiekanalen. De kans bestaat namelijk dat je mailserver tijdens een beveiligingsincident geïnfecteerd raakt. Het communiceren van tegenmaatregelen via de interne mail is in dat geval geen goed idee.

Omgeving

Je kunt alleen verdedigen wat je kent. Nadat je hebt vastgesteld met wie je binnen en buiten de IT-afdeling moet communiceren, is het daarom tijd om in kaart te brengen wat er zich binnen je IT-omgeving bevindt. Verzamel alle benodigde documentatie (bijv. met betrekking tot netwerkkaarten, , firewallregels, besturingssystemen, applicaties, lijsten met IT-activa enzovoort). Het belangrijkste hierbij is om te controleren of de documentatie strookt met wat er werkelijk binnen je omgeving aanwezig is. Als je organisatie ook maar een beetje lijkt op die waarvoor ik heb gewerkt, zal er sprake zijn van onvolledige of verouderde documentatie. Deze geeft mogelijk alleen een indruk van wat de IT-architecten voor ogen hadden, en niet hoe de implementatie er in werkelijkheid uitziet. De documentatie is dus een goed uitgangspunt om je een beeld van de IT-omgeving te vormen. Wil je daar meer over weten? Neem dan deel aan mijn SANS-training "ICS515: ICS Active Defense and Incident Response". Daarbij gaan we een heel dagdeel in op technieken voor het in kaart brengen van IT-activa en het bewaken van de netwerkbeveiliging.

Toolkit

Proberen om wegwijs te worden met tools terwijl er een beveiligingsincident gaande is, snijdt geen hout. Als de nood aan de man is, zul je tijd noch mentale rust hebben om nieuwe dingen te leren. Zorg er dus voor dat je bekend bent met de tools die je tijdens een incident nodig zult hebben. Ben je net overgestapt op een nieuwe versie van forensische of bewakingssoftware? Heb je gecontroleerd of alles naar behoren werkt en je workflow niet verstoort? En zijn die automatiseringsscripts die je zodanig miste tijdens het laatste incident al geprogrammeerd? Dat is typisch een klus die je in de verloren uren kunt uitvoeren. En als je toch bezig bent, moet je je zeker niet beperken tot tools. Procedures en draaiboeken maken eveneens deel uit van je toolkit. Zorg ervoor dat die up-to-date zijn en scherp ze aan op basis van de lessen die je leerde tijdens het opstellen van je definitieve rapport over het laatste incident? Ben je daar al evenmin aan toegekomen? Dat is materiaal voor een volgend artikel ;-)

Kai Thomsen is ruim 15 jaar actief in diverse functies op het gebied van IT-beveiliging en als SANS Instructor verantwoordelijk voor de training ICS Active Defense and Incident Response. Hij is momenteel als Digital Forensics & Incident Response (DFIR) lead bij Audi verantwoordelijk voor de ontwikkeling en uitvoering van Red Team-exercities waarbij zakelijke, fysieke en IT-aspecten met elkaar worden verenigd.

Relevante artikelen

Oudste boven ▾ Reacties

    • 0 +1
      Numoquest
      Numoquest op 25 oktober 2017 om 11:23 Meld misbruik

      Wat mij als IT crisis professional nu nog steeds verbaast, is men telkens weer het wiel opnieuw uit vind dat terwijl er legio standaarden zijn geschreven in de tussentijd er basaal NIETS is veranderd t.a.v. security in de enterprise of entiteit. Het enig wat hoogstens is veranderd door de enorme toename van commerciele diversiteit is dat de criminelen veel meer mogelijkheden hebben gekregen, mogelijkheden die door simplificatie voorkomen hadden kunnen worden.

      Wanneer executives, CIO, besturen, management, niet willen kijken en luisteren naar de basis van digitaal automatiseren maar zich vooral laten leiden door de angst door commercie aangewakkerd, krijg je daar hele nare kostbare situaties van. En digitaal automatiseren is juist het voorkomen dat die situaties zich aandienen.

      Wij blijven nog steeds bij onze standaarden van twintig jaar geleden die zelfs gedurende alle hypes en 'vernieuwingen' nog volkomen en onveranderd blijven. Digitaal automatiseren is 'Exact', 100% voorspelbaar. Zo eenvoudig blijft het.

      |

  • Reageren

  • Reactie bewerken

  • Misbruik melden

Reageer

Om een reactie te plaatsen moet u ingelogd zijn.

Preview