Zorg dat je bent voorbereid op een digitale aanval

Maak een plan, leg processen vast en oefen de respons op een beveiligingsincident. Het is een kwestie van tijd voor een aanvaller met succes je organisatie binnendringt, maar dat hoeft geen ramp te zijn als je snel en adequaat kunt reageren. Dat draait om het inrichten van beveiligingsteams die gestructureerd en effectief kunnen handelen.

Digitale aanval
Digitale aanval

Voorkomen is beter dan genezen, maar niet alle beveiligingsincidenten zijn te voorkomen, omdat het aanvalsoppervlak zo groot is. Zie een IT-omgeving als een vestingstad: de bewakers moeten de volledige muur rondom de stad in de gaten houden, maar een aanvaller heeft slechts één zwakke plek nodig in die lange muur om binnen te komen. Als je dat vertaalt naar het grote en diverse oppervlak van endpoints, systemen en applicaties waar IT mee te maken krijgt, is het duidelijk dat het vrijwel niet mogelijk is om de muren volledig te beschermen. Beter is het om te detecteren wanneer de vijand de muur gepasseerd heeft, zodat je actie kunt ondernemen.

Er wordt dan ook wel eens gezegd dat er tegenwoordig eigenlijk maar twee typen organisaties zijn: bedrijven die zijn gehackt en bedrijven die nog niet weten dat ze zijn gehackt. Wat voor organisatie je ook bent - of het nu eentje is die vrijwel geen vastomlijnde processen heeft of eentje die zich richt op doorlopende beveiligingsmeting en ijking - vroeger of later krijg je te maken met een incident.

Incidentbestrijding richt zich vaak op het beperken van de schade door “het bloed weg te spoelen”, zegt Ashish Khanna, Verizons hoofd Security Consulting & Architecture. "Maar dat is het gevaarlijkste wat je kunt doen", waarschuwt hij. "Je moet je richten op beperking en quarantaine, zodat je forensische analyse en een post-mortem kan doen. Je moet weten wat er is gebeurd, welke lessen je ervan kunt leren, wat de volgende stappen zijn en hoe je voorkomt dat het opnieuw gebeurt."

  1. Zorg voor de juiste teams

Als een potentiële inbraak wordt gedetecteerd, moet de IT-afdeling direct kunnen optreden en dan wil je je niet verdiepen in een organogram. "Identificeer ten eerste wie onderdeel van het responsteam is", adviseert Khanna. "De sleutel tot een effectief team is een wendbaar team dat je op een gestructureerde manier inzet." Onderdeel van zo'n gestructureerde aanpak zijn draaiboeken, vastomlijnde processen en oefenscenario's. "Heb goed in beeld wat het mitigatieplan is", zegt hij. Teams die moeten optreden bij het incident, moeten in staat zijn om direct op te treden zonder dat ze zich al te veel moeten inlezen. Je krijgt beter zicht op dat plan als je met enige regelmaat simulaties doet van geslaagde aanvallen.

  1. Leg processen vast

Een kenmerkende eigenschap van een bedrijf dat correct kan reageren op een digitale inbraak, is de wendbaarheid van het team dat op het incident moet reageren, vertelt Khanna. "Een respons moet gestructureerd gebeuren. Het is belangrijk dat er processen zijn geformuleerd, zodat je ze kunt inzetten op het moment dat een incident zich voltrekt." Daarbij is het belangrijk dat je meteen kunt zien waar het over gaat om de impact in te kunnen schatten. "Wie zijn de eigenaars van de getroffen producten, wat zijn hun gedragingen geweest en welke informatie is opgepikt over de producten?"

Ook nuttig is een incidentenregister waarin eerdere incidenten worden omschreven. In zo'n register staat wat er gebeurde, wat de oorzaak ervan was, hoe lang het issue speelde, welke data en applicaties erbij waren betrokken, en welke maatregelen zijn genomen om de controle terug te krijgen. Dat is waardevolle informatie voor een team dat reageert op een nieuwe aanval met mogelijk enkele soortgelijke kenmerken.

  1. Maak een responsplan

Onderzoeksbureau Gartner heeft bijvoorbeeld een framework (HIER ZOU IK DE LINK NAAR GARTNER OPNEMEN) opgesteld dat bedrijven hulp kan bieden bij het ontwikkelen van zulke securityprocessen: Continuous Adaptive Risk and Trust Assessment (CARTA). Volgens Gartner is de perimeter (de ruimte binnen de muur van de vestingstad, zo je wilt) niet verdwenen, maar is hij naar de cloud verschoven. Nog steeds richt je een perimeter in, maar in plaats van om het netwerk, bouw je een beveiligingslaag rondom gebruikers. In CARTA draait het niet meer zozeer om endpoints en netwerklocaties, maar dus om gebruikers en hun accounts.

Het doel van CARTA is dat organisaties zich richten op processen die zich makkelijk aanpassen aan de constante veranderingen qua risico's en zo adaptief kan reageren op dreigingen en incidenten. "Wie reageert er als het misgaat? Als een incident zich voltrekt, vinden mensen al gauw dat het hun probleem niet is," stelt Khanna. Als je de respons definieert en vastlegt in een draaiboek, kan een organisatie snel reageren op het moment dat een inbraak wordt opgemerkt. "Je hebt een formeel reproduceerbaar proces nodig", aldus Khanna.

Daarbij is het belangrijk dat het plan geregeld wordt herzien om het bij te werken met moderne inzichten. Khanna: "Een plan dat vijf jaar oud is, is meestal niet zo effectief. Aanvallers veranderen hun methodes en trucs, en daar moet je op in kunnen spelen." 

  1. Oefen met kleine teams

Een crisisoefening is niet alleen een zaak voor IT, maar ook voor eindgebruikers, stelt Khanna voor. "Je legt duidelijk vast wie er verantwoordelijk zijn voor applicaties en testscenario's in kleine business-units." Daarbij werken operationele IT en informatiebeveiliging samen met de eindgebruiker. Dat geeft ook een veranderde mentaliteit weer: eentje waarbij IT weer in dienst staat van de eindgebruiker.

"Beveiliging moet geen politiementaliteit zijn waarbij IT'ers door het bedrijf rennen om te achterhalen welke eindgebruiker iets heeft veroorzaakt," stelt Khanna tot slot. In plaats daarvan moet IT-beveiliging zich volledig richten op de business: "De klant is het bedrijf, dat zijn de applicatie-eigenaars. We moeten ons achter hen scharen om hun levens gemakkelijker en veiliger te maken, in plaats van dat we mensen vertellen wat ze moeten doen."

Copyright © 2020 IDG Communications, Inc.

7 inconvenient truths about the hybrid work trend