Reactie op beveiligingsincident is een strategische benadering voor het identificeren, prioriteren en beheersen van een cyberaanval, alsmede het beheer van de oplossing en de nasleep van een dergelijke aanval.
Cyberaanvallen zijn net als sneeuwballen die van een heuvel af rollen - ze beginnen vaak klein. Helaas beschikken te weinig bedrijven over de juiste middelen of processen om deze bedreigingen volledig af te wenden voordat ze zich uitbreiden. En wanneer cyberaanvallen kunnen uitgroeien van kleine incidenten tot grote bedrijfsrisico's, kunnen ze verwoestende gevolgen hebben. Onderzoek toont aan dat het voor bedrijven gemiddeld 128 dagen duurt om een inbreuk te detecteren. Dat is vier maanden, waarin een aanvaller gegevens kan stelen, je systemen kan beschadigen en je vermogen om zaken te doen kan verstoren.
Respons op beveiligingsincidenten (SIR) is ontworpen om organisaties te helpen te reageren op dergelijke netwerkinbraken voordat ze gevolgen hebben voor hun bedrijf. SIR is gestructureerd om allerlei soorten cyberdreigingen en beveiligingsincidenten aan te kunnen en voorziet in beproefde en schaalbare workflows en procedures die Security Operations Centers (SOC) en incidentresponsteans kunnen gebruiken om de gevolgen voor het bedrijf tot een minimum te beperken en de hersteltijd te verkorten.
Respons op beveiligingsincidenten is een subcategorie van meer algemene initiatieven voor incidentrespons die ook niet-beveiligingsgerelateerde kwesties bestrijken. SIR is speciaal ontworpen om kwaadwillige aanvallen tegen de digitale systemen van een bedrijf aan te pakken. Dit omvat (maar is niet beperkt tot) de volgende categorieën beveiligingsincidenten:
Een inbreuk op een computersysteem, ook wel gegevensinbreuk of inbreuk op de IT-beveiliging genoemd, treedt op wanneer een cyberaanvaller toegang krijgt tot de computergegevens, softwaretoepassingen, netwerken of apparaten van een bedrijf.
Cyberaanvallers, zowel intern als extern, die toegang krijgen tot de netwerken van een organisatie, kunnen proberen om wijzigingen aan te brengen in verschillende tools, apps, gegevens of andere gevoelige systemen.
Niet-versleutelde hardware kan een ernstig gevaar vormen als deze in onbevoegde handen valt. Als zakelijke apparaten kwijtraken of worden gestolen, moeten bedrijven plannen hebben om het beveiligingsrisico aan te pakken.
Soms is het doel van een cyberaanval niet om gegevens te stelen, maar om verstoring te veroorzaken. Een DoS-aanval overspoelt het doelnetwerk met verkeer, waardoor de capaciteit wordt overbelast en een shutdown wordt geforceerd.
Cybercriminelen die toegang krijgen tot de systemen van een bedrijf proberen mogelijk de controle over IT-resources of -tools over te nemen, wat vaak de basis is voor een Ransomware-aanval.
Vaak kan een aanvaller het snelst toegang krijgen door een geautoriseerde gebruikersaccount te kapen. Aangetaste accounts kunnen bijzonder moeilijk te detecteren zijn.
Net als de sneeuwbal die steeds groter wordt, zullen niet-aangepakte en niet-ingeperkte beveiligingsincidenten bijna altijd escaleren. Dit kan van alles betekenen, van verloren gebruikersgegevens en gecompromitteerde bedrijfs- en klantgegevens, tot dure en voor de reputatie schadelijke uitvaltijd, tot volledige ineenstorting van het systeem. Met respons op beveiligingsincidenten beschikken SOC-teams over de juiste resources, tools en processen om deze beveiligingsincidenten te lokaliseren en te prioriteren voordat ze de kans krijgen om groter te worden.
Door best practices, geautomatiseerde en collaboratieve workflows en stapsgewijze plannen voor risicobeperking vast te stellen die elke fase van de reactie op bedreigingen bestrijken, bestaat SIR om inbraken zo snel mogelijk te stoppen en bedrijven te voorzien van bewezen en schaalbare responsstrategieën voor een snel herstel nadat de inbreuk is ingedamd en geëlimineerd.
Naast een snel herstel na een mogelijke datalek, helpt de respons op beveiligingsincidenten bedrijven te voldoen aan de normen voor naleving van de regelgeving, zoals de wettelijke eisen in sectoren als de gezondheidszorg en de financiële dienstverlening. Ten slotte beschermt SIR de merkreputatie die anders permanente schade zou kunnen oplopen als gevolg van een succesvolle inbreuk.
Hoewel je respons op beveiligingsincidenten taken kan omvatten voor elk niveau van je organisatie, zoals IT, risicobeheersing, HR en juridische zaken, valt het grootste deel van de verantwoordelijkheid onder je incidentresponsteam. Deze teams bestaan doorgaans uit de volgende rollen:
Een incidentresponsemanager neemt de leiding bij incidentrespons, houdt toezicht op acties, prioriteert bedreigingen en fungeert als contactpersoon tussen het responsteam en de rest van de organisatie. Managementondersteuning is essentieel voor effectieve responsplannen voor beveiligingsincidenten. Daarom moeten incidentresponsmanagers zich verzekeren van de instemming van de directie voordat een plan kan worden uitgevoerd.
Security-analisten zijn de grondtroepen tijdens het incident. Deze analisten moeten worden opgeleid om echte incidenten te onderscheiden van potentiële fout-positieven, de tijd, locatie en details van het incident te bepalen, en eventueel door de indringer achtergelaten bewijsmateriaal op te sporen en te bewaren.
Ten slotte proberen dreigingsonderzoekers de ernst en omvang van de inbreuk te bepalen. Ze zoeken op internet naar gevoelige informatie die mogelijk uit bedrijfssystemen is geëxtraheerd. Ze helpen ook bij het samenstellen van een database met eerdere incidenten om de informatie over dreigingen van het bedrijf te verbeteren.
Elk van deze functies speelt een belangrijke rol bij het reageren op en herstellen van een beveiligingsincident. Sommige bedrijven kiezen ervoor om een aantal van deze verantwoordelijkheden uit te besteden, maar of je je team nu volledig intern opbouwt of uitbesteedt, je incidentresponsteam zal essentieel zijn om ervoor te zorgen dat je organisatie je responsplan voor beveiligingsincidenten correct volgt.
Om effectief te kunnen reageren op beveiligingsincidenten, moet het systeem volledig voorbereid zijn en klaar zijn om te worden geïmplementeerd, lang voordat het betreffende beveiligingsincident zich ooit voordoet. Een responsplan op beveiligingsincidenten (SIRP, Security Incident Response Plan) is een formele, officiële set documentatie waarin duidelijk wordt beschreven welke acties moeten worden ondernomen tijdens elke fase van de respons op beveiligingsincidenten van een bedrijf. Tegelijkertijd moet de SIRP de beveiligingsresponsrollen en -verantwoordelijkheden in de hele organisatie beschrijven en aan de orde stellen hoe deze rollen moeten communiceren en samenwerken binnen de vastgestelde responsprotocollen.
Omdat het SIRP is ontworpen voor een snelle implementatie tijdens de meest kritieke eerste uren van een aanval, moet deze duidelijk, ondubbelzinnig qua terminologie en taal zijn, en eenvoudig te volgen. Bij SIP's wordt vaak verwezen naar of een bibliotheek met playbooks voor incidentrespons.
In essentie is een SIRP een reeks instructies die responsteams moeten volgen, zodat zij snel en accuraat bedreigingen kunnen identificeren, doeltreffend kunnen reageren en de gevolgen van het beveiligingsincident in het algemeen kunnen beperken.
Omdat er zo veel invloed is op hoe snel een bedrijf zijn responsstrategie kan implementeren, volgen de meeste SIP's een vaste methode die bestaat uit zes belangrijke fasen:
De eerste fase van incidentrespons is gericht op het voorbereiden van IT-, SOC- en andere leden van responsteams om bedreigingen af te handelen zodra deze zich voordoen. Dit is waarschijnlijk de belangrijkste fase van je SIRP en deze fase moet rekening houden met de responstraining van werknemers, het verkrijgen van de juiste financiering en goedkeuring en het vaststellen van documentatienormen. Veel bedrijven kiezen ervoor om oefeningen te doen om alle betrokkenen vertrouwd te maken met hun verantwoordelijkheden.
Omdat een inbreuk op veel verschillende gebieden kan ontstaan, is het van essentieel belang dat responsteams toegang hebben tot procedures voor het identificeren en valideren van potentiële bedreigingen alvorens deze de status van geverifieerd beveiligingsincident krijgen. In de identificatiefase moet kunnen worden bepaald wanneer een voorval heeft plaatsgevonden, hoe het is ontdekt, op welke gebieden het van invloed kan zijn geweest, hoeveel invloed het heeft gehad op de huidige activiteiten en of de plaats van binnenkomst bekend is.
Als de bedreiging volledig is geverifieerd, is de volgende fase bedoeld om te voorkomen dat deze verder door het systeem gaat. Inperking is een essentiële stap en mag niet worden overgeslagen ten gunste van directe uitroeiing; het eenvoudigweg verwijderen van de malware kan je kansen verspelen om bewijsmateriaal te verzamelen dat je kunt gebruiken om je netwerk te versterken tegen soortgelijke aanvallen in de toekomst. Ontkoppel en isoleer aangetaste systemen en implementeer indien mogelijk back-upsystemen om verlies van bedrijfsactiviteiten te voorkomen. Patch al je systemen, bekijk protocollen voor externe toegang en laat alle beheerdersaccounts hun aanmeldingsgegevens wijzigen.
Zodra de bedreiging is ingeperkt en alle relevante gegevens zijn verzameld, kun je nu veilig beginnen met het verwijderen van malware uit het systeem. Het is van essentieel belang dat alle malware wordt verwijderd. Bij een niet-grondige schoonmaak die sporen van de aanval achterlaat, kan ongeautoriseerde toegang tot je gegevens mogelijk blijven en de malware in de toekomst opnieuw opstarten.
Het beperken van een bedreiging is goed; het verbeteren van je systemen om te voorkomen dat beveiligingsincidenten je bedrijf beïnvloeden, is beter. Nadat het incident correct is afgehandeld, bespreek je het met de leden van het responsteam en andere belanghebbenden om vast te stellen wat je hebt geleerd van de ervaring en deze te documenteren. Deze lessen kunnen vervolgens worden toegepast om je systemen beter voor te bereiden op toekomstige incidenten, waarbij zowel de prioritering als de respons worden geoptimaliseerd.
Naarmate beveiligingsrisico's steeds vaker, complexer en geavanceerder worden, heeft respons op beveiligingsincidenten zich ontwikkeld van concurrerend onderscheidend naar de essentiële beveiligingsstandaard . Maar wanneer elke seconde telt, ontdekken beveiligingsteams dat ze niet de mogelijkheid hebben om alle mogelijke beveiligingsincidenten volledig te onderzoeken, te verifiëren en erop te reageren wanneer deze zich voordoen. Service Now biedt de oplossing.
ServiceNow Reactie op beveiligingsincident transformeert de standaardbenadering van IT-beveiligingsonderzoek, -respons en -herstel door geavanceerde automatiseringsmogelijkheden toe te passen en gegevens, inzichten en rapportage over beveiligingsactiviteiten te centraliseren op een enkel platform. Geef responsteams meer mogelijkheden en schaal ze op met geautomatiseerde prioritering, classificeren, gegevensanalyse en andere essentiële responstaken. Ga vervolgens verder met realtime inzichten, gedetailleerde playbooks en volledig inzicht in netwerkbeveiliging.
Lees meer over hoe ServiceNow je aanpak voor de respons op beveiligingsincidenten kan optimaliserenen toekomstige cyberaanvallen kan stoppen voordat ze beginnen.