Het belang van goede incident response planning en voorbereiding

Helaas nemen cybe­rin­ci­denten toe en is de schade die ze veroor­zaken vaak rampzalig voor de gedu­peerde. Dit houdt in dat orga­ni­sa­ties, als onderdeel van een alom­vat­tende secu­ri­ty­s­tra­tegie, zich niet alleen moeten concen­treren op het weren van drei­gingen, maar ook moeten zorgen dat wanneer een dreiging daad­wer­ke­lijk een incident wordt, ze er snel op kunnen reageren en ervan herstellen.

Bij voor­be­rei­ding gaat het om meer dan simpelweg een tele­foon­nummer bellen en een externe partij om hulp vragen tijdens een incident, waarna zij het verder overnemen. Hoewel incident response — de processen en tools die worden gebruikt om een cybe­rin­ci­dent te iden­ti­fi­ceren, in te dammen en op te lossen — in feite pas kan plaats­vinden op het moment dat er daad­wer­ke­lijk iets aan de hand is, volgt een effec­tieve incident response-aanpak een cyclus, met proac­tieve, vooraf geplande onderdelen.

In die incident respons-cyclus maken planning en paraat­heid deel uit van de voor­be­rei­dings­fase. Het zijn twee essen­tiële onder­delen van een proactief incident response plan die ervoor zorgen dat een orga­ni­satie gereed is om tijdens een incident een aanvaller tegen te houden.

Wat is incident response planning en hoe draagt het bij aan organisaties?

Een incident response plan bestaat uit een reeks instruc­ties voor zowel mensen van de orga­ni­satie als voor externe partijen, die gevolgd moeten worden wanneer een incident zich voordoet. Deze instruc­ties zijn vaak afgestemd op speci­fieke scena­rio’s, zoals de stappen die genomen moeten worden bij een ransom­ware-aanval of bij een succes­volle business email-compromise.

Hoewel de IR-planning (incident response planning) varieert al naar gelang de opera­ti­o­nele behoeften, de mate van volwas­sen­heid van de security en de partners van elke orga­ni­satie, zijn er vaak stan­daar­don­der­delen en templates, waaronder:

• Een formeel beleid over hoe een orga­ni­satie moet reageren op speci­fieke scenario’s
• De rollen en verant­woor­de­lijk­heden van stake­hol­ders en van het incident response team
• Playbooks met basis­pro­ce­dures voor bepaalde aanval scenario’s
• Een commu­ni­ca­tie­plan, inclusief interne en externe commu­ni­catie met stake­hol­ders, het mana­ge­ment, de politie, partners of zelfs de cyberverzekeraar

Een incident response plan kan bijvoor­beeld de volgende onder­delen bevatten:

• Wat is een standaard, staps­ge­wijze reactie op een speci­fieke aanvalsmethode?
• Wie is betrokken bij de response (van security engineers tot het commu­ni­ca­tie­team tot het management)?
• Wat is de verant­woor­de­lijk­heid van elk van deze personen (melden bij de politie, commu­ni­ceren met de pers, spreken met klanten en inves­teer­ders, etc.)?
• Wat is de staps­ge­wijze procedure voor het beperken en stoppen van speci­fieke aanvalsscenario’s (servers loskop­pelen, contact opnemen met digitale foren­si­sche partners)?

IR-planning is cruciaal voor een sterke incident response omdat het de reac­tie­tijd en de herstel­pe­riode kan verkorten, foren­sisch onderzoek kan stroom­lijnen, kan helpen bij het iden­ti­fi­ceren en infomeren van belang­rijke stake­hol­ders. Ook kan het helpen om de conti­nu­ï­teit van de bedrijfs­voe­ring te onder­steunen. Volgens het 2024 IBM Cost of a Data Breach Report kan een IR-plan en een IR-team de gemid­delde kosten van een cybe­rin­ci­dent vermin­deren met ruim €425,000.

Door best practices te defi­ni­ëren kunnen orga­ni­sa­ties zich beter verde­digen tegen zowel bekende als onbekende drei­gingen, terwijl het bedrijf aan zakelijke partners – inves­teer­ders, aandeel­hou­ders, verze­ke­raars en execu­tives – laat zien dat de nodige stappen zijn onder­nomen om cyberrisico’s en poten­tiële schade zo veel mogelijk te minimaliseren.

Wat is Incident Readiness?

Incident readiness lijkt op IR-planning. Waar een IR-plan de aanpak is die bepaalt hoe een orga­ni­satie reageert, zorgt incident readiness ervoor dat elk aspect van dat plan optimaal kan worden uitgevoerd 

IR-readiness omvat:

• Het ontwik­kelen van de comman­do­struc­tuur tijdens een incident en ervoor zorgen dat elke stake­holder precies weet wat hij/​zij moet doen
• Ervoor zorgen dat de playbook van de orga­ni­satie compleet en getest is
• Ervoor zorgen dat de orga­ni­satie de juiste cyber­ver­ze­ke­ring, juridisch advies en IR-provider heeft
• Het uitvoeren van pene­tra­tie­testen, tabletop-oefe­ningen en andere test­maat­re­gelen om je security en IR-plan verder te versterken
• Het beoor­delen en aanpakken van eventuele gaten in het security- en IR-plan

Een assess­ment is essen­tieel voor IR-readiness, omdat het zorgt voor inzicht en actie­punten die de security van de orga­ni­satie verbe­teren. Een goed assess­ment omvat het testen en versterken van je infra­struc­tuur, processen en team.

DFIR en Incident Readiness

Digital Forensics and Incident Response Retainer Services (DFIR) zijn een ander mogelijk onderdeel van incident readiness. Deze diensten, die worden aange­boden en beheerd door externe partijen, zijn een goede optie voor orga­ni­sa­ties die kleiner zijn, minder interne expertise hebben of een minder volwassen secu­ri­ty­ni­veau hebben. DFIR-diensten zijn steeds vaker een vereiste voor veel cyber­ver­ze­ke­rings­po­lissen, waarbij Gartner stelt dat “cyber­ver­ze­ke­rings­po­lissen doorgaans vereisen dat orga­ni­sa­ties een DFIR-retainer hebben om een minimaal niveau van paraat­heid te waar­borgen en mogelijke verliezen te minimaliseren”.

Hoewel DFIR kan helpen bij de planning en paraat­heid, blijft de retainer component cruciaal voor real-time incident response. Deze diensten bieden meer end-to-end dekking.

Hoewel DFIR-diensten variëren per leve­ran­cier, is er een aantal standaard vereisten, zoals omschreven door Gartner. Daarbij gaat het onder andere om:

• Ontwerp en beoor­de­ling voor­af­gaand aan een incident
• Assis­tentie bij de response na een incident
• Vooraf betaalde retainers

Conclusie

Cybe­rin­ci­denten zijn inmiddels vrijwel onver­mij­de­lijk en orga­ni­sa­ties moeten daarom inzien dat een goede voor­be­rei­ding op inci­denten essen­tieel is. Erg inge­wik­keld is dat niet: een effectief incident response-plan, dat proac­tieve planning en paraat­heid omvat, kan ervoor zorgen dat de impact van cyber­aan­vallen aanzien­lijk wordt beperkt. Wacht daarom niet tot het zover is, maar ga nu aan de slag met die voorbereiding.