Helaas nemen cyberincidenten toe en is de schade die ze veroorzaken vaak rampzalig voor de gedupeerde. Dit houdt in dat organisaties, als onderdeel van een alomvattende securitystrategie, zich niet alleen moeten concentreren op het weren van dreigingen, maar ook moeten zorgen dat wanneer een dreiging daadwerkelijk een incident wordt, ze er snel op kunnen reageren en ervan herstellen.
Bij voorbereiding gaat het om meer dan simpelweg een telefoonnummer bellen en een externe partij om hulp vragen tijdens een incident, waarna zij het verder overnemen. Hoewel incident response — de processen en tools die worden gebruikt om een cyberincident te identificeren, in te dammen en op te lossen — in feite pas kan plaatsvinden op het moment dat er daadwerkelijk iets aan de hand is, volgt een effectieve incident response-aanpak een cyclus, met proactieve, vooraf geplande onderdelen.
In die incident respons-cyclus maken planning en paraatheid deel uit van de voorbereidingsfase. Het zijn twee essentiële onderdelen van een proactief incident response plan die ervoor zorgen dat een organisatie gereed is om tijdens een incident een aanvaller tegen te houden.
Wat is incident response planning en hoe draagt het bij aan organisaties?
Een incident response plan bestaat uit een reeks instructies voor zowel mensen van de organisatie als voor externe partijen, die gevolgd moeten worden wanneer een incident zich voordoet. Deze instructies zijn vaak afgestemd op specifieke scenario’s, zoals de stappen die genomen moeten worden bij een ransomware-aanval of bij een succesvolle business email-compromise.
Hoewel de IR-planning (incident response planning) varieert al naar gelang de operationele behoeften, de mate van volwassenheid van de security en de partners van elke organisatie, zijn er vaak standaardonderdelen en templates, waaronder:
- Een formeel beleid over hoe een organisatie moet reageren op specifieke scenario’s
- De rollen en verantwoordelijkheden van stakeholders en van het incident response team
- Playbooks met basisprocedures voor bepaalde aanval scenario’s
- Een communicatieplan, inclusief interne en externe communicatie met stakeholders, het management, de politie, partners of zelfs de cyberverzekeraar
Een incident response plan kan bijvoorbeeld de volgende onderdelen bevatten:
- Wat is een standaard, stapsgewijze reactie op een specifieke aanvalsmethode?
- Wie is betrokken bij de response (van security engineers tot het communicatieteam tot het management)?
- Wat is de verantwoordelijkheid van elk van deze personen (melden bij de politie, communiceren met de pers, spreken met klanten en investeerders, etc.)?
- Wat is de stapsgewijze procedure voor het beperken en stoppen van specifieke aanvalsscenario’s (servers loskoppelen, contact opnemen met digitale forensische partners)?
IR-planning is cruciaal voor een sterke incident response omdat het de reactietijd en de herstelperiode kan verkorten, forensisch onderzoek kan stroomlijnen, kan helpen bij het identificeren en infomeren van belangrijke stakeholders. Ook kan het helpen om de continuïteit van de bedrijfsvoering te ondersteunen. Volgens het 2024 IBM Cost of a Data Breach Report kan een IR-plan en een IR-team de gemiddelde kosten van een cyberincident verminderen met ruim €425,000.
Door best practices te definiëren kunnen organisaties zich beter verdedigen tegen zowel bekende als onbekende dreigingen, terwijl het bedrijf aan zakelijke partners – investeerders, aandeelhouders, verzekeraars en executives – laat zien dat de nodige stappen zijn ondernomen om cyberrisico’s en potentiële schade zo veel mogelijk te minimaliseren.
Wat is Incident Readiness?
Incident readiness lijkt op IR-planning. Waar een IR-plan de aanpak is die bepaalt hoe een organisatie reageert, zorgt incident readiness ervoor dat elk aspect van dat plan optimaal kan worden uitgevoerd
IR-readiness omvat:
- Het ontwikkelen van de commandostructuur tijdens een incident en ervoor zorgen dat elke stakeholder precies weet wat hij/zij moet doen
- Ervoor zorgen dat de playbook van de organisatie compleet en getest is
- Ervoor zorgen dat de organisatie de juiste cyberverzekering, juridisch advies en IR-provider heeft
- Het uitvoeren van penetratietesten, tabletop-oefeningen en andere testmaatregelen om je security en IR-plan verder te versterken
- Het beoordelen en aanpakken van eventuele gaten in het security- en IR-plan
Een assessment is essentieel voor IR-readiness, omdat het zorgt voor inzicht en actiepunten die de security van de organisatie verbeteren. Een goed assessment omvat het testen en versterken van je infrastructuur, processen en team.
DFIR en Incident Readiness
Digital Forensics and Incident Response Retainer Services (DFIR) zijn een ander mogelijk onderdeel van incident readiness. Deze diensten, die worden aangeboden en beheerd door externe partijen, zijn een goede optie voor organisaties die kleiner zijn, minder interne expertise hebben of een minder volwassen securityniveau hebben. DFIR-diensten zijn steeds vaker een vereiste voor veel cyberverzekeringspolissen, waarbij Gartner stelt dat “cyberverzekeringspolissen doorgaans vereisen dat organisaties een DFIR-retainer hebben om een minimaal niveau van paraatheid te waarborgen en mogelijke verliezen te minimaliseren”.
Hoewel DFIR kan helpen bij de planning en paraatheid, blijft de retainer component cruciaal voor real-time incident response. Deze diensten bieden meer end-to-end dekking.
Hoewel DFIR-diensten variëren per leverancier, is er een aantal standaard vereisten, zoals omschreven door Gartner. Daarbij gaat het onder andere om:
- Ontwerp en beoordeling voorafgaand aan een incident
- Assistentie bij de response na een incident
- Vooraf betaalde retainers
Conclusie
Cyberincidenten zijn inmiddels vrijwel onvermijdelijk en organisaties moeten daarom inzien dat een goede voorbereiding op incidenten essentieel is. Erg ingewikkeld is dat niet: een effectief incident response-plan, dat proactieve planning en paraatheid omvat, kan ervoor zorgen dat de impact van cyberaanvallen aanzienlijk wordt beperkt. Wacht daarom niet tot het zover is, maar ga nu aan de slag met die voorbereiding.
