incident response

Incident response plan management

Incident response is niet anders dan elk ander aspect van informatiebeveiliging. Het vereist een doordachte planning, voortdurend toezicht en duidelijke meetmethoden, zodat de inspanningen goed kunnen worden gemeten. Initiatieven op het gebied van doorlopend beheer omvatten het vaststellen van en toezien op de doelstellingen voor respons op incidenten, het periodiek testen van het IRP om de effectiviteit ervan te waarborgen en het opleiden van alle benodigde partijen in de toepasselijke procedures voor respons op incidenten. Specifieke meeteenheden die worden gebruikt om de effectiviteit van initiatieven voor incidentrespons te meten, zouden kunnen zijn:

• Aantal gedetecteerde incidenten.
• Aantal gemiste incidenten.
• Aantal incidenten die actie vereisen.
• Aantal herhaalde incidenten.
• Het tijdsbestek voor herstel.
• Het tijdsbestek voor herstel.
• Aantal incidenten dat tot inbreuken heeft geleid.

Extra doelstellingen op het gebied van incidentrespons kunnen betrekking hebben op:

• Herzieningen en updates van het routinematige incidentresponsplan.
• De planning en uitvoering van testscenario’s voor incidentrespons.
• Integratiekwesties met verwante beveiligingsinitiatieven, zoals beveiligingsbewustzijn, technische detectiesystemen, opleiding van werknemers en kwetsbaarheids- en penetratietests.
• De rapportage van beveiligingsgebeurtenissen aan leidinggevenden of externe partijen.
• De aanschaf van aanvullende technologieën die kunnen zorgen voor een betere zichtbaarheid en controle van het netwerk.

Responsplannen voor incidenten versus bedrijfscontinuïteitsplannen

Met als doel de normale bedrijfsvoering in stand te houden en de impact van onvoorziene gebeurtenissen te minimaliseren, kan respons op incidenten worden beschouwd als onderdeel van het bedrijfscontinuïteitsproces. Gezien wat er op het spel staat en de verschillende variabelen die erbij betrokken zijn, zoals mensen, technologieën en bedrijfsprocessen, moet incident response de hoogste niveaus van zichtbaarheid hebben binnen de organisatie. Een IRP is gericht op incidenten en inbreuken die gevolgen hebben voor netwerken en computers, applicaties en databases en gerelateerde informatiemiddelen. Daarom is het voor de meeste organisaties het beste om het incident response plan in een standalone document te houden — apart van, maar met verwijzing naar, het bedrijfscontinuïteitsplan. Het belangrijkste is dat het incident response plan gemakkelijk toegankelijk is voor alle teamleden wanneer het nodig is.

Tools voor respons op incidenten

Er zijn talloze tools en methodologieën die kunnen worden gebruikt om te helpen bij respons op incidenten en die doorgaans worden ingedeeld in preventie-, detectie of respons functionaliteiten. Sommige organisaties volgen de uit het leger afgeleide OODA-lus voor incidentrespons. De OODA-lus is een methodologie die een bedrijf aanmoedigt om te observeren, oriënteren, beslissen en handelen wanneer zich een incident voordoet, en IR-tools kunnen daarbij helpen.

Een organisatie kan bijvoorbeeld het nodige inzicht in een incident krijgen met packet-analyse, systeemresourcemonitoring en bestandsintegriteitsonderzoekstechnologieën. Inzicht in bedreigingen kan worden verkregen door gebruik te maken van realtime bedreigingsindicatoren en bedreigingsinlichtingendiensten. Daarnaast zijn er tools die forensische details kunnen bieden, zoals de locatie van de bron, technische informatie over het incident en herhalingen van gebeurtenissen. Er zijn ook tools waarmee een organisatie tegen een bedreiging kan optreden door de verspreiding ervan te stoppen of de impact op de computeromgeving te minimaliseren.

Hoewel incidentrespons een proces is, kan technologie worden gebruikt om specifieke functies voor incidentrespons te automatiseren en te stroomlijnen om de detectietijden en systeemfouten te helpen minimaliseren. Dienstverleners die zich richten op de ontwikkeling van technologie voor incident response bieden doorgaans producten in de volgende categorieën:

• bewustzijn en training van werknemers;
• endpoint security management;
• firewall, intrusion prevention en DoS mitigation;
• forensische analyse;
• net flow en traffic analyse;
• security incident and event management (SIEM); en
• vulnerability management.

Incident response tools bieden organisaties zowel zichtbaarheid als controle. Ze voorzien professionals ook van de nodige informatie die ze nodig hebben om het afwijkende gedrag aan te pakken. Tenslotte helpen incident response tools bij de directe respons, waardoor organisaties de risico’s tot een minimum kunnen beperken.

De meeste technologische producten in de incident response sector zijn commercieel en vereisen een goede budgettering voor kapitaal- en operationele uitgaven. Als alternatief zijn er tal van open source software aanbiedingen die kunnen worden aangepast aan de specifieke eisen van een organisatie. Bij de keuze voor een open source aanpak is het belangrijk om af te wegen hoeveel moeite het zal kosten, hoe efficiënt het zal kunnen worden opgeschaald en hoe effectief het zal zijn op de lange termijn.

Als incident response tools eenmaal in gebruik zijn genomen, is het belangrijk om ervoor te zorgen dat er voldoende personeel en expertise is om het te onderhouden en te updaten. Het hebben van de nodige middelen is van cruciaal belang voor het initiële ontwerp en de implementatie van de technologie, evenals het lopende beheer en het oplossen van problemen.

Ten slotte moeten leidinggevenden onthouden dat incident response tools niet het gehele incident response programma kunnen omvatten. Hoewel tools en automatisering een grote rol kunnen spelen, mogen ze slechts één onderdeel zijn van de totale incident response eisen.