Skip to content
Natuurondernemer
    juni 30, 2020 by admin

    Incident Response Planning: A Checklist for Building Your Cyber Security Incident Response Plan

    Incident Response Planning: A Checklist for Building Your Cyber Security Incident Response Plan
    juni 30, 2020 by admin

    Dit bericht is voor het laatst bijgewerkt op 10 maart 2021 om 09:27 uur

    Is uw organisatie voorbereid om te reageren op een beveiligingslek of cyberaanval? Volgens veel beveiligingsexperts is het een kwestie van “wanneer” en niet “of” uw bedrijf te maken krijgt met een ernstig cyberbeveiligingsincident. Een incident response plan is uw beste kans om uw organisatie te beschermen tegen de gevolgen van een datalek. De tijd om uw reactie op beveiligingsincidenten te plannen en voor te bereiden – wat ze ook mogen zijn – is lang voordat ze ooit plaatsvinden.

    Wat is een Security Incident Response Plan?

    Een Cybersecurity Incident Response Plan (of IR-plan) is een reeks instructies die zijn ontworpen om bedrijven te helpen zich voor te bereiden op, te detecteren op, te reageren op en te herstellen van netwerkbeveiligingsincidenten. De meeste IR-plannen zijn gericht op technologie en behandelen zaken als malwaredetectie, gegevensdiefstal en uitval van diensten. Een significante cyberaanval kan echter op meerdere manieren invloed hebben op een organisatie in verschillende functies, dus het plan moet ook gebieden omvatten zoals HR, financiën, klantenservice, communicatie met werknemers, juridische zaken, verzekeringen, public relations, toezichthouders, leveranciers, partners, lokale autoriteiten en andere externe entiteiten.

    Er zijn industriestandaard incident response frameworks van organisaties zoals NIST en SANS die algemene richtlijnen bieden over hoe te reageren op een actief incident. Het IR-plan van uw organisatie moet echter veel specifieker en actiegerichter zijn, met details over wie wat moet doen en wanneer. We hebben een checklist samengesteld met de belangrijkste onderdelen van een IR-plan voor cyberspace, zodat u de juiste leidraad voor uw eigen organisatie kunt opstellen.

    In beide gevallen – of u nu gebruikmaakt van een incident response plan sjabloon of van uw eigen IR-plan – blijven de doelen hetzelfde: de schade beperken, uw gegevens beschermen en uw organisatie helpen zo snel mogelijk van het incident te herstellen.

    Hoe stelt u een Incident Response Plan op

    Elke organisatie met digitale middelen (computers, servers, cloud workloads, data, etc.) kan te maken krijgen met een cyberaanval of datalek. Helaas realiseren de meeste organisaties zich pas dat er sprake is van een datalek als het te laat is. Met een responsplan voor cyberincidenten kunt u zich voorbereiden op het onvermijdelijke en kunt u uw IT-beveiligingsteam toerusten om te reageren voor, tijdens en na een cyberaanval. Hoewel deze blogpost niet zo diep en gedetailleerd is als een echt responsplan voor incidenten, helpt hij u wel de belangrijkste factoren en overwegingen te begrijpen voor elke fase van het responsproces: voorbereiding, detectie, respons, herstel en follow-up na een incident.

    Het responsplan voor beveiligingsincidenten moet doorlopend worden gebruikt – een levend document – voor terugkerende detectie- en responsactiviteiten (opsporing van bedreigingen, onderzoek naar cyberincidenten, respons op incidenten en herstel/herstel). Door het uitvoeren van doorlopende detectie- en incidentresponsactiviteiten kunt u de IT- en beveiligingshygiëne verbeteren en uw organisatie beter beschermen tegen onbekende bedreigingen en verborgen aanvallers, en mogelijk een datalek voorkomen.

    Voor het doel van deze blog hebben we het incidentresponsplanningsproces in vijf fasen opgesplitst: Voorbereiding, Detectie, Reactie, Herstel en Follow-up.

    Voorbereiding

    Voorbereiding is de eerste fase van incident response planning en aantoonbaar de meest cruciale in het beschermen van uw bedrijf en digitale activa. Tijdens de voorbereidingsfase zult u de taken en verantwoordelijkheden van uw IR-team documenteren, schetsen en uitleggen, inclusief het vaststellen van het onderliggende beveiligingsbeleid dat als leidraad zal dienen voor de ontwikkeling van uw IR-plan.

    • Bepaal de exacte locatie, gevoeligheid en relatieve waarde van alle informatie in uw organisatie die moet worden beschermd.
    • Bepaal of u momenteel over voldoende IT-middelen beschikt om op een aanval te reageren of dat er ondersteuning van derden nodig is.
    • Zorg voor buy-in bij de leidinggevenden, zodat het plan volledig wordt goedgekeurd door de top van de organisatie.
    • Stel rollen en verantwoordelijkheden vast voor alle relevante belanghebbenden, waaronder IT, HR, interne communicatie, klantenondersteuning, juridische zaken, PR en adviseurs.
    • Stel een commandostructuur op die zowel IT- als bedrijfsleiders omvat. Wie is de commandant van het incident? Wie lanceert het incidentbestrijdingsplan? Wie heeft de bevoegdheid om het werk te stoppen, zoals het in noodgevallen afsluiten van websites van het bedrijf? Wanneer is HR erbij betrokken? Wanneer is de juridische afdeling erbij betrokken? Wanneer worden de media gewaarschuwd? Wanneer worden externe instanties ingeschakeld?
    • Verzel en actualiseer 24/7/365 contactinformatie (e-mail, sms, VOIP, enz.) voor alle leden van het incident response team, hun back-ups en managers. Stel alternatieve communicatiekanalen op voor het geval de reguliere kanalen in gevaar komen of niet beschikbaar zijn.
    • Stel voor alle functies vast welke vereisten op het gebied van cyberbeveiliging gelden voor de organisatie en ontwikkel richtlijnen voor de omgang met wetshandhavingsinstanties en andere overheidsinstanties in het geval van een incident.

    • Ontwikkel en houd een lijst bij van voorkeursleveranciers van technologie voor forensisch onderzoek, vervanging van hardware en aanverwante diensten die nodig kunnen zijn voor, tijdens of na een incident.
    • Stel procedures op voor IT-teams om duidelijke, bruikbare waarschuwingen te ontvangen over alle gedetecteerde malware. Met specifieke uitleg kunnen teamleden voorkomen dat de waarschuwing wordt afgedaan als een vals alarm.
    • Bewaar vertrouwelijke gegevens, zoals wachtwoorden en SSH-sleutels, in een veilige, gecentraliseerde kluis.
    • Roteer geprivilegieerde referenties automatisch, isoleer sessies met geprivilegieerde accounts voor tijdelijke werknemers en scan regelmatig op weesaccounts van voormalige werknemers die mogelijk nog steeds ongeautoriseerde toegang bieden.
    • Vraag werknemers om verdachte e-mails en activiteiten te melden die de netwerkbeveiliging in gevaar kunnen brengen.
    • Zorg ervoor dat u een schoon systeem hebt dat kan worden hersteld, bijvoorbeeld door een volledige reimage van een systeem of een volledig herstel vanaf een schone back-up.
    • Stel een uitgebreid en geïntegreerd communicatieplan op om zowel interne als externe doelgroepen snel, nauwkeurig en consistent te informeren over incidenten.

    Detectie & Analyse

    De detectiefase van de respons op beveiligingsincidenten en IR-planning omvat het bewaken, detecteren, waarschuwen voor en rapporteren over beveiligingsgebeurtenissen. Dit omvat het identificeren van bekende, onbekende en verdachte bedreigingen – bedreigingen die kwaadaardig lijken, maar waarvan op het moment van ontdekking nog niet genoeg gegevens beschikbaar zijn om vast te stellen of ze kwaadaardig zijn.

    Wanneer een aanwijzing, bedreiging of beveiligingsincident wordt ontdekt, moet uw incident response-team onmiddellijk (zo niet automatisch met behulp van software voor het reageren op cyberincidenten) aanvullende informatie verzamelen en documenteren – forensisch bewijs, artefacten en code samples – om de ernst, het type en het gevaar van het incident vast te stellen, en deze gegevens opslaan voor gebruik bij het vervolgen van de aanvaller(s) op een later tijdstip.

    • Ontwikkel een proactieve detectiestrategie op basis van tools waarmee uw fysieke en virtuele hosts, systemen en servers automatisch kunnen worden gescand op kwetsbare toepassingen, identiteiten of accounts.
    • Ontdek traditionele oplossingen zoals EDR-platforms (Endpoint Detection and Response), NGAV-software (Next-gen antivirus) of UEBA/UBA-tools (User/Entity Behavior Analytics) voor het detecteren van malware.

    • Ontdek ook mogelijkheden voor diepgaande analyse en forensisch onderzoek die de gezondheid van een endpoint kunnen beoordelen door te valideren wat er op een bepaald moment in het geheugen wordt uitgevoerd.
    • Voer compromisbeoordelingen uit om te controleren of een netwerk is doorbroken en identificeer snel de aanwezigheid van bekende of ‘zero-day’-malware en aanhoudende bedreigingen – actief of sluimerend – die uw bestaande verdedigingsmechanismen voor cyberbeveiliging hebben omzeild.

    Reactie

    Reactie op beveiligingsincidenten kan verschillende vormen aannemen. De reactie op incidenten kan onder meer bestaan uit het beoordelen van waarschuwingen van uw endpointbeveiligingstools om te bepalen welke bedreigingen echt zijn en/of met welke prioriteit beveiligingsincidenten moeten worden aangepakt. Activiteiten in reactie op incidenten kunnen ook bestaan uit het indammen en neutraliseren van de bedreiging(en) – het isoleren, afsluiten of anderszins ‘loskoppelen’ van geïnfecteerde systemen van uw netwerk om de verspreiding van de cyberaanval te voorkomen. Daarnaast omvatten incidentresponsactiviteiten het elimineren van de bedreiging (schadelijke bestanden, verborgen backdoors en artefacten) die tot het beveiligingsincident heeft geleid.

    • Beperk onmiddellijk systemen, netwerken, gegevensopslag en apparaten om de omvang van het incident te minimaliseren en te voorkomen dat het wijdverbreide schade veroorzaakt.
    • Stel vast of er gevoelige gegevens zijn gestolen of beschadigd en, zo ja, wat het potentiële risico voor uw bedrijf is.
    • Bestrijd geïnfecteerde bestanden en vervang zo nodig hardware.
    • Bewaar een uitgebreid logboek van het incident en de reactie daarop, inclusief het tijdstip, de gegevens, de locatie en de omvang van de schade als gevolg van de aanval. Was het een interne of externe aanval, een systeemwaarschuwing of een van de eerder beschreven methoden? Wie ontdekte het, en hoe werd het incident gemeld? Maak een lijst van alle bronnen en tijdstippen die het incident heeft gepasseerd. In welk stadium is het beveiligingsteam erbij betrokken geraakt?
    • Bewaar alle artefacten en details van de inbreuk voor verdere analyse van de oorsprong, de impact en de bedoelingen.
    • Zorg voor een zo snel mogelijke publicatie van publieke verklaringen, waarin de aard van de inbreuk, de hoofdoorzaken, de omvang van de aanval, stappen om de situatie te herstellen en een overzicht van toekomstige updates zo nauwkeurig mogelijk worden beschreven.
    • Update firewalls en netwerkbeveiliging om bewijsmateriaal vast te leggen dat later voor forensisch onderzoek kan worden gebruikt.

    • Neem contact op met het juridische team en onderzoek compliance en risico’s om na te gaan of het incident gevolgen heeft voor regelgeving.
    • Neem indien van toepassing contact op met de wetshandhavingsinstanties, aangezien het incident ook gevolgen kan hebben voor andere organisaties. Aanvullende informatie over het incident kan helpen bij het uitroeien, vaststellen van de omvang of helpen bij de toeschrijving.

    Herstel en follow-up

    De activiteiten na het incident (herstel en follow-up) omvatten het elimineren van het beveiligingsrisico, het evalueren van en rapporteren over wat er is gebeurd, het bijwerken van uw informatie over bedreigingen met nieuwe informatie over wat goed en wat slecht is, het bijwerken van uw IR-plan met de lessen die u uit het beveiligingsincident hebt getrokken, en het (her)certificeren dat uw omgeving daadwerkelijk vrij is van de bedreiging(en) via een beoordeling van het cyberbeveiligingsrisico na het incident of een beoordeling van de beveiligings- en IT-risico’s.

    Herstel

    • Verwijder het beveiligingsrisico om ervoor te zorgen dat de aanvaller geen toegang meer kan krijgen. Dit omvat het patchen van systemen, het afsluiten van netwerktoegang en het opnieuw instellen van wachtwoorden van gecompromitteerde accounts.
    • Stel tijdens de uitroeiingsstap de hoofdoorzaak vast om het gebruikte aanvalspad te helpen bepalen, zodat de beveiligingscontroles kunnen worden verbeterd om soortgelijke aanvallen in de toekomst te voorkomen.
    • Voer een analyse uit van de kwetsbaarheden binnen de gehele onderneming om te bepalen of er mogelijk nog andere kwetsbaarheden bestaan.
    • Herstel de systemen in de staat van vóór het incident. Controleer op gegevensverlies en controleer of de integriteit, beschikbaarheid en vertrouwelijkheid van de systemen zijn hersteld en of het bedrijf weer normaal kan functioneren.
    • Geef voortzetting aan het verzamelen van logboeken, geheugendumps, audits, netwerkverkeersstatistieken en schijfkopieën. Zonder de juiste verzameling van bewijsmateriaal is digitaal forensisch onderzoek beperkt, zodat een vervolgonderzoek niet zal plaatsvinden.

    Follow-up

    • Volledig een incident response report en vermeld alle afdelingen van het bedrijf die door het incident zijn getroffen.
    • Stel vast of het management tevreden was met de reactie en of de organisatie nog meer moet investeren in mensen, opleiding of technologie om de beveiliging te verbeteren.
    • Deel de geleerde lessen. Wat ging er goed, wat niet en hoe kunnen de procedures in de toekomst worden verbeterd?
    • Het plan voor respons op cyberincidenten regelmatig evalueren, testen en bijwerken, indien mogelijk jaarlijks.
    • Op regelmatige basis een compromisbeoordeling of andere beveiligingsscans uitvoeren om de gezondheid van systemen, netwerken en apparaten te waarborgen.
    • Benader incidentbestrijdingsplannen na een herstructurering van een afdeling of een andere belangrijke overgang.
    • Ben alle belanghebbenden op de hoogte van de nieuwste trends en nieuwe soorten gegevensinbreuken die plaatsvinden. Draag de boodschap uit dat “beveiliging ieders taak is.”

    Conclusie

    Het doel van onze checklist voor het reactieplan bij cyberincidenten is om uw IT-beveiligingsteam te helpen een reactieplan te ontwikkelen dat alomvattend, gecoördineerd, herhaalbaar en effectief is.

    Bedenk dat het ontwikkelen van een IR-plan voor cyberbeveiliging nooit een eenmalige exercitie is. Zonder regelmatige incidentresponstraining en IR-oefeningen, inclusief live cyberaanvalscenario’s, kunnen organisaties en hun IT-beveiligingsteams helaas plotseling te slim af zijn tegen hackers die hun aanvalsstrategieën/TTP’s en hun keuze van malware wijzigen.

    Wat in het verleden werkte, werkt morgen misschien niet meer. Het juiste beveiligings-incidentresponsplan moet een levend document zijn dat gelijke tred houdt met het snel evoluerende bedreigingslandschap van vandaag.

    Download onze Cybersecurity IR Plan Checklist om aan de slag te gaan met het opstellen van uw eigen incidentresponsplan, of neem contact met ons op om een consultatie of compromisbeoordeling aan te vragen, of om te leren hoe Infocyte snelle, flexibele en betaalbare bedreigingsdetectie en incidentrespons mogelijk maakt.

    Previous articleIdeeën en inspiratie voor het schilderen van een boekenplankNext article Welke stappen zijn er nodig voor marktonderzoek?

    Geef een reactie Antwoord annuleren

    Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *

    Meest recente berichten

    • Jezelf (en anderen…) vinden in jaarboeken online
    • Hoe zet u een bitcoin ASIC miner op
    • Wat is een Superfund-locatie?
    • Bloedwormen met visaas hebben bijensteek
    • Echolalie: De feiten voorbij “papegaaienpraat”, scripting, en echo
    • Lord of the Flies Cites
    • 42 Gezonde Crockpot Soep Recepten
    • 3 verrassende risico’s van een slechte houding
    • Vrouwelijke Betta Vis
    • Tina Fey Biografie

    Archief

    • april 2021
    • maart 2021
    • februari 2021
    • januari 2021
    • december 2020
    • november 2020
    • oktober 2020
    • september 2020
    • augustus 2020
    • juli 2020
    • juni 2020
    • mei 2020
    • april 2020
    • DeutschDeutsch
    • NederlandsNederlands
    • EspañolEspañol
    • FrançaisFrançais
    • PortuguêsPortuguês
    • ItalianoItaliano
    • PolskiPolski

    Meta

    • Inloggen
    • Berichten feed
    • Reacties feed
    • WordPress.org
    Posterity WordPress Theme