Deze week kregen we het bericht dat het aantal DDoS-aanvallen is in het derde kwartaal van 2016 weer fors is toegenomen. Alhoewel een dergelijk aanval uitermate vervelend is, en wel degelijk een forse schadepost kan zijn, is een (stiekeme) cyberinbraak een nog veel groter gevaar. Een succesvolle cyberinbraak kost gemiddeld € 3,2 miljoen. Gewoonlijk duurt het 209 dagen voor ze opgemerkt wordt, en daarna duurt het gemiddeld maar liefst 32 dagen om passend te reageren NA de detectie*. Met deze getallen is het duidelijk dat een goede en grondige voorbereiding op een cyberinbraak het verschil kan maken tussen zakelijk succes of onherstelbare schade aan uw organisatie. De blauwdruk voor een dergelijk plan ziet er als volgt uit:
Voorbereiding
Het belangrijkste onderdeel van een plan is de doelstelling!
Welk deel van uw organisatie wilt u beschermen? Is het beschermen van uw reputatie prioriteit nummer één? Of het beschermen van inkomsten? Of de uptime van de diensten voor uw klanten?
Zodra deze high-level doelstelling is vastgesteld, moet er bepaald worden wat er technisch nodig is om dat te bereiken. Vraag uzelf af: welke delen van mijn IT zijn van cruciaal belang voor het waarborgen van de klantuptime? Zonder wat kan ik verder draaien? Hoe lang kan dat? Welke medewerkers heb ik nodig om mijn core-business te kunnen blijven uitvoeren? Zijn ze bekend met het plan? Zo niet, zorg ervoor dat ze hier mee vertrouwd raken en zorg dat ze via praktijkoefeningen zichzelf voorbereiden voor het geval er zich een echt incident voordoet.
Verdediging
Weet wat u wilt verdedigen en prioriteer op basis daarvan.
Een multi-level benadering is hierin uitermate nuttig. Een huishouden-analogie werkt goed: als we uw organisatie vergelijken met een huis, moet u er als eerste voor zorgen dat ALLE deuren en ramen op slot zijn. Maar dit zal niet alle dieven stoppen, dus is er een tweede verdedigingslinie nodig: een inbraakalarm. Maar als de criminelen dan nog kunnen wegkomen met uw meest waardevolle items voordat de politie arriveert, kunt u beter zorgen dat ze worden opgeslagen in een kluis.
Verken uw kwetsbaarheden. Kunnen uw gebruikers om de tuin geleid worden? Kan iemand toegang krijgen via een externe partij? Zijn er specifiek oude systemen met een zwakkere beveiliging?
Het spreekt vanzelf dat, als de verdedigingslinies eenmaal opgezet zijn, ze getest moeten worden om ervoor te zorgen dat ze sterk genoeg zijn.
Detectie
Hoe weet u dat u wordt aangevallen?
Evalueer uw beschikbare middelen en potentiële bedreigingen (op basis van uw plan, zoals hierboven), en bepaal welke processen moeten worden gecontroleerd, en in welke mate.
Zorg ervoor dat deze monitoring en rapportage-feeds terecht komen in uw Security Operations Center (SOC) en geïntegreerd is met uw bestaande incident management processen, zodat de linkerhand weet wat de rechterhand doet en de juiste alarmeringen worden opgepakt.
Gebruik de relevante gegevens die correleren met de potentiële bedreigingen die u heeft vastgesteld en zorg ervoor dat u de juiste expertise en technologie aan boord heeft om deze datasets te analyseren. Het is hierbij van cruciaal belang dat u de grip heeft op uw gehele organisatie.
Reactie
Zodra u een cyberaanval heeft ontdekt, is het tijd om uw plan uit te voeren - daadkrachtig, maar flexibel.
Zorg ervoor dat er op breed vlak goedkeuring is voor alle noodzakelijke acties, uitvoeringsbesluiten en inzet van de benodigde middelen. Zorg ervoor dat iemand verantwoordelijk is voor het leveren van periodieke rapportage, zodat de uitvoering van het plan kan worden aangepast op basis van relevante ontwikkelingen.
Implementeer dan uw noodvoorziening: u laat de noodsluizen neer om ervoor te zorgen dat de dijkdoorbraak niet voor extra schade zorgt.
Communicatie is essentieel in deze scenario's. Intern zorgt u dat alle medewerkers voldoende informatie hebben zodat zijn kunnen verder werken en eventuele vragen van zowel klanten als de media kunnen beantwoorden. Implementeer een interne communicatieplanning zodat alle relevante personen regelmatig up-to-date informatie ontvangen. Extern, als het incident groot genoeg is, moet er een persbericht worden verzorgd waarin wordt uitgelegd dat er een aanval is geweest en wat er wordt gedaan om de schade zoveel mogelijk te beperken.
Ten slotte de diepte in: zorg dat u precies te weten komt welke machines getroffen zijn en op welke manier, zodat u kunt zorgen dat het in de toekomst niet weer gebeurd.
Herstel
Een ezel stoot zich geen tweemaal aan dezelfde steen.
Zodra uw plan is uitgevoerd en de cyberaanval is opgehouden of opgelost, is het niet verstandig om te proberen om alles weer zo snel mogelijk up-and-running te krijgen.
Het is van cruciaal belang dat uw systemen herhaaldelijk worden getest en eventuele overgebleven problemen aangepakt worden zodat er opnieuw getest kan worden.
Zodra het testen succesvol is voltooid, stel een 'go-live-checklist' samen, met strikte goedkeuring op zowel uitvoerend als managementniveau, waarbij u stap voor stap doorheen loopt. Houd te allen tijde uw vinger aan de pols van uw systemen. Uw ‘patiënt’ heeft net een grote levensreddende operatie achter de rug, overhaast het niet!
Op de langere termijn: neem een besluit over welke verbeteringen u wilt doen op het platform, bij de detectie, reactie, en/of herstel, en investeer hierin verstandig.
Tot slot, vergeet uw klanten nooit. Blijf ze up-to-date houden met de juiste informatie over wat er gaande is.
*Mandiant M-Trends Report: Ponemon Institute - Cost of Data Breach Studie