Reageren op inbreuken op cyberbeveiliging

Securitylocus helpt uw bedrijf om te reageren op cybersecurity-inbreuken.

Deze afbeelding heeft een leeg alt attribuut; de bestandsnaam is Logo-400x400-1.jpg
Microsoft logo's vector in (. SVG, . EPS. AI. CDR. PDF) gratis download

Overzicht

Incident Response (IR) is de praktijk van het voorbereiden van een organisatie op het geval van een beveiligings- of datalek met behulp van een groot aantal middelen. Niet elk incident zal hetzelfde zijn en als zodanig moeten incident responders het vermogen hebben om op verschillende situaties te reageren. Dit vereist een zorgvuldig gedocumenteerd en gemakkelijk uitvoerbaar plan om een organisatie in staat te stellen malware, ransomware of iets dergelijks snel uit te roeien.

Reageren op een inbreuk op de beveiliging – Overzicht

De zes fasen van het incidentresponsproces

CREST – een non-profitorganisatie die zekerheid biedt over de kwaliteit van de diensten die door beveiligingsbedrijven worden aangeboden – heeft een goed gedefinieerd model ontwikkeld voor het beoordelen van de volwassenheid van elk van de zes Incident Response-fasen.

In de onderstaande afbeelding ziet u hoe dit model besturingselementen in zes fasen van het incidentresponsproces aanpakt. We gaan in detail kijken naar de controles voor elk van deze fasen.

Afbeelding van incidentrespons

Voorbereiding

De sleutel tot de voorbereidingsfase is om een zorgvuldige analyse uit te voeren tijdens gesimuleerde incidenttests.

Dit stelt een organisatie in staat om een zorgvuldig opgebouwde Incident Response-tijdlijn te maken met alle verantwoordelijkheden toegewezen aan de meest geschikte stakeholder.

Een Incident Response-plan moet ook een analyse bevatten van de IR-middelen die een bedrijf tot zijn beschikking heeft, zoals poortlijsten, protocolanalysatoren, netwerkdiagrammen, enz.

Deze analyse moet worden afgerond bij de voorbereiding van een IR-toolkit, klaar voor gebruik in het geval van een inbreuk.

Identificatie

Een organisatie moet ervoor zorgen dat de relatieve verdediging aanwezig is om ervoor te zorgen dat indicatoren van compromissen worden geïdentificeerd.

Dergelijke identificatoren omvatten:

  • Ongewoon uitgaand netwerkverkeer
  • Nieuwe beheerdersgebruikers gemaakt
  • Afwijkingen in de activiteit van een geprivilegieerd gebruikersaccount (eerste aanmelding bij een systeem)
  • Geografische onregelmatigheden (niet-standaard inlogpogingen)
  • Verhoogd leesvolume van de database (databasedump)
  • Grote aantallen aanvragen voor hetzelfde bestand
  • Verdachte register- of systeembestandswijzigingen
  • Onverwacht patchen
  • Tekenen van DDoS-activiteit

Als een IT-beveiligingsteam niet het gevoel heeft dat deze indicatoren in hun beveiligingssysteem worden weergegeven, kan verdere beoordeling nodig zijn.

Insluiting

Zodra een organisatie er zeker van is dat een incident kan/zal worden geïdentificeerd, richt de focus zich vervolgens op het indammen van dat incident. Een organisatie moet gedefinieerde acties toewijzen op basis van de potentiële impact van verschillende incidenten.

IT moet onderzoeken of het controle heeft over aspecten zoals het blokkeren van ongeautoriseerde toegang, het blokkeren van gevaarlijke IP- en e-mailadressen of zelfs het isoleren van systemen op het netwerk. Deze oefening zorgt ervoor dat de IT-functie volledige controle en zichtbaarheid heeft over dergelijke acties.

Uitroeiing

De volgende stap is om de oorzaak van het incident te elimineren – deze fase kan overlappen met de inperkingsfase.

Het doel hiervan is om de oorzaak, het feitelijke incident en het compromis zelf uit te roeien. Zodra dit is gebeurd, is het noodzakelijk dat de uitroeiing wordt geverifieerd (bijvoorbeeld door het verkeer te monitoren en kritieke logboeken te bekijken).

Het IR-proces moet uitroeiingsstappen mogelijk maken, zoals:

  • De aanval uit het netwerk verwijderen
  • Malware verwijderen
  • Inbreukmakende gebruikersaccounts uitschakelen
  • Kwetsbaarheden identificeren die zijn misbruikt
  • Misbruikte kwetsbaarheden beperken
  • Is er een formeel proces voor het omgaan met bewijsmateriaal bij het omgaan met een incident?
  • Zijn er stappen die moeten worden gevolgd om bewijsmateriaal te bewaren bij het afhandelen van het incident?

Restauratie

Er moet een gedetailleerd herstelplan worden opgesteld en herzien om te bepalen dat alle herstelprocessen worden uitgevoerd om ervoor te zorgen dat het systeem zo snel mogelijk wordt hersteld, zoals: het systeem herstellen uit back-uplogboeken, de relevante belanghebbenden op de hoogte stellen en soortgelijke geïdentificeerde kwetsbaarheden op het netwerk aanpakken, enz.

In de herstelfase moet ook rekening worden gehouden met het valideren dat systemen weer volledig operationeel en beschermd zijn.

In het IR-plan moet worden overwogen elementen zoals een externe penetratietest op te nemen om te beoordelen of de herstelde oplossingen voldoende zijn. Er moet ook rekening worden gehouden met het detailniveau dat aan de belanghebbenden wordt verstrekt en het tijdschema daarvoor.

Geleerde lessen

Dit wordt vaak beschouwd als de belangrijkste fase van het IR-proces, omdat geleerde lessen een lange weg kunnen gaan naar het voorkomen van toekomstige incidenten.

Kortom, deze fase omvat:

1) Het uitvoeren van een beoordeling na het incident om alle acties te identificeren die tijdens het herstelproces zijn ondernomen

2) Het formeel documenteren van deze lessen, het identificeren van waar lessen zijn geleerd en deze communiceren naar de relevante belanghebbenden

3) Actualisering en wijziging van het bestaande IR-plan om deze lessen toe te passen op toekomstige incidenten

Conclusie

Hoewel het niet mogelijk is om je volledig voor te bereiden op onbekende toekomstige incidenten, zijn er elementen van een Incident Response-proces die voorbereiding vereisen om effectieve incidentmitigatie mogelijk te maken.

Het komt erop neer dat een Incident Response-plan niet alleen formeel moet worden gedefinieerd, maar periodiek moet worden beoordeeld om ervoor te zorgen dat het nog steeds effectief is.

Het toepassen van een goed gedefinieerd en volwassen Incident Response-raamwerk, zoals dat is ontwikkeld door CREST, helpt bij het dekken van alle belangrijke aspecten van een dergelijke beoordeling.