Hoe is uw reactievermogen?

Bij cyberaanvallen op bedrijfsnetwerken blijft die automatische reactie vaak uit. We rusten het netwerk uit met firewalls, detectiesystemen en sensoren, maar weten vaak niet wat we moeten doen als een botsing met een hacker dreigt. Een ‘draaiboek’ voor wat te doen na bijvoorbeeld een DDoS-aanval of een besmetting met ransomware ontbreekt vaak.

Adequaat reageren bespaart geld
Uit een recent onderzoek van het Ponemon Institute blijkt zelfs dat drie op de vier bedrijven helemaal geen formeel incident-responseplan hebben liggen. Dit terwijl de schade na een incident snel oploopt als een adequate reactie uitblijft.

Volgens Ponemon kost een datalek bedrijven gemiddeld 4 miljoen dollar. Door snel en effectief te reageren, kunnen bedrijven gemiddeld 400.000 dollar besparen. Ponemon kwam in een eerder rapport al tot een vergelijkbare conclusie. Bedrijven met een incident-reponseteam zijn na een incident 12,60 dollar per gegevensrecord minder kwijt dan bedrijven zonder een dergelijk team. Snel en accuraat reageren houdt ook de imagoschade binnen de perken.

Incident-responseplan cruciaal
Een goed functionerend incident-responseplan is dus cruciaal. Een dergelijk plan definieert rollen, verantwoordelijkheden en procedures en omvat bijvoorbeeld een beslisboom en een dataclassificatiekader. Zo’n kader maakt snel duidelijk wat voor soort gegevens een crimineel heeft buitgemaakt. Ook moet helder zijn wat de doelstellingen zijn van een response. Welke processen moeten bijvoorbeeld als eerste worden hersteld?

Er zijn verschillende richtlijnen voor het opstellen van een incident-responseplan. Het Open Web Application Security Project (OWASP) biedt bijvoorbeeld een leidraad met zijn ‘Top 10 Considerations For Incident Response’. Maar hoe goed het plan ook in elkaar zit, het werkt alleen als de juiste mensen de juiste taken beetpakken.

Samenspel tussen vier partijen
Voor het goed uitvoeren van een incident-responseplan zijn vier partijen nodig:

• Een Security Operations Center. Het SOC is de partij die met behulp van technologie de dreiging detecteert en die vervolgens kijkt of het ook echt een dreiging is en een risico-inschatting maakt.
• Een incident-responseteam (IRT). Dit team is verantwoordelijk voor het in behandeling nemen van beveiligingsincidenten, het beperken van de schade en het oplossen van de problemen. Mogelijke taken kunnen zijn het inlichten van het hoogste management om draagvlak voor maatregelen te creëren, bepalen of er extra beveiliging nodig is en communicatie met de pers. Om te voorkomen dat incidenten door het SOC ‘over de schutting worden gegooid’ moet de samenwerking tussen het IRT en het SOC optimaal zijn.
• Een Network Operations Center. In het NOC zitten de echte techneuten die aan de knoppen kunnen draaien. Het IRT kan een beroep op het NOC doen om problemen op te lossen.
• De business. Met het SOC, het NOC en het IRT lijkt de cirkel rond. Toch is er nog een vierde partij: de business, van u en van uw eindklanten. Het SOC kan bijvoorbeeld afwijkend netwerkverkeer detecteren, maar dan moet er alsnog een check bij de business plaatsvinden om te verifiëren dat het geconstateerde inderdaad afwijkend is. Afstemming is nodig om de juiste beslissing te nemen.

Samenwerking cruciaal
Bij kleinere bedrijven kunnen het IRT, SOC en NOC ook personen zijn die meerdere taken combineren. Grote organisaties tuigen vaker aparte afdelingen op. Ook komt het geregeld voor dat bijvoorbeeld SOC- en NOC-diensten worden afgenomen van een gespecialiseerde partner. In alle gevallen is het cruciaal dat de rolverdeling duidelijk is en dat er sprake is van een hechte samenwerking. Alleen dan kunt u de impact van een cyberincident beperken.