Home Security In zeven stappen snel reageren tijdens een veiligheidsincident

In zeven stappen snel reageren tijdens een veiligheidsincident

172

De huidige Covid-19 pandemie brengt heel wat uitdagingen met zich mee, zowel op persoonlijk vlak (quarantaine, social distancing, …) als op professioneel vlak (thuiswerken). We volgen allemaal de maatregelen zo goed mogelijk op om onze eigen gezondheid en die van onze medemens te beschermen. Maar hoe zit het met de bescherming van jouw IT-infrastructuur? Is jouw bedrijf voorbereid op een veiligheidsincident? En heb je een plan voor als het fout loopt?

Wat zijn de uitdagingen?

De pandemie heeft de wereld op zeer korte tijd duchtig door elkaar geschud. Opeens was daar de lockdown, en moesten we gezamenlijk overstappen op thuiswerk. Zelfs nu de maatregelen worden versoepeld, zal afstandswerk nog een tijdje een belangrijk aspect uitmaken van het dagelijkse patroon. De risico’s die dit met zich meebrengt blijven dan ook reëel.

De IT-dienst heeft in maart immers op sneltempo moeten zorgen dat zo veel mogelijk werknemers vanop afstand konden werken. Met de hand op de knip natuurlijk, want in tijden van crisis wordt er nauw toegekeken op de uitgaven. De vraag is of er tijdens die metamorfose voldoende rekening werd gehouden met security? Konden de thuiswerkers gebruik maken van bedrijfslaptops of werden de onbeveiligde huis-tuin-en-keukencomputers toegelaten tot het bedrijfsnetwerk en de confidentiële data? Werd VPN uitgerold of koos men er voor om rechtstreekse RDP-toegang (Remote Desktop Protocol) te activeren?

Buitengewone tijden

De statistieken van Shodan leren ons dat het aantal endpoints waarop RDP wordt toegelaten kort na de lockdown spectaculair steeg, en dat dit 3 maanden later nog niet lijkt af te nemen. Het is inderdaad zo dat buitengewone tijden buitengewone maatregelen vereisen, maar we moeten erop toezien dat we niet vervallen in buitengewoon onveilige maatregelen. Want je mag één ding niet vergeten. Er is nog een business die blijft draaien tijdens corona: cybercrime.

Cybercriminelen beschikken door de corona lockdown over een aantal voordelen. Enerzijds zorgt de thuiswerkpolicy ervoor dat de criminelen meer mogelijkheden krijgen om trachten binnen te breken (attack surface). Anderzijds zijn cybercriminelen gewend om vanop afstand te werken terwijl dit voor de bedrijven een enorme aanpassing is geweest waar velen niet op voorbereid waren. Zelfs nu is het onwaarschijnlijk dat het voltallige IT-team elke dag op kantoor kan zijn.

Stel jezelf dus deze vragen: zou je kwaadaardige activiteiten op je netwerk nog steeds even snel opmerken? Weet je security team hoe het in deze situatie gepast moet reageren op een beveiligingslek? Hoe lang zou het nu duren om te herstellen van een incident?

Ik verzeker je echter dat, hoewel deze hele situatie op het eerste zicht ontmoedigend kan lijken, er absoluut geen reden tot paniek is. Dit nieuwe normaal vormt een zekere uitdaging die jouw bedrijf en het IT-team kan aangaan, maar waar je sterker uit zal komen. Bovendien kan dit een katalysator zijn om een aantal nuttige best practices te realiseren.

Zeven stappen om gepast te reageren

Veiligheidsprofessionals hebben de afgelopen maanden de handen vol gehad om al deze plotse veranderingen te verwerken en te controleren. Hier zijn zeven tips om de uitdagingen die de huidige omstandigheden met zich meebrengen te overwinnen.

1) Actualiseer of creëer jouw Incident Response Plan

Een voorbereid man is er twee waard. Indien je nog niet over een Incident Response Plan beschikt, raad ik je van harte aan om daar zo snel mogelijk werk van te maken. Dit document omschrijft hoe jouw bedrijf reageert op incidenten; wie wat wanneer moet doen als het mis loopt. Het betekent vaak het verschil tussen een korte onderbreking en een volledige stilstand wanneer een incident toeslaat. Je IT-team zou dit zonder plan waarschijnlijk ook kunnen afhandelen, maar het zou langer duren. Met een duidelijk plan verlies je geen kostbare tijd.

Wie al zo’n plan heeft, evalueert dit best, rekening houdend met de huidige omstandigheden. Er kunnen bijvoorbeeld praktische aanpassingen nodig zijn. Dit zijn enkele vragen om bij stil te staan:

  • Heeft iedereen toegang tot het plan terwijl hij vanop afstand werkt? Ook als het intranet niet meer bereikbaar is?
  • Zou de netwerkdocumentatie nog beschikbaar zijn indien het interne netwerk niet meer bereikbaar is?
  • Kunnen alle acties uit het plan vanop afstand worden uitgevoerd?
  • Kan je vanop afstand apparaten in quarantaine plaatsen?
  • Is er voldoende redundantie ingebouwd in het team? Wat als er iemand ziek valt?

2) Pas uw communicatiekanalen aan

Communicatie is essentieel bij het werken op afstand, of je nu jouw dagelijkse taken uitvoert of een kritiek incident afhandelt. Je wil niet dat teamleden dubbel werk doen en je wil ook niet dat essentiële informatie verloren gaat tussen de communicatiekanalen door. Hier zijn enkele tips:

  • Centraliseer de communicatie van het Incident Response team in één tool (Teams, Slack, …). Het liefst real-time. Centraliseer ook de verzamelde informatie.
  • Geef regelmatig en proactief feedback aan werknemers, partners en klanten tijdens het incident.
  • Time is money, dus zit even niet in met de gevoelige info waarmee het incident response team in contact kan komen tijdens het onderzoek. Zorg er natuurlijk wel voor dat de nodige NDA’s van kracht zijn.
  • Documenteer: zorg ervoor dat alles over het incident goed wordt gedocumenteerd. Voor het team tijdens het incident maar ook om er nadien uit te leren.

3) Back-up

De eerste vraag bij heel wat incidenten is de volgende: waar zijn je back-ups? Zorg ervoor dat jouw back-upplan nog steeds alle essentiële gegevens en systemen omvat.

  • Wordt alles regelmatig geback-upt?
  • Heb je offline back-ups?
  • Is er steeds iemand beschikbaar die back-ups kan maken of terugzetten?
  • Hoe zit het met de herstelprocedure? Kan die ook vanop afstand?
  • Kunnen werknemers essentiële data lokaal bewaren? Wordt er hiervan een back-up gemaakt?

4) Aanpassen aan het grotere aanvalsoppervlak

Het aanvalsoppervlak is groter doordat meer mensen thuis werken en vanop verschillende plaatsen inloggen of werken. Misschien heb je de systemen gewijzigd om telewerken mogelijk te maken. Zorg er echter voor dat die de IT-veiligheid niet in het gedrang brengen. Denk zeker hieraan:

  • Zijn de medewerkers thuis aangesloten op jouw netwerk? Hoe maken ze verbinding?
  • Heb je wijzigingen aangebracht aan bestaande technologieën?
  • Gebruiken de medewerkers apparaten die door het bedrijf worden beheerd of hun eigen privé-toestellen?
  • Beheer jij die apparaten op afstand? Ontvangen ze patches en anti-virusupdates?
  • Hoe heb je toegang tot interne diensten mogelijk gemaakt? (bv. het ticketsysteem). Zijn deze nu bereikbaar vanaf het internet of is bijvoorbeeld VPN vereist?

5) Controleer de monitoring-, detectie- en responsmogelijkheden

Naarmate de aanvalsoppervlakte groter wordt, moet je jouw monitoring ook aanpassen, zodat je zo snel mogelijk beveiligingsincidenten kunt detecteren. Zorg ervoor dat je de mobiele endpointapparaten in de gaten kunt houden.

  • Monitor je nog steeds apparaten die niet zijn aangesloten op jouw interne netwerk?
  • Heb je monitoring ingeschakeld op de nieuwe apps die je hebt geïmplementeerd?
  • Kan je nog steeds interventies op afstand uitvoeren op mobiele apparaten?

6) Bereid je voor op een terugkeer

Deze crisis zal niet eeuwig duren, dus we moeten voorbereid zijn op het moment dat we terug kunnen naar de normale situatie. Door de versoepeling van de maatregelen beginnen meer en meer werknemers, en daarbij ook hun laptop, terug te keren naar kantoor.

Tenzij je in staat was om deze toestellen perfect te beschermen, te monitoren en eventuele incidenten te detecteren, moet je ervan uitgaan dat sommige van deze apparaten met malware kunnen terugkeren. Je zal het besmettingsgevaar binnen je bedrijfsnetwerk moeten beperken. Daarvoor bestaat niet één perfecte oplossing, maar een mogelijkheid is om een gefaseerde terugkeer te voorzien zodat jouw IT-securityteam in staat is om alle apparaten te controleren en eventueel te isoleren voordat ze volledige toegang krijgen tot het interne netwerk.

7) Controleer uw verzekering

Heb je – zoals steeds meer bedrijven – een cybercrime verzekering? Controleer dan zeker de details van het contract om er zeker van te zijn dat je aan alle voorwaarden voldoet en of de verzekering onder de huidige omstandigheden van toepassing blijft. Wanneer je gebruik maakt van een emergency hotline ga je best na of er geen tijdelijke aanpassingen zijn in de dienstverlening naar aanleiding van de COVID-19 maatregelen.

En anders …

Niet elk bedrijf is in staat om gepast te reageren op security incidenten. Sommigen zijn te kleinschalig om een volwaardig security team te onderhouden, andere zijn nog op weg om deze capaciteiten uit te bouwen. Een externe CSIRT kan hiervoor de oplossing bieden. Dit is een team van security specialisten dat je uit de nood helpt als je wordt getroffen door een cyberaanval. Bij sommige verzekeringen zit dit vervat in het pakket, maar je kan ook zelf op zoek gaan naar een CSIRT-partner die het best bij jouw bedrijf past.

Hierbij kan je enerzijds rekening houden met de beschikbare capaciteiten op locaties waar jouw bedrijf actief is, maar ook met de mate waarin de security specialisten voor- en nazorg kunnen bieden. Een vaste CSIRT-partner geeft immers het voordeel dat deze op voorhand je onderneming en omgeving kan leren kennen, en zelfs gerichte verbeterpunten kan voorstellen, zodat de remediëring van het incident zo efficiënt mogelijk kan verlopen.

Lien Van Herpe, Cybersecurity Advisor bij Orange Cyberdefense Belgium.

 

LAAT EEN REACTIE ACHTER

Vul alstublieft uw commentaar in!
Vul hier uw naam in