Is uw organisatie klaar voor een beveiligingsincident?
Beveiligingsincidenten kunnen op elk moment plaatsvinden, zoals de pers regelmatig meldt. Er zijn veel voorbeelden van zogenaamde “ransomware”-aanvallen, waarbij tegenstanders de gegevens van een organisatie compromitteren en versleutelen, en vervolgens losgeld eisen om deze te ontsleutelen. Andere voorbeelden zijn cyberaanvallen uitgevoerd door geavanceerde groepen die bekend staan als “APT’s” (Advanced Persistent Threat), waarbij aanvallers erin slagen het netwerk binnen te dringen, onopgemerkt in de organisatie blijven en daar blijven om gevoelige gegevens te extraheren.
Er zijn echter veel andere soorten minder gepubliceerde incidenten die uiteindelijk een aanzienlijke impact kunnen hebben. Deze incidenten, die qua volume het talrijkst zijn, worden vaak verwaarloosd.
Een klein incident kan ernstige gevolgen hebben
Neem het geval van eenvoudige phishing, waarbij tegenstanders hun slachtoffers misleiden om een website te bezoeken die zij controleren en die een vertrouwde site nabootst. Het doel van aanvallers is om slachtoffers te misleiden zodat ze persoonlijke, financiële of inloggegevens onthullen. Deze inloggegevens worden meestal verkocht aan andere actoren die ze gebruiken om frauduleus toegang te krijgen tot het netwerk van een bedrijf.
Phishing is een eenvoudige techniek, die vaak wordt gebruikt en waartegen het moeilijk is om volledig te beschermen. De gevolgen van een dergelijke aanval kunnen verwoestend zijn: in 2023 was een derde van de ransomware-aanvallen die door de incidentresponsteams van THALES werden behandeld afkomstig van deze aanvalsmethode.
Hetzelfde geldt voor een hele familie van malware die vaak wordt geïnstalleerd binnen het informatiesysteem van een bedrijf. Deze “Stealers” zijn specifiek ontworpen om inloggegevens zoals wachtwoorden te stelen, in tegenstelling tot Trojans die aanvallers meestal in staat stellen een geïnfecteerd systeem te controleren.
Deze malware kan informatie ophalen uit webbrowsers, applicatieconfiguratiebestanden of het besturingssysteem. Ze worden vervolgens doorgegeven aan de aanvallers.
Een eenvoudig incident is altijd een bron van verbetering
Het is belangrijk om aandacht te besteden aan al deze onschuldige aanvallen; niet alleen vanwege hun potentiële impact, maar ook met het oog op het continu verbeteren van de responscapaciteit. Deze “kleine” incidenten zijn een kans om volwassenheid te bereiken en grote incidenten effectief te kunnen beheren.
Inderdaad, alleen door oefening kunnen storingen in noodprocedures of hiaten in de informatie die nodig is voor het omgaan met incidenten worden ontdekt. Voorbereiden op het omgaan met een groot incident door gebruik te maken van incidenten met een lage directe impact draagt daarom bij aan het verbeteren van uw algehele veerkrachtcapaciteit.
Wat zijn de terugkerende problemen?
Incidentresponsteams komen vaak dezelfde problemen tegen wanneer ze werken in onvoorbereide organisaties. Zo wordt het verkrijgen van het bewijs dat nodig is voor onderzoeken vaak vertraagd door een gebrek aan procedures of een gebrek aan kennis van de omgeving van de lokale teams, of simpelweg onmogelijk omdat er vooraf geen maatregelen zijn genomen om deze te behouden.
Dezelfde problemen zullen zich voordoen gedurende alle fasen van de incidentrespons, van insluiting tot herstel. Ze leiden tot een fase van “lessons learned”, waarin de aanbevelingen die worden gedaan onoverkomelijk kunnen lijken als het volwassenheidsniveau niet van tevoren is aangepakt.
Hoe verbeteren lessen geleerd de incidentrespons?
Laten we het geval nemen van het afhandelen van een phishingcampagne tegen de gebruikers van een bedrijf. Helaas zullen sommige van deze e-mails altijd in de inbox van gebruikers terechtkomen. Zodra de aanval echter is gedetecteerd, blijft het bepalen welke gebruikers in de val zijn gelopen. Met een goede diepteverdediging, in dit geval via een goed geconfigureerde e-mailgateway en proxy, is het mogelijk om snel en eenvoudig te bevestigen welke gebruikers de e-mail hebben ontvangen, welke de frauduleuze site hebben bezocht en welke acties ze daar hebben ondernomen, zoals het doorgeven van hun inloggegevens.
Door dit soort incidenten af te handelen, de geconstateerde storingen op te merken en de aanbevelingen op te volgen die tijdens de lessen zijn geleerd, wordt het mogelijk om geleidelijk een betere analyse- en responscapaciteit binnen het bedrijf te verwerven.
In het geval van een groot incident zal het voor responsteams mogelijk zijn om de exacte acties van aanvallers te bepalen, om eventuele achterdeurtjes die ter plaatse zijn achtergelaten te detecteren, ondanks de pogingen van de aanvallers om ze te verbergen.
De “lessen geleerd” omvatten veel andere punten die nodig zijn om met elk type incident om te gaan, zowel op technisch niveau (toegang en analyse van bewijs) als op organisatorisch niveau (hoe en aan wie dit bewijs moet worden doorgegeven).
Hoe kunnen de incidentresponsteams van Thales u helpen?
Lessen geleerd zijn effectief, maar kunnen niet alle aspecten van de respons dekken. Enerzijds is de systematische uitvoering van deze oefening kostbaar voor bedrijven, maar ook omdat dezelfde oefening alleen de incidenten dekt die zijn voorgekomen, waardoor er hiaten in de voorbereiding blijven.
Om deze tekortkomingen te compenseren, bieden wij onze klanten jaarlijkse incidentresponsvoorbereiding aan om hen te helpen zelfstandiger te worden. We assisteren onze klanten door kritieke punten te valideren die hun aanvalsoppervlak zullen verkleinen en hun vermogen om te reageren en te onderzoeken zullen verbeteren.
Met onze expertise en kennis van de potentiële valkuilen die onze klanten zullen tegenkomen bij het reageren op incidenten, kunnen we hen gedetailleerde rapporten verstrekken met concrete aanbevelingen die zijn afgestemd op hun sterke en zwakke punten. Het uiteindelijke doel is om hun veerkracht tegen bedreigingen te versterken, door hun reactietijd te verkorten en hun analyse- en herstelcapaciteiten te verbeteren.
Om deze voorbereiding te voltooien, bieden we ook operationele incidentensimulaties aan, om in bijna-realistische omstandigheden de capaciteiten van de reacties op incidentscenario’s die zijn aangepast aan hun infrastructuur te valideren.
Wie zijn wij?
Onze dienst digital forensics and incident response (DFIR) heeft als doel klanten te ondersteunen in het gehele proces van incidentrespons op het gebied van cyberbeveiliging. Dit omvat het verzamelen, bewaren, beoordelen en analyseren van digitale gegevens om de oorzaken en omvang van een beveiligingsincident te achterhalen en het herstelproces te ondersteunen.
Om u te ondersteunen:
- Expertise en gespecialiseerde kennis: Een team van hoogopgeleide en gecertificeerde professionals met gespecialiseerde kennis in digitale forensische en incidentrespons. Door gebruik te maken van deze expertise kan de klant profiteren van de beste praktijken in de sector.
- 24/7 snelle respons: In het geval van een beveiligingsincident grijpt een incidentmanager onmiddellijk in, beoordeelt de situatie en start het incidentresponsproces.
- Geavanceerde tools en technologieën: Toegang tot geavanceerde tools, technologieën en software die specifiek zijn ontworpen voor digitale forensische en incidentrespons. Deze tools kunnen het verzamelen, analyseren en bewaren van bewijsmateriaal vergemakkelijken, waardoor de algehele efficiëntie van het onderzoek wordt verbeterd.
- Naleving en juridische overwegingen: Voldoen aan vereisten en naleving met betrekking tot incidentrespons en de omgang met digitaal bewijsmateriaal. Dit zorgt ervoor dat het onderzoek en het verzamelen van bewijsmateriaal voldoen aan de relevante wettelijke en regelgevende normen, waardoor het risico op manipulatie van bewijsmateriaal wordt verminderd en organisaties kunnen voldoen aan regelgeving op het gebied van gegevensbescherming en privacy.
- Ervaren teams: Onze teams hebben sinds hun oprichting duizenden incidenten afgehandeld.
Aarzel niet om contact met ons op te nemen!