Wat is een Incident Response Plan en hoe maakt u er een

Een Incident Response Plan zorgt ervoor dat in het geval van een inbreuk op de beveiliging het juiste personeel en de juiste procedures beschikbaar zijn om een bedreiging effectief aan te pakken. Het hebben van een incident response plan zorgt ervoor dat een gestructureerd onderzoek kan plaatsvinden om een gerichte reactie te bieden om de dreiging in te dammen en te verhelpen.

Het is vrijdagmiddag en na een drukke week werken voor de IT-helpdesk van uw bedrijf zijn uw gedachten bij die koude fles wijn die in de koelkast staat te koelen, de perfecte begeleiding voor een rustig avondje Netflix kijken. Die gedachte wordt onderbroken als je bureautelefoon overgaat, waarschijnlijk een andere werknemer die een wachtwoordreset aanvraagt.

Hoe dan ook, de paniek in de stem van de beller wordt snel duidelijk, ze kunnen geen van hun bestanden openen en vragen of u weet wat een bitcoinbetaling is? Waarschijnlijk niet zo erg, malware op een enkele laptop is niet het einde van de wereld. Als je je echter omdraait en ziet dat er meerdere telefoons overgaan op kantoor, lijkt de situatie iets ernstiger dan een enkele laptop die besmet is met malware. Tot overmaat van ramp leunt een collega naar je toe om te vertellen dat een server met klantgegevens ook is geïnfecteerd met ransomware.

Dit scenario heeft zich over de hele wereld al vele malen afgespeeld, hoe effectief je op deze situatie reageert hangt af van het antwoord op één vraag: “Heb je een incident response plan?”

Waarom u een incident response plan nodig heeft

Het is van cruciaal belang dat een bedrijf een incident response plan heeft, zodat onder de druk van een incident de juiste beslissingen kunnen worden genomen om de situatie weer onder controle te krijgen. Een cyberincident kan een zeer ontmoedigende situatie zijn; als de reactie niet op een georkestreerde manier wordt uitgevoerd, kan de potentiële uitkomst resulteren in ernstige reputatieschade voor een merk.

Om een cyberincident effectief aan te pakken, heeft uw bedrijf een team nodig dat is gespecialiseerd in incidentrespons. Sommige organisaties noemen dit team het Computer Security Incident Response Team (CSIRT) – er zijn ook andere varianten van dat acroniem, zoals Security Incident Response Team (SIRT) of Computer Incident Response Team (CIRT). De missie van dit team is dezelfde, hoe je het ook noemt – het uitvoeren van het door het bedrijf opgestelde incident response plan wanneer het bat-signaal afgaat.

Als je werkt in de gegevensbeveiliging, heb je dagelijks te maken met beveiligingsincidenten. Af en toe ontpopt een klein beveiligingsprobleem zich tot een echte panieksituatie. Als het bat-signaal gaat branden, weet iedereen dan wat hij moet doen? Zal ieder CSIRT-lid zijn rol en verantwoordelijkheden kennen en het goedgekeurde plan volgen?

Wanneer de inzet hoog wordt en de druk toeneemt, zal het CSIRT optreden zoals het heeft geoefend. Als er geen plan is, is er geen garantie dat ze goed kunnen reageren op een cyberbeveiligingsincident.

Het hebben van een IR-plan alleen is echter niet genoeg: het CSIRT-team moet over de vaardigheden en ervaring beschikken om met een dergelijke potentieel stressvolle situatie om te gaan. Digital Forensics-experts, malware-analisten, Incident Managers en SOC-analisten zullen allemaal nauw betrokken zijn en de boots on the ground zijn die zich met de situatie bezighouden. Dit houdt in dat belangrijke beslissingen moeten worden genomen, een diepgaand onderzoek moet worden uitgevoerd, feedback moet worden gegeven aan de belangrijkste belanghebbenden en uiteindelijk aan het senior management de verzekering moet worden gegeven dat de situatie onder controle is.

Overal komt daar nog bij dat er vaak sprake is van tijdnood. Er komen steeds meer wetten voor het melden van datalekken: de GDPR vereist bijvoorbeeld dat bedrijven incidenten op het gebied van gegevensbeveiliging binnen 72 uur na ontdekking melden.

Mijn ervaring met het werken aan cyberbeveiligingsincidenten heeft me geleerd hoe waardevol het is om een incident response plan te hebben. Ik ben in de vroege uurtjes van de ochtend naar een incident geroepen om vast te stellen dat er een inbreuk op de cyberbeveiliging heeft plaatsgevonden, en de CEO kijkt naar het CSIRT voor antwoorden en begeleiding over hoe een ramp kan worden afgewend. Het incident response plan betekent dat de juiste mensen, met de juiste vaardigheden en ervaring, aan de telefoon zijn, dat ze weten wat er van hen wordt verwacht en welke procedures er moeten worden gevolgd om de dreiging met succes in te dammen en te verhelpen. Die structuur is altijd van onschatbare waarde gebleken.

Overwegingen voor Incident Response Planning

Het incident response plan zal bestaan uit belangrijke criteria die kunnen worden ontwikkeld naarmate het beveiligingsbeleid van een bedrijf volwassener wordt. Er zijn verschillende overwegingen die moeten worden gemaakt bij het opstellen van een incident response plan.

Aanleg van het senior management is van het grootste belang. Het opstellen van een incident response plan mag geen afvinkexercitie zijn. Als het niet wordt gesteund door het senior management, bestaat het risico dat het plan wordt opgeborgen tot het nodig is. Het senior management zou moeten schetsen wat er nodig is vanuit het oogpunt van processen en mensen en ervoor moeten zorgen dat de nodige ondersteuning wordt geboden.

Stel vast wie de belangrijkste belanghebbenden zijn. De contactgegevens van de belangrijkste personen en teams binnen en buiten kantooruren moeten worden vastgelegd.

Communiceer duidelijk. Er moet worden vastgesteld wie verantwoordelijk is voor het verzenden van berichten, het toewijzen van taken en het nemen van passende maatregelen. Bedenk ook wie betrokken moet worden bij de communicatie over incidenten en hoe gedetailleerd deze moet zijn, afhankelijk van het publiek. Taken die worden toegewezen aan beveiligingsteams moeten nauwkeurig en technisch zijn, terwijl updates aan de directie duidelijk moeten zijn en vrij van technisch jargon.

Definieer wat een incident is. Geef aan welke gebeurtenissen als business as usual kunnen worden afgehandeld of wanneer alle hens aan dek zijn en er een incidentoproep moet worden gedaan.

• TIP: Een triage-matrix geeft inzicht in de ernst van een incident, zodat er snel en correct prioriteiten kunnen worden gesteld.

Plannen en procedures zijn belangrijk. Het is echter het CSIRT dat het incident response plan zal uitvoeren en het incidentherstel zal uitvoeren. Voor een succesvolle uitvoering van het IRP moeten de juiste mensen en vaardigheden aanwezig zijn.

Het CSIRT bestaat uit verschillende teams en elke rol is van essentieel belang om een incident van een potentiële ramp tot een succesverhaal te maken. Het CSIRT bestaat uit een mix van ervaren, technisch en niet-technisch personeel die samenwerken om de omvang van het incident te begrijpen, hoe het kan worden beperkt en hoe het uiteindelijk kan worden verholpen. De juiste mensen moeten worden ingehuurd en ingezet.

Automatisering is ook de sleutel tot incident response planning, inzicht in welke beveiligingstools er zijn samen met hun mogelijkheden en dekking betekent dat een bepaald niveau van automatisering mogelijk zal zijn. Nauwkeurig afgestemde beveiligingscontroles zorgen ervoor dat uw eerste verdedigingslinie, het Security Operations Center (SOC), reageert op waarschuwingen die zinvol en legitiem zijn. Betrouwbare en nauwkeurig afgestemde waarschuwingen betekenen dat sommige onderdelen van het incident response proces automatisch kunnen worden gestart en dat het mogelijk is om de initiële triage en het verzamelen van bewijs voor een incident automatisch te laten verlopen. Als uw automatisering een groot aantal valse positieven genereert, zal dit niet alleen leiden tot vermoeidheid op een belangrijk gebied van uw IRP, maar is de kans ook groter dat u een belangrijke waarschuwing mist als deze verloren gaat tussen de ruis van valse positieven.

Naast een incident response plan, moet een bedrijf ook overwegen om een rampherstelplan te hebben. Terwijl een IRP is ontworpen om de dreiging van een incident weg te nemen, is een DRP ontworpen om de functionaliteit van een bedrijf te herstellen en het weer online te brengen na een grote natuurramp of een door mensen veroorzaakte ramp. Als het bedrijf niet kan functioneren, worden in het DRP de stappen beschreven die nodig zijn om het bedrijf weer online te brengen.

Een bedrijf moet mogelijk ook nagaan of het te maken heeft met de Payment Card Industry Data Security Standard (PCI DSS). Dit is van toepassing als een bedrijf creditcardgegevens van klanten verwerkt, opslaat of verzendt.

Wie is verantwoordelijk binnen een Incident Response Plan

Het CSIRT bestaat uit gespecialiseerde teams die elk een belangrijke rol spelen bij de afhandeling van een incident.

De Security Operations Centers (SOC) zijn de eerste verdedigingslinie. Zij zijn de soldaten op de grond die 24 uur per dag, 7 dagen per week actief zijn. Het is hun taak om elk beveiligingsalarm te triëren, bewijsmateriaal te verzamelen en de juiste actie te bepalen. De SOC-analisten werken in ploegendiensten en moeten een breed inzicht hebben in cyberveiligheidsbedreigingen. Ze hebben toegang tot verschillende beveiligingsplatformen en -tools zoals SIEM (Security Incident Event Manager) en EDR (Endpoint Detection & Response) oplossingen. Deze tools kunnen een breed scala aan waarschuwingen genereren die kunnen variëren van DDoS-aanvallen tot kwaadaardige commando’s die op een apparaat worden uitgevoerd, de SOC-analisten moeten deze gegevens kunnen begrijpen en interpreteren. Als een incident een hoge prioriteit heeft of buiten de vaardigheden van het SOC valt, is hun escalatiepunt het Incident Management team.

De rol van een Incident Manager werd mij door een collega beschreven als “The Art of Herding Cats.” Het is hun taak om een incident in goede banen te leiden, de belangrijkste stakeholders bij elkaar te brengen en de discussie op gang te brengen om het beste plan van aanpak te bepalen. Het Incident Management team zijn de Generaals, zij worden voorzien van bewijs, advies en meningen en bepalen het tempo van een incident. Zij bepalen welke taken moeten worden uitgevoerd, wie ze moet uitvoeren, en wanneer ze moeten worden uitgevoerd. Alle incident calls en communicatie die gepland moeten worden, worden door Incident Management afgehandeld.

Het CIRT team zijn de Special Ops soldaten, zij zijn alleen betrokken bij high profile en high priority incidenten en als ze niet betrokken zijn bij incidenten zijn ze bezig met het verfijnen en ontwikkelen van hun vaardigheden. Terwijl de SOC-analisten een brede set vaardigheden hebben, zal het CIRT-team bestaan uit personen met gespecialiseerde vaardigheden en interesses, zoals malware-analisten en digitale forensische experts. Dit team geeft deskundig technisch advies en analyse en krijgt taken toegewezen door Incident Management die niet door het SOC kunnen worden uitgevoerd.

Het Threat Intelligence-team zijn de verkenners die het cyberdreigingslandschap beoordelen en begrijpen. Als het incident betrekking heeft op een gecompromitteerde server met gevoelige gegevens, dan zullen zij het dark web afstruinen op zoek naar bewijs dat de gegevens te koop zijn. Als het incident betrekking heeft op een malware infectie, dan zal het intel team OSINT (Opensource Intelligence) onderzoek doen naar de malware familie en adviseren over de waarschijnlijkheid dat dit een gerichte aanval is tegen uw organisatie.

6 Stappen voor het maken van een Incident Response Plan

SANS publiceerde een paar jaar geleden hun Incident Handler’s Handbook, en het blijft de standaard voor IR plannen. Het is een raamwerk van 6 stappen dat u kunt gebruiken om uw specifieke bedrijfsplan rond op te bouwen.

Voorbereiding

Voorbereiding op elk potentieel beveiligingsincident is de sleutel tot een succesvolle reactie. Ik raad sterk aan om een aantal playbooks te ontwikkelen die het SOC richtlijnen geven bij het triageren van een incident, deze geven duidelijke instructies over hoe een incident te prioriteren en wanneer het geëscaleerd moet worden. Deze moeten van hoog niveau zijn en gericht op specifieke gebieden zoals DDoS, Malware, Insider Threat, Ongeoorloofde toegang en Phishing. De draaiboeken en procedures moeten worden getest op de mensen en teams die ze zullen gebruiken. Tabletop-oefeningen zijn een uitstekende manier om de kennis te verstevigen en te zien of er verbeteringen kunnen worden aangebracht.

Identificatie

U kunt een beveiligingsdreiging pas met succes wegnemen als u de omvang en reikwijdte van een incident kent. Begin bij ‘patiënt nul’, het eerste gecompromitteerde apparaat. Het doel is om de hoofdoorzaak van de aantasting te begrijpen, maar concentreer je niet alleen op dat ene apparaat, kan de bedreiging zich hebben verspreid en zich zijdelings hebben verplaatst?

De echte identificatie van een incident komt van het verzamelen van bruikbare indicatoren van aantasting (IOC’s). In plaats van alleen het oorspronkelijke geïnfecteerde apparaat opnieuw te bouwen, moet u op zoek gaan naar unieke IOC’s die kunnen worden gebruikt om in uw hele organisatie te zoeken naar verdere bewijzen van aantasting. Als het incident betrekking heeft op een malware-infectie, stel dan de volgende vragen: Welke netwerkverbindingen genereert de malware? Maakt de malware verbinding met domeinen? Welke bestanden worden er op schijf aangemaakt? Welke lopende processen worden er aangemaakt? Zijn er unieke registersleutels aangemaakt? Deze gegevens kunnen vervolgens worden gebruikt om verder bewijs van compromittering te zoeken en andere geïnfecteerde machines in uw omgeving te identificeren.

Containment

Als de omvang van een incident eenmaal met succes is geïdentificeerd, kan het proces van beheersing beginnen. Hierbij worden de besmette apparaten binnen het netwerk geïsoleerd van de rest van het netwerk om de verspreiding van een aanval tegen te gaan.

Korte termijn insluiting kan worden gebruikt om een apparaat te isoleren dat het doelwit is van aanvalsverkeer. Langdurige inperking kan nodig zijn wanneer een diepgaande analyse nodig is, die veel tijd in beslag kan nemen. Dit kan inhouden dat een image van het apparaat moet worden gemaakt en een forensisch onderzoek van de harde schijf moet worden uitgevoerd. Dit kan verdere IOC’s opleveren en de identificatiefase kan opnieuw moeten worden bekeken.

Uitroeiing

Als het incident eenmaal met succes is ingeperkt, kan de uitroeiing van de dreiging beginnen. Dit varieert afhankelijk van de oorzaak van de compromittering van een apparaat. Het patchen van apparaten, het onschadelijk maken van malware, het uitschakelen van gecompromitteerde accounts zijn allemaal voorbeelden van wat nodig kan zijn in de uitroeiingsfase van een incident.

Herstel

Het doel van de herstelfase van een incident is om de normale dienstverlening aan het bedrijf te herstellen. Als er schone back-ups beschikbaar zijn, kunnen deze worden gebruikt om de dienstverlening te herstellen. Als alternatief zal elk aangetast apparaat opnieuw moeten worden opgebouwd om een schoon herstel te garanderen.

Lessen

Als de bedreiging eenmaal volledig is hersteld, is de volgende stap het beantwoorden van de vraag ‘hoe voorkomen we dat dit nog eens gebeurt? Er moet een vergadering plaatsvinden die bekend staat als een Post Incident Review (PIR) en waaraan vertegenwoordigers van alle bij het incident betrokken teams deelnemen. Dit is het platform om te bespreken wat er goed ging tijdens het incident en wat er verbeterd kan worden. Dit is waar het incident response plan wordt verfijnd op basis van de uitkomst van de PIR, en procedures en draaiboeken worden aangepast aan de overeengekomen veranderingen.

Incident Response Plan Best Practices

Create Playbooks. Het maken van draaiboeken zal het SOC helpen bij het triage van verschillende incidenten en het verzamelen van het relevante bewijsmateriaal. Richt u op de belangrijkste aanvalsscenario’s waar bedrijven mee te maken krijgen – malware, DDoS, ongeautoriseerde toegang, phishing en bedreigingen van binnenuit. Deze documenten zouden moeten schetsen wat een escalatie naar het Incident Management team teweegbrengt en adviseren over welk bewijsmateriaal moet worden verzameld. Houd ze op hoog niveau, ze moeten niet te granulair zijn zodat ze te complex worden.

Oefeningen met cyberdreigingen. Bereid u voor op het echte werk door aanvalsscenario’s te wargamen. Dit kan zelfs zo simpel zijn als het regelen van een aantal tafeloefeningen. Het opstellen van aanvalsscenario’s die door de betrokken teams kunnen worden doorgenomen, is een goede manier om eventuele draaiboeken te testen. Dit helpt ook om eventuele hiaten in een incident response plan op te sporen en zou ten minste een keer per jaar moeten worden herzien.

Start threat hunting. Wachten tot een waarschuwing afgaat op een glimmend nieuw platform is één ding, proactief op zoek gaan naar verdachte activiteiten is waar incident response teams volwassen beginnen te worden. Niet alleen is de kans groot dat een potentiële compromittering eerder wordt gevonden, maar de personen die deze ad-hoconderzoeken uitvoeren, ontwikkelen ook hun onderzoeksmentaliteit. Deze vaardigheden en dit soort mentaliteit zijn precies wat nodig is tijdens de identificatiefase van een incident, waarbij netwerkverkeer wordt doorzocht, wordt gekeken naar ongebruikelijk gebruikte poorten en ongebruikelijke processen om inzicht te krijgen in de omvang van een incident. Als het SOC een goed begrip heeft van hoe ‘normaal’ eruit ziet, wordt het een stuk eenvoudiger om kwaadaardige activiteiten op te sporen.

Incident Response Plan Templates

Het opstellen van een incidentenplan kan behoorlijk ontmoedigend lijken. Het gebruik van een sjabloon biedt echter structuur en richting voor het ontwikkelen van een succesvol incident response plan.

NCSC Planning guide – Het NCSC (National Cyber Security Centre) is een Britse overheidsorganisatie die cyber security ondersteuning biedt aan kritische Britse organisaties. Als een belangrijke autoriteit op het gebied van cybersecurity, zullen hun aanbevelingen van onschatbare waarde blijken bij het plannen van een incident response plan.

Sysnet’s Incident Response Template – Schetst hoe een beveiligingsincident te herkennen, rollen en verantwoordelijkheden van de belangrijkste belanghebbenden, incident response plan stappen, en wat moet worden overwogen voor verschillende incidenttypen.

Incidentresponse.com heeft verschillende playbook templates die scenario’s zoals malware, phishing, ongeautoriseerde toegang, en zijn allemaal in kaart gebracht met het NIST incident response framework. Dit zijn afzonderlijke, op zichzelf staande documenten, maar er moet wel naar worden verwezen in het incident response plan.

Om te helpen begrijpen wanneer een incident response plan moet worden gebruikt, laat Varonis’s incident response webinar een live aanvalsimulatie zien. Tijdens deze simulatie geven onze beveiligingsanalisten een korte rondleiding door Varonis voor Office 365, voeren de aanval uit van inbraak tot privilege-escalatie tot exfiltratie en laten vervolgens zien hoe u DatAlert kunt gebruiken om te detecteren en te reageren.

Wat te doen na een cyberincident?

Het stof is opgetrokken, de slechteriken zijn verslagen en het CSIRT-team heeft het IR-plan tot op de letter gevolgd. Wat nu? Maak de balans op en bevoorraad u weer voor de volgende ontmoeting.

Het IR-plan aanscherpen of kijken of de monitoring die er al is kan worden verbeterd, zijn er extra logboeken die niet beschikbaar waren tijdens een incident en die moeten worden geactiveerd? Is er een gat in de vaardigheden binnen het beveiligingsteam? Moet het patchingbeleid van het bedrijf worden herzien? Door het incidentenproces voortdurend te evalueren en te verfijnen, wordt niet alleen de respons op een incident verbeterd, maar wordt ook het aanvalsoppervlak verkleind. Als er extra controles en verbeteringen worden aangebracht in de beveiliging van een bedrijf, zal dit uiteindelijk resulteren in minder beveiligingsincidenten.