Planning van uw inbreukreactie

Een datalek kan uw bedrijf voor een kritieke tijdsperiode afsluiten, soms voor altijd; het kan zeker uw financiële toekomst in gevaar brengen en in sommige gevallen kan het zelfs u in de gevangenis belanden. Maar dat hoeft allemaal niet te gebeuren, want als u goed plant, kunnen u en uw bedrijf zich herstellen en doorgaan, soms binnen enkele minuten. Uiteindelijk komt het allemaal neer op planning.

Vorige week hebben we besproken hoe we ons kunnen voorbereiden op een datalek. Ervan uitgaande dat u dat deed voordat uw inbreuk plaatsvond, zijn uw volgende stappen redelijk eenvoudig. Maar een van die voorbereidingsstappen was om een ​​plan te maken en het vervolgens te testen. En ja, dat kost behoorlijk wat werk.

Het verschil is dat de planning voorafgaand aan een eventuele inbreuk bedoeld is om de schade te minimaliseren. Na de inbreuk moet het plan zich richten op het herstelproces en de afhandeling van nasleepkwesties, ervan uitgaande dat die er zijn. Onthoud dat uw algemene doel, net als vóór de inbreuk, is om de impact van de inbreuk op uw bedrijf, uw werknemers en uw klanten te minimaliseren.

Planning voor herstel

Herstelplanning bestaat uit twee brede categorieën. De eerste is het herstellen van de schade veroorzaakt door de inbreuk en ervoor zorgen dat de dreiging daadwerkelijk wordt geëlimineerd. De tweede is zorgen voor de financiële en juridische risico's die gepaard gaan met een datalek. Wat de toekomstige gezondheid van uw organisatie betreft, beide zijn even belangrijk.

"Inperking is cruciaal voor herstel", zegt Sean Blenkhorn, vice-president Solutions Engineering en Advisory Services voor managed protection en responsprovider eSentire. "Hoe sneller we de dreiging kunnen detecteren, hoe beter we deze kunnen beheersen."

Blenkhorn zei dat het bevatten van een bedreiging kan verschillen, afhankelijk van het soort bedreiging. In het geval van ransomware kan het bijvoorbeeld betekenen dat u uw beheerde eindpuntbeveiligingsplatform gebruikt om de malware samen met eventuele secundaire infecties te isoleren zodat deze zich niet kan verspreiden en vervolgens te verwijderen. Het kan ook betekenen dat nieuwe strategieën worden geïmplementeerd, zodat toekomstige inbreuken worden geblokkeerd, zoals roaming- en telewerkers uitrusten met persoonlijke VPN-accounts (Virtual Private Network).

Andere soorten bedreigingen kunnen echter verschillende tactieken vereisen. Een aanval die financiële informatie, intellectueel eigendom (IP) of andere gegevens van uw onderneming zoekt, wordt bijvoorbeeld niet op dezelfde manier behandeld als een ransomware-aanval. In die gevallen moet u mogelijk het invoerpad vinden en elimineren en moet u een manier vinden om de opdracht- en besturingsberichten te stoppen. Dit vereist op zijn beurt dat u uw netwerkverkeer voor die berichten bewaakt en beheert, zodat u kunt zien waar ze vandaan komen en waar ze gegevens verzenden.

"Aanvallers hebben first mover-voordeel, " zei Blenkhorn. "Je moet op zoek zijn naar anomalieën."

Die afwijkingen brengen u naar de bron, meestal een server, die toegang biedt of exfiltratie biedt. Zodra u dat hebt gevonden, kunt u de malware verwijderen en de server herstellen. Blenkhorn waarschuwt echter dat u mogelijk een nieuwe image van de server moet maken om er zeker van te zijn dat alle malware echt verdwenen is.

Herstelstappen bij inbreuk

Blenkhorn zei dat er drie extra dingen zijn om te onthouden bij het plannen van een herstel van een inbreuk:

1. De breuk is onvermijdelijk,
2. Technologie alleen zal het probleem niet oplossen, en
3. Je moet ervan uitgaan dat het een bedreiging is die je nog nooit eerder hebt gezien.

Maar zodra u de dreiging heeft geëlimineerd, heeft u slechts de helft van het herstel uitgevoerd. De andere helft beschermt het bedrijf zelf. Volgens Ari Vared, Senior Director of Product bij cyberverzekeraar CyberPolicy, betekent dit dat je je herstelpartners van tevoren moet voorbereiden.

"Dit is waar het hebben van een cyberherstelplan het bedrijf kan redden, " vertelde Vared PCMag in een e-mail. "Dat betekent dat ervoor moet zorgen dat uw juridische team, een dataforensenteam, uw PR-team en uw belangrijkste medewerkers van tevoren weten wat er moet worden gedaan wanneer er een inbreuk is."

De eerste stap is het vooraf identificeren van uw herstelpartners, het informeren van uw plan en het nemen van alle noodzakelijke acties om hun services te behouden in geval van een inbreuk. Dat klinkt als een hoop administratieve rompslomp, maar Vared noemde vier belangrijke redenen die het proces de moeite waard maken:

1. Als er behoefte is aan geheimhoudings- en vertrouwelijkheidsovereenkomsten, kunnen deze vooraf worden overeengekomen, samen met vergoedingen en andere voorwaarden, zodat u geen tijd verliest na een cyberaanval die probeert te onderhandelen met een nieuwe leverancier.
2. Als u een cyberverzekering heeft, heeft uw bureau mogelijk al specifieke partners. In dat geval wilt u die bronnen gebruiken om ervoor te zorgen dat de kosten volgens het beleid worden gedekt.
3. Uw cyberverzekeraar heeft mogelijk richtlijnen voor het bedrag dat hij bereid is te dekken voor bepaalde aspecten en de MKB-eigenaar zal ervoor willen zorgen dat zijn leverancierskosten binnen die richtlijnen vallen.
4. Sommige cyberverzekeringsmaatschappijen hebben de nodige herstelpartners in huis, waardoor het een kant-en-klare oplossing is voor de bedrijfseigenaar, omdat de relaties al bestaan ​​en de services automatisch onder de polis vallen.

Aanpakken van juridische en forensische kwesties

Vared zei dat je juridische team en forensisch team een ​​hoge prioriteit hebben na een aanval. Het forensisch team zal de eerste stappen zetten in herstel, zoals geschetst door Blenkhorn. Zoals de naam al aangeeft, is dit team er om erachter te komen wat er is gebeurd en, nog belangrijker, hoe. Dit is niet om de schuld te geven; het is om de kwetsbaarheid te identificeren die de inbreuk heeft toegestaan, zodat u het kunt aansluiten. Dat is een belangrijk onderscheid met werknemers voordat het forensisch team arriveert om onnodige rancune of zorgen te voorkomen.

Vared merkte op dat het juridische team dat op de inbreuk reageert waarschijnlijk niet dezelfde mensen zijn die traditionele juridische taken voor uw bedrijf uitvoeren. Ze zullen eerder een gespecialiseerde groep zijn met ervaring in het omgaan met de nasleep van cyberaanvallen. Dit team kan je verdedigen tegen rechtszaken die voortvloeien uit de inbreuk, omgaan met toezichthouders of zelfs onderhandelingen voeren met cyberdieven en hun losgeld.

Ondertussen zal uw PR-team samenwerken met uw juridische team om kennisgevingsvereisten af ​​te handelen, uw klanten te communiceren om de inbreuk en uw reactie uit te leggen en mogelijk zelfs dezelfde details aan de media uit te leggen.

Ten slotte moet u, nadat u de vereiste stappen heeft genomen om van de inbreuk te herstellen, die teams samen met de leidinggevenden op C-niveau verzamelen en een nabespreking en rapport hebben. Het rapport na de actie is van cruciaal belang om uw organisatie voor te bereiden op de volgende inbreuk door te bepalen wat goed ging, wat fout ging en wat er gedaan kon worden om uw reactie de volgende keer te verbeteren.

Uw plan testen

• 6 dingen die u niet moet doen na een datalek 6 dingen die u niet moet doen na een datalek
• Datalekken hebben 4.5 miljard records aangetast in de eerste helft van 2018 Datalekken hebben 4.5 miljard records aangetast in de eerste helft van 2018
• Cathay Pacific maakt datalek bekend met gevolgen voor 9, 4 miljoen passagiers Cathay Pacific maakt datalek bekend met gevolgen voor 9, 4 miljoen passagiers

Dit alles gaat ervan uit dat je plan goed doordacht en vakkundig is uitgevoerd in het geval van een Bad Thing. Helaas is dat nooit een veilige veronderstelling. De enige manier om redelijk zeker te zijn dat je plan kans van slagen heeft, is het te oefenen als het eenmaal is voorbereid. De specialisten die u hebt ingeschakeld en die regelmatig met cyberaanvallen te maken hebben, zullen u niet veel weerstand bieden bij het uitvoeren van uw plan - ze zijn dat gewend en verwachten het waarschijnlijk. Maar omdat ze buitenstaanders zijn, moet je ervoor zorgen dat ze zijn gepland voor de training en je zult ze waarschijnlijk voor hun tijd moeten betalen. Dit betekent dat het belangrijk is om dat in uw budgettering op te nemen, niet slechts eenmaal, maar op een regelmatige basis.

Hoe regelmatig die basis is, hangt af van hoe uw interne medewerkers op uw eerste test reageren. Je eerste test zal vrijwel zeker mislukken in sommige of mogelijk alle aspecten. Dat is te verwachten, omdat deze reactie voor velen veel complexer en lastiger zal zijn dan een eenvoudige brandoefening. Wat u moet doen, is de ernst van dat falen meten en het gebruiken als basis om te beslissen hoe vaak en in welke mate u uw reactie moet oefenen. Vergeet niet dat een brandoefening er is voor een ramp die de meeste bedrijven nooit zullen ervaren. Uw cyberaanval oefening is voor een ramp die op een bepaald moment praktisch onvermijdelijk is.