Acht stappen voor een effectieve incident response

Acht stappen voor een effectieve incident response

Security
Redactie WINMAG Pro

Door Andre Noordam, AVP Solutions Engineering EMEA North bij SentinelOne

Inbreuken en datalekken zijn volop in het nieuws. Begrijpen hoe je ze kunt voorkomen - en wat je moet doen als je er toch mee te maken krijgt - is essentieel voor elke organisatie. Een goed voorbereide onderneming heeft daarom een incident response plan (IRP) klaarliggen. In deze blog staan belangrijke aanbevelingen en best practices voor het beheren van inbreuken. Door direct na de ontdekking van een inbreuk de juiste beslissingen te nemen, kunnen organisaties hun activiteiten veiligstellen en de ondersteuning krijgen die ze nodig hebben. De volgende acht stappen vormen de basis voor een effectieve reactie:

 

1. Schakel juridisch advies en incident response in

Tijdens een inbreuk moet je voldoen aan wettelijke verplichtingen en zijn zowel interne als externe communicatieplannen noodzakelijk. Hoewel deze verplichtingen vaak per regio of branche verschillen, hebben ze meestal betrekking op het informeren van de getroffenen, het inlichten van autoriteiten en het nemen van stappen om de verspreiding te minimaliseren en toekomstige risico’s te beperken. Daarnaast zijn bedrijven verplicht om details van de inbreuk bekend te maken aan regelgevende instanties. Dit is afhankelijk van de compliance-regels die op hen van toepassing zijn. Informeer altijd interne of externe adviseurs over een incident. Neem contact op met (de verlener van) incident response zodra je advies inwint.

2. Houd getroffen endpoints online

Hoewel juridische overwegingen en compliance erg belangrijk zijn, kunnen organisaties ook kiezen voor een aanpak op basis van het bewaren van gegevens en bewijs. Sluit daarom geen endpoints die vermoedelijk zijn aangetast. RAM-geheugen (Random Access Memory) bevat waardevol bewijsmateriaal, maar als systemen worden afgesloten dan gaat dat bewijsmateriaal permanent verloren.

3. Verbreek de verbinding met het netwerk

Verbreek de verbinding tussen verdachte systemen en het netwerk. Er zijn een paar manieren waarop dit kan: 

  • Koppel bekabelde netwerken los en schakel alle draadloze verbindingen uit.
  • Overweeg om het aangetaste netwerk te scheiden van het onaangetaste netwerk. Dit kan helpen bij het voortzetten van de bedrijfsactiviteiten voor niet-aangetaste netwerken.

4. Identificeer en bewaar bewijsmateriaal

Identificeer potentieel bewijs in alle firewalls, intrusion detection systems (IDS), virtual private networks (VPN), antivirus-oplossingen (AV) en event logs. Zorg ervoor dat al het bewijsmateriaal bewaard blijft en oudere logs niet automatisch worden overschreven.

5. Verzamel IOC's en samples

Verzamel alle bekende indicators of compromise (IOC’s) en samples van kwaadaardige code. Dit kunnen ook verdachte IP-adressen of domeinen zijn, net als hashes, PowerShell-scripts, schadelijke executables en andere bekende of verdachte items die kunnen bijdragen aan het doen van onderzoek.

6. Bereid herstel voor

Bekijk en bereid je voor op het herstellen van de netwerkfunctionaliteit via eventuele backup-oplossingen. Het is belangrijk dat je forensische images van aangetaste systemen bewaart voordat je schone images herstelt. Het niet bewaren van dergelijk bewijs kan goed onderzoek belemmeren. Zorg ervoor dat backups uitvoerbaar en schoon zijn voordat je de herstelwerkzaamheden hervat.

7. Stel een tijdlijn op

Stel een tijdlijn op van bekende verdachte gebeurtenissen. Dit geeft inzicht in het vermoedelijke begin van de aanval en de meest recente kwaadaardige activiteit.

8. Identificeer endpoints

Identificeer endpoints die verdachte activiteiten hebben vertoond. Dit is belangrijk voor de identificatie van het eerste getroffen systeem (patient zero) en mogelijke bronnen van exfiltratie.

Security-incidenten kunnen verschillende oorzaken hebben en de gevolgen zijn complex en verstrekkend. Omdat kwaadwillenden hun methoden voortdurend verfijnen, moeten organisaties hierop blijven inspelen. Met XDR en MDR, sterke authenticatiemethoden zoals MFA of RBAC, gegevensversleuteling en regelmatige security-beoordelingen en -audits kunnen organisaties hun security verfijnen en aanvallen stoppen voordat ze kunnen uitgroeien tot inbreuken. Daarnaast is monitoring en analyse van netwerkverkeer essentieel om potentiële dreigingen te identificeren en erop te reageren. 

Getroffen organisaties moeten onmiddellijk stappen nemen voor effectief onderzoek en ervoor zorgen dat bewijsmateriaal bewaard blijft. Hierbij is een duidelijk incident response plan noodzakelijk. Zodra de systemen zijn hersteld, is het noodzakelijk dat organisaties samenwerken met belanghebbenden, leveranciers en instanties om de juridische, financiële en mogelijke uitdagingen op de lange termijn het hoofd te bieden. Toegang krijgen tot de nieuwste informatie door samen te werken met deskundigen en organisaties op het gebied van cybersecurity is hierbij van groot belang. 

Lees meer

Social engineering belangrijkste hacktechniek
Social engineering belangrijkste hacktechniek
Cisco versnelt detectie met agentic AI in cybersecurity
Cisco versnelt detectie met agentic AI in cybersecurity
Onderzoek Trend Micro: Russische infrastructuur speelt cruciale rol in Noord-Koreaanse cybercriminele operaties
Onderzoek Trend Micro: Russische infrastructuur speelt cruciale rol in Noord-Koreaanse cybercriminele operaties
Sophos: Toekomst zonder wachtwoorden met passkeys
Sophos: Toekomst zonder wachtwoorden met passkeys
Securitas groeit met focus op technologische beveiliging
Securitas groeit met focus op technologische beveiliging
Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie