Bedrijven zijn zich meer dan ooit bewust van hoe cybercriminaliteit hun reputatie en bedrijfsresultaten kan beïnvloeden. Rapporten zoals het Verizon Data Breach Investigations Report en het Verizon Insider Threat Report waarschuwen nog steeds voor de cyberbedreigingen en -trends waar elk bedrijf mee te maken heeft. Maar hoewel kennis essentieel is voor een beter begrip van het dreigingslandschap, vereist de voorbereiding op een cyberincident een veel uitgebreidere aanpak. Het Verizon Incident Preparedness and Response Report (VIPR) is gebaseerd op drie jaar (2016-2018) aan analyses en simulaties van Incident Response (IR)-plannen, uitgevoerd door Verizon voor zijn klanten. Het rapport biedt organisaties strategische richtlijnen voor het creëren van effectieve en efficiënte IR-plannen.
Veel bedrijven denken dat het hebben van een IR-plan betekent dat ze goed voorbereid zijn op een cyberaanval. Maar vaak zijn deze plannen al jaren niet behandeld, bijgewerkt of geoefend en dus niet toereikend tijdens een cyberincident. Het hebben van een verouderd plan is net zo slecht als het hebben van geen plan. IR-plannen moeten worden behandeld als ‘levende documenten’. Ze moeten regelmatig worden bijgewerkt om te zorgen dat ze daadwerkelijk effectief zijn. En er moet geoefend worden met gesimuleerde cyberincidenten.
Van mijn collega’s van Verizons Threat Research Advisory Center (VTRAC) heb ik geleerd dat IR-plannen actueel blijven door rekening te houden met de feedback van stakeholders, conclusies uit simulaties van incidenten en inzicht in de meest actuele cybertactiek. Zo kunnen ze continu worden afgestemd op het steeds veranderende cyberlandschap.
Er zijn zes onderdelen die elk IR-plan zou moeten bevatten:
- Planning en voorbereiding – Dit houdt onder meer in dat het IR-plan rekening moet houden met de belangrijkste interne stakeholders en derden. Dit is cruciaal voor een effectieve aanpak.
- Detectie en validatie – Cyberincidenten moeten in een vroeg stadium van het IR-proces worden gedetecteerd en geclassificeerd op basis van urgentie en bron
- Inperking en bestrijding – De focus moet liggen op het beperken en elimineren van cyberdreigingen.
- Collectie en analyse – Gegevens van bedrijven moeten worden verzameld en geanalyseerd om meer inzicht te krijgen in cyberincidenten. Dit helpt bij het effectief inperken, bestrijden, oplossen en herstellen van datalekken.
- Oplossen en herstellen – Er moeten oplossingen en herstelmaatregelen worden geboden. De acties moeten concreet worden beschreven zodat niet alleen de activiteiten kunnen worden hervat, maar ook toekomstige incidenten kunnen worden voorkomen of beperkt.
- Evaluatie en aanpassing – De opgedane kennis na afloop van een incident moet worden teruggekoppeld naar het IR-plan om de statistieken, controles en procedures op het gebied van cyberveiligheid te verbeteren.
Het VIPR-rapport dat ik eerder noemde bevat ook vijf “Breach Simulation Kits”, bestaande uit realistische scenario’s. Deze helpen je om binnen je eigen organisatie simulatieoefeningen te organiseren. Zo kun je samen met stakeholders je IR-plan oefenen en verbeteren. De scenario’s gaan over crypto-jacking, interne risico’s, een malware-uitbraak, cyberspionage en een cloud-gerelateerde cyberaanval. Je kunt het Incident Preparedness Response Report en de Breach Simulation Kits hier downloaden
