Het aantal security-incidenten in Nederland neemt snel toe, met vaak flinke schade en media-aandacht tot gevolg. Denk maar aan het recente datalek bij de GGD of de ransomware aanvallen bij de Hof van Twente en de Universiteit van Maastricht. Vaak is er echter veel minder aandacht voor de acties die organisaties moeten ondernemen om zo snel mogelijk weer ‘back in business’ te zijn. Computest Incident Response helpt organisaties hierbij.
Ontdek hier de zes stappen die getroffen organisaties moeten nemen om hun normale bedrijfsvoering zo snel mogelijk te hervatten:
Stap 1. Bel Computest Incident Response en plan een kick-off sessie
Verspil niet teveel tijd aan het zelf proberen op te lossen van een security-incident. Vaak levert dit alleen maar meer schade op. Neem zo snel mogelijk contact op met onze security-professionals. Computest werkt bij security-incidenten zoveel mogelijk volgens het NIST- en SANS-stappenplan, bekende frameworks waarin precies is vastgelegd hoe cyberincidenten zo goed en zo snel mogelijk op te lossen zijn.
Binnen twee uur na zo’n telefoontje zijn de Incident Response-specialisten van Computest onderweg. Tijdens een kick-off sessie, worden alle tot dan toe bekende feiten besproken en wordt een team samengesteld dat bestaat uit Incident Response-specialisten en verantwoordelijken bij het bedrijf, vaak mensen van de IT-afdeling.
Stap 2. Identificeer de oorzaak van het security-incident
De volgende stap is om samen met onze specialisten te achterhalen wat er exact gebeurd is. Er wordt gekeken naar waar het incident begon, hoe de aanvallers zijn binnengekomen, welke data potentieel zijn buitgemaakt en welke systemen zijn geraakt.
Het is belangrijk om dit goed in kaart te brengen omdat zo de juiste vervolgstappen kunnen worden bepaald. Bijvoorbeeld of het incident bij de Autoriteit Persoonsgegevens moet worden gemeld. Dit is verplicht bij ernstige datalekken en moet binnen 72 uur na het incident gebeuren. Afhankelijk van de omvang van het security-incident en de bedrijfsgrootte kan het vaststellen van de oorzaak een dag tot een paar weken duren.
Stap 3. Isoleer de getroffen systemen
Als bekend is welke systemen getroffen zijn, moeten deze zo snel mogelijk geïsoleerd worden. Zo wordt voorkomen dat de aanvallers nog meer schade kunnen aanrichten. Afhankelijk van het type aanval kan het isoleren op verschillende manieren plaatsvinden.
Soms wordt er simpelweg een stekker uit een server getrokken. In andere gevallen wordt er een softwarematige schil om het netwerk gecreëerd, moeten er gebruikersrollen worden aangepast of wachtwoorden worden gewijzigd die zijn buitgemaakt door de aanvallers.
Het isoleren van systemen is vaak een cyclisch proces. Er moet steeds opnieuw worden gekeken of de aanvaller nog actief is en of hij niet via andere systemen alsnog probeert binnen te komen. De lengte van deze fase is dus afhankelijk van hoe actief de aanvaller nog is en hoeveel extra geïnfecteerde systemen er worden ontdekt.
Stap 4. Stel een herstelstrategie op
Zodra de getroffen systemen succesvol zijn geïsoleerd en zeker is dat de aanvallers niet meer actief zijn, gaan onze specialisten verder met de herstelstrategie. Daarin wordt duidelijk vastgelegd welke stappen er nog nodig zijn om terug te keren naar een normale bedrijfsoperatie. Ook wordt gekeken welke systemen daarbij prioriteit hebben.
Hoe deze strategie er exact uitziet, hangt af van het type incident. Bij ransomware wordt bijvoorbeeld onderzocht of er back-ups teruggezet kunnen worden, of dat er ingegaan moet worden op de eisen van de aanvallers. Als er systemen zijn overgenomen, wordt onderzocht of er klantgegevens geïnfecteerd zijn en of klanten hierover geïnformeerd moeten worden. In deze fase vindt er veel dagelijks overleg plaats met minimaal twee Incident Response-specialisten van Computest.
Stap 5. Voer de hersteloperatie uit
Bij de hersteloperatie gaan onze specialisten samen met de verantwoordelijke medewerkers van de organisatie aan de slag met het opnieuw installeren van systemen, het wijzigen van wachtwoorden en het eventueel informeren van klanten. Bij een ernstig datalek waarbij de organisatie inschat dat er een hoog risico is op eventuele impact voor betrokkenen zoals klanten en medewerkers, ondersteunen onze Incident Response-specialisten ook bij het melden van het lek bij de Autoriteit Persoonsgegevens (AP).
De organisatie bepaalt zelf het einddoel van deze hersteloperatie. Is de operatie voltooid als cruciale servers weer online zijn en de aanvallers geen toegang meer hebben? Of is de hersteloperatie pas afgerond als alle systemen weer volledig functioneren? Dit hangt af van de keuzes die de organisatie hierin maakt.
Stap 6. Evalueer het security-incident en kijk vooruit
Als hersteloperatie is afgerond en alle systemen weer draaien is het tijd om te evalueren en vooruitkijken. Onze Incident Response-specialisten stellen een rapport op met daarin het incident en ook de genomen stappen om de schade te herstellen worden beschreven.
Het is bij deze stap ook belangrijk om vooruit te kijken. Wat kan er gedaan worden om security-incidenten in de toekomst te voorkomen of in een eerder stadium te ontdekken?
Computest geeft daarbij ook advies over hoe de organisatie zijn incident response readiness kan verbeteren, bijvoorbeeld door het opstellen van een incident response-plan. Daarin staan de belangrijkste keuzes beschreven die gemaakt moeten worden bij een security-incident. Er staat onder andere in vermeld welke mensen verantwoordelijk zijn, waar de belangrijkste controlepunten in het netwerk zitten en naar welke data gekeken moeten worden bij een incident.
Over het Computest Incident Response team
Het Computest Incident Response team bestaat uit een dedicated team van acht incident response-specialisten die 24 uur per dag bereikbaar zijn voor hulp.
Deze incident response-specialisten zijn tevens ethical hackers. Daarom weten ze als geen ander hoe aanvallers denken en welke technieken gebruikt worden om toegang te krijgen tot netwerken en systemen. Dit is waardevolle kennis om snel en doelgericht de stappen van de aanvallers te reconstrueren. Indien nodig kan het Computest Incident Response team snel worden opgeschaald met andere security-specialisten van Computest.
Zelf een security-incident? Neem contact op met Computest Incident Response
Zelf een security-incident? Een security-incident kan elke organisatie overkomen en het oplossen ervan vereist specialistische kennis. Aarzel niet en bel Computest Incident Response.