Effectieve incident respons kan chaos na ransomware voorkomen

G_DATA_Campus_RGB_1

Een ransomware-infectie resulteert in chaos, verwarring en schade. En slechts weinig organisaties beschikken over goede procedures om op terug te vallen bij een aanval. Een efficiënt en effectief ingericht proces voor incident respons is echter essentieel. Het is veel goedkoper om vooraf een consultant in te huren die helpt bij het opstellen van een effectieve securitystrategie, dan met spoed externe hulp in te roepen wanneer zich daadwerkelijk een incident voordoet.

In beveiligingskringen is er een belangrijk gezegde: er zijn twee soorten bedrijven: diegenen die weten dat ze zijn aangevallen en diegenen die ook zijn aangevallen, maar dat nog niet weten. Met andere woorden: alle bedrijven krijgen vroeg of laat te maken met beveiligingsincidenten. Dus je kan er maar beter voor zorgen dat je voorbereid bent.

We kunnen de verantwoordelijke voor incident respons enigszins vergelijken met een brandweerman. Wanneer er een brandmelding binnenkomt, krijg hij in eerste instantie meestal maar zeer minimale informatie (‘Er is brand op adres X!’). Toch moet hij snel en effectief optreden om te voorkomen dat er slachtoffers vallen en de schade zoveel mogelijk te beperken. Daarvoor heeft die brandweerman essentiële informatie nodig, bijvoorbeeld:

  • Wat is er precies aan de hand?
  • Waar is de brandhaard precies?
  • Wat brandt er? (kunnen er gevaarlijke stoffen vrijkomen?)
  • Zijn er gewonden?
  • Zijn er nog mensen in het gebouw?

In feite moet bij een beveiligingsincident vergelijkbare informatie beschikbaar zijn:

  • Wat voor soort incident is het?
  • Welke systemen zijn getroffen?
  • Waar zit het lek of de besmetting precies?
  • Welke toepassingen of informatie lopen gevaar?
  • Waar liggen de prioriteiten?
  • Welke middelen heb ik tot mijn beschikking om de aanval of besmetting af te slaan?

Veel organisaties kunnen bovenstaande vragen bij IT-beveiligingsincidenten niet beantwoorden. Daarom is het belangrijk om de risico’s vooraf in kaart te brengen: welke schade kan een aanvaller veroorzaken? Daarbij is het zaak om een goede inschatting te maken en vooral om prioriteiten toe te kennen. Want als u alle mogelijke risico's tegelijkertijd zou willen aanpakken, wordt security een taak die simpelweg niet meer te overzien is. Om nog maar te zwijgen over het benodigde budget.

TIP - Leg de nadruk op risico's die een onmiddellijke en grote bedreiging vormen voor gegevens en systemen die essentieel zijn om producten of diensten te leveren. Richt hier de beveiligingsinspanningen op. Pak de overige risico’s in een later stadium aan.

IT-beveiliging – een afweging van de kosten

Als het op security aankomt, is het verstandig om experts in te schakelen. Die weten precies welke informatie nodig is om adequaat en tijdig op een incident te reageren. Zij kunnen mogelijke problemen detecteren en advies geven om dergelijke problemen juist te voorkomen. Een externe expert betekent natuurlijk een investering. Maar het is vaak veel goedkoper om vooraf een deskundige consultant in te schakelen en in samenwerking een goed stappenplan op te stellen, dan dit tijdens een incident halsoverkop te moeten doen. Er zijn cijfers beschikbaar die de gemiddelde financiële schade weergeven die een organisatie lijdt door een IT-incident. Voor Nederland bedraagt ​​de gemiddelde schade per geval in de MKB-sector bijvoorbeeld 86.500 euro.

TIP - Bepaal per afdeling de Maximaal Toelaatbare Downtime (MTD). Voor sommige afdelingen zal de maximaal toelaatbare downtime bijna nul zijn, afhankelijk van de impact als die afdeling stil komt te liggen. Voor afdelingen die niet cruciaal zijn kan deze tijd langer zijn. In het ziekenhuislab voor de intensive care is de maximaal toelaatbare downtime bijvoorbeeld bijna nul. Artsen hebben bij een ernstig ongeval immers binnen enkele minuten laboratoriumresultaten nodig. Daarom heeft dat lab voorrang tijdens een incidentreactie. Oncologielabs daarentegen kunnen een paar dagen vertraging tolereren.

De vraag moet ook zijn: hoe lang kan een bepaalde dienst uitvallen voordat de verkoopcijfers worden beïnvloed? Baseer uw beveiligingsstrategie hierop. Dit hangt af van het soort bedrijf: een niet werkende webshop richt beperkte schade aan op een dinsdagavond in juli, maar een veel grotere schade midden tijdens de feestdagen. Baseer uw beveiligingsstrategie hierop.

Eddy-Willems-G-Data-Software-Benelux-1-200x300 Als samenvatting volgen hieronder zes aanvullende tips voor een goede beveiligingsstrategie:

  1. Identificeer de typen incidenten waarop de organisatie zich wil voorbereiden;
  2. Zorg dat de directie het beveiligingsplan ondersteunt. Ondersteuning is meestal gemakkelijker te verkrijgen als aanvallen de media hebben gehaald, bijvoorbeeld Petya en Wannacry;
  3. Beoordeel bestaande beveiligingsconcepten en controleer of ze kunnen worden aangepast aan wat er in punt 1 is geïdentificeerd;
  4. Bekijk of bestaande securitysystemen en -processen nog effectief zijn;
  5. Wees kritisch op de informatie die medewerkers tijdens de inventarisatie geven en maak duidelijk dat het ontwikkelen van het beveiligingsplan geen prestatiebeoordeling is;
  6. Vraag gedetailleerde offertes aan van bedrijven die zich specialiseren in Incident Response and Handling. Een goede securitypartner waarop u kunt bouwen bespaart u veel ellende! Bouw een relatie op met die partner - dat bespaart veel tijd op de lange termijn.

Eddy Willems is security evangelist bij G DATA