Vier stappen om gevolgen datalekken en andere beveiligingsincidenten te verkleinen

Het kan maanden of zelfs jaren duren om het vertrouwen en de bedrijfsreputatie te herstellen. Wat de zaken er niet beter op maakt is dat cybercriminelen gebruikmaken van nieuwe technieken om detectie te omzeilen. Datalekken kunnen hierdoor lang onopgemerkt blijven. Het duurt gemiddeld 209 dagen voordat een incident wordt gedetecteerd. Dit beidt cybercriminelen ruim de tijd om binnen je netwerk rond de snuffelen en informatie naar buiten te smokkelen. Bovendien kan het ruim een maand duren om grondig onderzoek naar een datalek te verrichten en alle betrokken systemen volledig te herstellen.

Een goede voorbereiding kan de kosten van een datalek echter fors terugdringen. De onderstaande  maatregelen zijn essentieel bij het opstellen van een effectieve security-strategie.

De vier noodzakelijke stappen zijn:

1-Voorbereidingen treffen voor datalekken en beveiligingsincidenten

Een effectieve voorbereiding zal een einde maken aan verwarring in noodsituaties, zodat er geen fouten worden gemaakt of dingen over het hoofd worden gezien. De eerste stap is het samenstellen van een incidentresponsteam. Dit team zou niet alleen moeten bestaan uit IT-medewerkers en beveiligingsconsultants, maar ook uit managers, medewerkers van de juridische en communicatieafdeling, vertegenwoordigers van de politie enzovoort. Elk teamlid kan cruciale inzichten bijdragen die in de voorbereidingen moeten worden meegenomen.

Het is ook belangrijk om binnen dit team een commandostructuur op te zetten, zodat de incidentrespons nauwgezet kan worden gecoördineerd. Elk teamlid moet kennis hebben van diens rol en verantwoordelijkheden en voldoende gezag om beslissingen te kunnen nemen.

Naast de juiste technologie voor het detecteren van datalekken is het belangrijk om van tevoren de benodigde security-appliances te identificeren. Veel van deze hardwareoplossingen moeten buiten het netwerk worden ingezet, zodat de integriteit ervan niet kan worden aangetast door een ransomware-besmetting of vergelijkbare aanval. Het is ook belangrijk om regelmatig back-ups te maken en die op een externe locatie op te slaan. Verder moeten er oefeningen met het herstellen van data worden gehouden, zodat het opnieuw in de lucht krijgen van systemen na een beveiligingsincident soepel en zonder problemen verloopt.

Om vast te kunnen stellen welke technologie nodig is, moet je inzicht hebben in de typen data en de informatiestromen binnen je IT-omgeving. Daarnaast moet je bedrijfskritische processen en de IT-systemen die daaraan ten grondslag liggen in kaart brengen. Uiteraard kun je niet alles beschermen en monitoren. Richt je focus daarom op datgene wat er werkelijk toe doet. Het is enorm belangrijk om daarbij vast te stellen of data onder een bepaalde regelgeving valt. Gereguleerde organisaties moeten officiële processen voor het documenteren en melden van een datalek in hun strategie voor incidentrespons opnemen.

2-Detectie en analyse van datalekken

Een van de grootste uitdagingen is een beperkt overzicht op het netwerk en al zijn vertakkingen. Daarom zijn er oplossingen nodig voor de detectie van afwijkend gedrag, en die moeten bovendien in staat zijn om informatie met elkaar uit te wisselen. Dit is nodig voor de detectie van gebeurtenissen die normaliter onder de radar zouden plaatsvinden.

Dit vraagt om geïntegreerde beveiligingstools en een centraal systeem dat gegevens analyseert en met elkaar in verband brengt. Waar mogelijk moeten network operation center (NOC)- en security operation center (SOC)-activiteiten hecht met elkaar worden geïntegreerd. De beveiligingssystemen kunnen netwerkgegevens op die manier effectiever in real time analyseren op verdacht gedrag.

Je incidentresponsteam moet de volgende voorbereidingen treffen voor datalekken en beveiligingsincidenten:

• Data: Zorg ervoor dat je snel kunt bepalen welke data en IT-bronnen zijn getroffen en welke bedrijfskritische processen daarbij betrokken zijn. Controleer alle systemen, logbestanden en transacties op indicators of compromise (IOC’s).
• Compliance: Breng in kaart aan welke eisen van de wet- en regelgeving er moet worden voldaan. Omdat de meeste datalekken lange tijd onopgemerkt blijven, moeten alle bedrijfskritische data en logbestanden minimaal een jaar lang op een externe offline locatie worden opgeslagen.
• Autoriteiten: Bepaal of het nodig is om de autoriteiten in te schakelen, zoals de politie en toezichthouders. Dit is met name belangrijk voor organisaties in een gereguleerde sector. Want er kunnen op basis van de GDPR forse boetes worden opgelegd aan organisaties die nalaten om een datalek tijdig te melden.
• Bewijs: Bewaar bewijsmateriaal voor het geval een beveiligingsincident juridische problemen oplevert. Als je de politie hebt betrokken in de voorbereidingen, zal het in stand houden van de digitale plaats delict al deel uitmaken voor je plan voor incidentrespons. En dat maakt het bewijsmateriaal toelaatbaar voor de rechtbank.
• Quarantaine en redundantie: Gehackte en met malware besmette systemen moeten in quarantaine moeten worden gezet om verdere verspreiding te voorkomen. Dit houdt in dat er redundante systemen beschikbaar moeten zijn, zodat er forensische analyses kunnen worden uitgevoerd voor de getroffen systemen.
• In kaart brengen van de aanvalsketen: Er moeten tools beschikbaar zijn waarmee je een aanvalstraject naar het oorspronkelijke ingangskanaal kunt herleiden. Hiertoe moet je vaststellen welke malware werd gebruikt en hoe lang de aanval gaande was. Vervolgens moet elk apparaat dat deel uitmaakte van het aanvalstraject worden geanalyseerd. Vergeet niet om aan de hand van indicators of compromise te analyseren of de integriteit van andere apparaten is aangetast.
• Training: Ook werknemers zonder IT- of security-functie moeten cyber awareness-training krijgen. Op die manier weten zij hoe ze op juiste wijze met beveiligingsincidenten moeten omgaan en hoe ze die kunnen helpen voorkomen.

3- Indammen, uitroeien en herstellen

Je kunt voorkomen dat cyberbedreigingen zich een weg door het netwerk banen door het principe van zero trust toegang te hanteren en gebruik te maken van intent-based segmentatie. Dat laatste houdt in dat je een logische scheiding aanbrengt tussen systemen, apparaten en data in aansluiting op de specifieke beveiligingsbehoeften van je organisatie. Dit is van cruciaal belang om verdere verspreiding te voorkomen.

Gedetecteerde malware en andere cyberbedreigingen moeten met wortel en tak uit het netwerk worden verwijderd. Het kan echter moeilijk zijn om alle elementen daarvan te identificeren als cybercriminelen gebruikmaken van technieken die gedeelde bibliotheken, applicaties, code of bestanden wijzigen. Of als ze misbruik maken van de aanwezige systeemtools, een techniek die living off the land wordt genoemd. Er zijn daarom maatregelen voor een snelle indamming van bedreigingen nodig om te voorkomen dat cybercriminelen systemen opnieuw hacken of besmetten. Dat is mogelijk door de bedreigingsinformatie die tijdens de eerste stappen werd verzameld te gebruiken als uitgangspunt voor het snel verhelpen van de problemen die tot het beveiligingsincident leidden. Dat kan bijvoorbeeld gaan om het opnieuw configureren van apparatuur, het installeren van een ontbrekende patch of het resetten van uitgelekte wachtwoorden.

Zodra een beveiligingsincident onder controle is, moet er herstel plaatsvinden op basis van schone back-ups. Teams die verantwoordelijk zijn voor het gegevensherstel moeten in staat zijn om bedrijfskritische systemen zo snel mogelijk in de lucht te krijgen. Het is belangrijk om er rekening mee te houden dat het lastig kan zijn om ingebedde bedreigingen volledig uit te roeien, zeker als die speciaal zijn ontwikkeld om detectie te omzeilen. Het is daarom altijd een goed idee om enkele weken na het herstel van een beveiligingsincident intensiever te monitoren op afwijkend gedrag. Dit is nodig om er zeker van te zijn dat de cyberbedreiging volledig is uitgeroeid.

4- Nazorg: inzicht en overzicht

Voorkomen dat een beveiligingsincident zich herhaalt omvat een veel langduriger proces. De leringen die uit het incident worden getrokken moeten hun neerslag vinden in beveiligingsregels. Getroffen systemen moeten worden hersteld, alle verborgen malware moet worden opgespoord en verwijderd, en geconstateerde kwetsbaarheden moeten overal binnen het netwerk worden verholpen.

Dat betekent dat je naast je beveiligingsoplossingen ook je mensen en processen kritisch onder de loep moet nemen. Welke ontbrekende beveiligingscomponenten hadden het incident kunnen detecteren? Welke processen werden erdoor verstoord? Welke ontbrekende vaardigheden hadden de detectie van een datalek of het herstel van een beveiligingsincident kunnen bespoedigen? De antwoorden op deze vragen kunnen inhouden dat je je beveiligingsarchitectuur moet aanvullen met nieuwe tools, ineffectieve systemen moet opwaarderen of vervangen en essentiële beveiligingsmedewerkers aanvullende training moet bieden.

Overzicht is in dit kader onontbeerlijk. Vaak vallen er kritieke gaten tussen uiteenlopende beveiligingssystemen. Je zult dus moeten nagaan waar de communicatie tussen deze systemen stokte. Een gebeurtenis die door één apparaat wordt opgemerkt en vervolgens niet in verband wordt gebracht met een gebeurtenis die door een ander apparaat werd gedetecteerd, of waarvoor geen tegenmaatregelen in werking treden kan resulteren in een ernstig beveiligingsincident dat maandenlang onopgemerkt blijft. Inzicht en overzicht zijn én blijven essentieel om de gevolgen van datalekken en andere incidenten binnen de perken te houden.

Vincent Zeebregts is country manage Fortinet Nederland