Helaas nemen cyberin­ci­denten toe en is de schade die ze veroor­zaken vaak rampzalig voor de gedupeerde. Dit houdt in dat organi­sa­ties, als onder­deel van een alomvat­tende securi­ty­s­tra­tegie, zich niet alleen moeten concen­treren op het weren van dreigingen, maar ook moeten zorgen dat wanneer een dreiging daadwer­ke­lijk een incident wordt, ze er snel op kunnen reageren en ervan herstellen.

Bij voorbe­rei­ding gaat het om meer dan simpelweg een telefoon­nummer bellen en een externe partij om hulp vragen tijdens een incident, waarna zij het verder overnemen. Hoewel incident response — de processen en tools die worden gebruikt om een cyberin­ci­dent te identi­fi­ceren, in te dammen en op te lossen — in feite pas kan plaats­vinden op het moment dat er daadwer­ke­lijk iets aan de hand is, volgt een effec­tieve incident response-aanpak een cyclus, met proac­tieve, vooraf geplande onderdelen.

In die incident respons-cyclus maken planning en paraat­heid deel uit van de voorbe­rei­dings­fase. Het zijn twee essen­tiële onder­delen van een proac­tief incident response plan die ervoor zorgen dat een organi­satie gereed is om tijdens een incident een aanvaller tegen te houden.

Wat is incident response planning en hoe draagt het bij aan organisaties?

Een incident response plan bestaat uit een reeks instruc­ties voor zowel mensen van de organi­satie als voor externe partijen, die gevolgd moeten worden wanneer een incident zich voordoet. Deze instruc­ties zijn vaak afgestemd op speci­fieke scena­rio’s, zoals de stappen die genomen moeten worden bij een ransom­ware-aanval of bij een succes­volle business email-compromise.

Hoewel de IR-planning (incident response planning) varieert al naar gelang de opera­ti­o­nele behoeften, de mate van volwas­sen­heid van de security en de partners van elke organi­satie, zijn er vaak standaar­don­der­delen en templates, waaronder:

• Een formeel beleid over hoe een organi­satie moet reageren op speci­fieke scenario’s
• De rollen en verant­woor­de­lijk­heden van stake­hol­ders en van het incident response team
• Playbooks met basis­pro­ce­dures voor bepaalde aanval scenario’s
• Een commu­ni­ca­tie­plan, inclu­sief interne en externe commu­ni­catie met stake­hol­ders, het manage­ment, de politie, partners of zelfs de cyberverzekeraar

Een incident response plan kan bijvoor­beeld de volgende onder­delen bevatten:

• Wat is een standaard, staps­ge­wijze reactie op een speci­fieke aanvalsmethode?
• Wie is betrokken bij de response (van security engineers tot het commu­ni­ca­tie­team tot het management)?
• Wat is de verant­woor­de­lijk­heid van elk van deze personen (melden bij de politie, commu­ni­ceren met de pers, spreken met klanten en inves­teer­ders, etc.)?
• Wat is de staps­ge­wijze proce­dure voor het beperken en stoppen van speci­fieke aanvalsscenario’s (servers loskop­pelen, contact opnemen met digitale foren­si­sche partners)?

IR-planning is cruciaal voor een sterke incident response omdat het de reactie­tijd en de herstel­pe­riode kan verkorten, foren­sisch onder­zoek kan stroom­lijnen, kan helpen bij het identi­fi­ceren en infomeren van belang­rijke stake­hol­ders. Ook kan het helpen om de conti­nu­ï­teit van de bedrijfs­voe­ring te onder­steunen. Volgens het 2024 IBM Cost of a Data Breach Report kan een IR-plan en een IR-team de gemid­delde kosten van een cyberin­ci­dent vermin­deren met ruim €425,000.

Door best practices te defini­ëren kunnen organi­sa­ties zich beter verde­digen tegen zowel bekende als onbekende dreigingen, terwijl het bedrijf aan zakelijke partners – inves­teer­ders, aandeel­hou­ders, verze­ke­raars en execu­tives – laat zien dat de nodige stappen zijn onder­nomen om cyberrisico’s en poten­tiële schade zo veel mogelijk te minimaliseren.

Wat is Incident Readiness?

Incident readi­ness lijkt op IR-planning. Waar een IR-plan de aanpak is die bepaalt hoe een organi­satie reageert, zorgt incident readi­ness ervoor dat elk aspect van dat plan optimaal kan worden uitgevoerd 

IR-readi­ness omvat:

• Het ontwik­kelen van de comman­do­struc­tuur tijdens een incident en ervoor zorgen dat elke stake­holder precies weet wat hij/​zij moet doen
• Ervoor zorgen dat de playbook van de organi­satie compleet en getest is
• Ervoor zorgen dat de organi­satie de juiste cyber­ver­ze­ke­ring, juridisch advies en IR-provider heeft
• Het uitvoeren van penetra­tie­testen, tabletop-oefeningen en andere testmaat­re­gelen om je security en IR-plan verder te versterken
• Het beoor­delen en aanpakken van eventuele gaten in het security- en IR-plan

Een assess­ment is essen­tieel voor IR-readi­ness, omdat het zorgt voor inzicht en actie­punten die de security van de organi­satie verbe­teren. Een goed assess­ment omvat het testen en versterken van je infra­struc­tuur, processen en team.

DFIR en Incident Readiness

Digital Foren­sics and Incident Response Retainer Services (DFIR) zijn een ander mogelijk onder­deel van incident readi­ness. Deze diensten, die worden aange­boden en beheerd door externe partijen, zijn een goede optie voor organi­sa­ties die kleiner zijn, minder interne exper­tise hebben of een minder volwassen securi­ty­ni­veau hebben. DFIR-diensten zijn steeds vaker een vereiste voor veel cyber­ver­ze­ke­rings­po­lissen, waarbij Gartner stelt dat “cyber­ver­ze­ke­rings­po­lissen doorgaans vereisen dat organi­sa­ties een DFIR-retainer hebben om een minimaal niveau van paraat­heid te waarborgen en mogelijke verliezen te minimaliseren”.

Hoewel DFIR kan helpen bij de planning en paraat­heid, blijft de retainer compo­nent cruciaal voor real-time incident response. Deze diensten bieden meer end-to-end dekking.

Hoewel DFIR-diensten variëren per leveran­cier, is er een aantal standaard vereisten, zoals omschreven door Gartner. Daarbij gaat het onder andere om:

• Ontwerp en beoor­de­ling vooraf­gaand aan een incident
• Assis­tentie bij de response na een incident
• Vooraf betaalde retainers

Conclusie

Cyberin­ci­denten zijn inmid­dels vrijwel onver­mij­de­lijk en organi­sa­ties moeten daarom inzien dat een goede voorbe­rei­ding op incidenten essen­tieel is. Erg ingewik­keld is dat niet: een effec­tief incident response-plan, dat proac­tieve planning en paraat­heid omvat, kan ervoor zorgen dat de impact van cyber­aan­vallen aanzien­lijk wordt beperkt. Wacht daarom niet tot het zover is, maar ga nu aan de slag met die voorbereiding.