Waar moet een effectief incident response plan aan voldoen?

Waar moet een effectief incident response plan aan voldoen?

Door André Noordam, AVP Solutions Engineering EMEA North, SentinelOne

Het hebben van een sterke incident response-strategie is een cruciale verdedigingslinie die organisaties hebben tegen dreigingsactoren. Afhankelijk van het type incident en de impact ervan op de beoogde organisatie, maken veel factoren deel uit van het incident response-proces. Hoewel er niet één manier is om een incident ​​response plan voor cyberincidenten op te stellen, zijn er veel belangrijke elementen die beveiligingsleiders kunnen gebruiken om de cyberparaatheid van organisaties te vergroten.

Het ‘waarom’ achter cyberbeveiliging

De incident response-cyclus bestaat uit het detecteren en identificeren van een cyberdreiging, gevolgd door mitigatie of inperking, analyse en reflectie op de geleerde lessen. Bij het plannen van de reactie op cyberincidenten zorgt het begrijpen van het ‘waarom’ achter cyberbeveiliging voor een sterke basis waarop leiders strategieën, beleid en processen kunnen bouwen. Om de benadering van incident response uit te werken gebruiken we de Golden Circle van Simon Sinek. Het model van Sinek bestaat uit de volgende drie vragen in deze volgorde: Waarom? Hoe? Wat? Het beginnen met ‘waarom’ stelt teams in staat om een ​​proactieve benadering van incident response te hanteren in plaats van een reactieve benadering.

  • Waarom hebben we cybersecurity nodig in de organisatie?
  • Hoe kunnen we dat doen?
  • Wat doet dat met het bedrijfsleven?

Leg de verantwoordelijkheden van het incident response team vast

Het collectieve doel van een incident response team is om de verstoring en verliezen tot een minimum te beperken door een incident tijdig te identificeren en zo snel mogelijk op een effectieve manier te beperken. Zo’n team bestaat doorgaans uit experts van verschillende bedrijfsonderdelen. Zij zijn meestal verantwoordelijk voor de volgende kerntaken:

  • Vaststellen van processen, plannen en procedures – Op basis van het vooraf vastgestelde ‘waarom’ kunnen incidentprioriteringsmatrices en draaiboeken worden gemaakt op basis van waarschijnlijke beveiligingsscenario’s.
  • Een incident response-inventaris bijhouden – Teams moeten op de hoogte zijn van trending cyberdreigingen en zichzelf op de hoogte houden van alle kritieke bedrijfsmiddelen binnen de organisatie.
  • Incidentanalyse – Teams evalueren en monitoren regelmatig op indicatoren van compromissen en verzamelen data voor analyse. Tijdens incidenten is het team verantwoordelijk om te bepalen of ondersteuning van derden nodig is om de dreiging in te dammen. Een Security Operations Center (SOC)-team speelt hierin een sleutelrol.
  • Communicatie en rapportage – Teams volgen vooraf vastgestelde kanalen voor communicatie tijdens en na een beveiligingsincident. Volgens de gedefinieerde verantwoordelijkheden kan interne en externe communicatie worden afgehandeld door het incident response-team onder leiding van de juridische en PR-teams.

Bepaal de betrokkenheid van interne en externe partijen

Een veel voorkomende misvatting is dat de reactie op incidenten beperkt is tot IT- en beveiligingsteams en dat er geen andere partijen actief betrokken zijn bij het afhandelen van een cyberincident. Voor een sterke en samenhangende inspanning voor incident response werken teams het beste als ze weten wanneer ze de belangrijkste contactpersonen van andere afdelingen moeten betrekken om het plan uit te voeren.

  • Interne afhankelijkheden – Interne afhankelijkheden verwijzen naar de communicatie tussen het incidentresponsteam en vertegenwoordigers van IT, Fysieke beveiliging, Juridische zaken, Risicobeheer, Human Resources, Public & Media Relations, Raad van Advies en elk ander toepasselijk afdelingshoofd.
  • Externe afhankelijkheden – Bij externe afhankelijkheden zijn niet-werknemers en niet-eigenaren van het bedrijf betrokken. Deze groep verwijst naar klanten, verkopers, externe incident response-partners, aanbieders van cyberverzekeringen, juridische vertegenwoordiging, regelgevende instanties en wetshandhavers.

Conclusie

Een succesvolle reactie op incidenten vereist samenwerking tussen de interne en externe partijen van een organisatie. Aangezien incident response-teams werken aan het verkorten van de time-to-containment, is het essentieel voor organisaties om holistisch na te denken over het incident response-proces. Een top-downbenadering waarbij senior leiderschap een cultuur van sterke beveiliging aanmoedigt, zorgt ervoor dat elke afdeling hun steentje bijdraagt in geval van een cyberincident.

Lees ook:
  • Waarom de publieke sector steeds vaker doelwit is van cyberaanvallen
  • Sandworm meest gebruikte malware in oorlog Oekraïne