Table of Contents

De kunst van het reageren op incidenten: Beste praktijken en voorbeelden uit de praktijk

Incident response is een cruciaal onderdeel van de cyberbeveiligingshouding van een organisatie. Een effectieve incident response kan organisaties helpen de impact van beveiligingsincidenten te minimaliseren en de hersteltijd te verkorten. Het National Institute of Standards and Technology (NIST) heeft een kader ontwikkeld voor respons bij incidenten, bekend als NIST SP 800-61 Rev. 2. In dit artikel bespreken we de best practices voor incident response volgens NIST SP 800-61 Rev. 2 en stellen we enkele verbeteringen van de standaard voor.

Best practices voor incident response

NIST SP 800-61 Rev. 2 biedt een raamwerk voor incident response dat bestaat uit vier fasen: voorbereiding, detectie en analyse, insluiting, uitroeiing en herstel. Hieronder volgen enkele best practices voor elke fase van het incident response proces:

Voorbereidingsfase

  • Ontwikkel een incident response plan dat de rollen en verantwoordelijkheden van het incident response team, procedures voor het melden en afhandelen van incidenten en communicatiekanalen met externe partijen beschrijft.
  • Train en onderricht het incident response team over het incident response plan, inclusief de procedures voor het detecteren, rapporteren en reageren op incidenten.
  • Een lijst ontwikkelen en bijhouden van kritieke middelen en gegevens, met inbegrip van hun locatie, eigendom en gevoeligheidsniveau.

Detectie- en analysefase

  • Controleer het netwerk en de systemen op verdachte activiteiten en anomalieën.
  • Gebruik inbraakdetectie- en preventiesystemen om aanvallen op te sporen en te voorkomen.
  • Onderzoek verdachte activiteiten om te bepalen of het om een legitiem incident gaat.

Insluitingsfase

  • De getroffen systemen en netwerken isoleren om verspreiding van het incident te voorkomen.
  • Verzamelen en bewaren van bewijsmateriaal voor analyse en mogelijke juridische procedures.
  • Identificeer en beperk de hoofdoorzaak van het incident.

Uitroeiings- en herstelfase

  • De malware of andere kwaadaardige code van de getroffen systemen verwijderen.
  • Systemen en gegevens van back-ups herstellen.
  • Patch kwetsbaarheden die bij het incident zijn uitgebuit.

Verbeteringen aan NIST SP 800-61 Rev. 2

Hoewel NIST SP 800-61 Rev. 2 een nuttig kader biedt voor respons bij incidenten, zijn er enkele gebieden waarop het kan worden verbeterd. Hieronder volgen enkele voorgestelde verbeteringen:

1. 1. Informatie over bedreigingen opnemen

Informatie over bedreigingen is het verzamelen en analyseren van informatie over de tactieken, technieken en procedures (TTP’s) van bedreigers. Deze informatie kan worden gebruikt om beveiligingsincidenten doeltreffender op te sporen en erop te reageren. Informatie over bedreigingen kan worden verzameld uit verschillende bronnen, waaronder open bronnen, dark webfora en commerciële informatiebronnen over bedreigingen.

Door informatie over bedreigingen op te nemen in hun incidentbestrijdingsprocessen, kunnen organisaties incidenten beter opsporen en erop reageren. Als bijvoorbeeld bekend is dat een bedreiger een bepaald type malware of exploit gebruikt, kan bedreigingsinformatie organisaties helpen deze bedreigingen te identificeren en te blokkeren voordat zij schade kunnen aanrichten. Informatie over bedreigingen kan organisaties ook helpen bij het identificeren van indicators of compromise (IOC’s), die kunnen worden gebruikt om beveiligingsincidenten te detecteren en erop te reageren.

Er zijn verschillende manieren waarop organisaties informatie over bedreigingen kunnen opnemen in hun incidentbestrijdingsprocessen. Organisaties kunnen zich bijvoorbeeld abonneren op commerciële informatiebronnen over bedreigingen, die actuele informatie bieden over bekende bedreigingen en kwetsbaarheden. Organisaties kunnen ook gebruikmaken van informatie uit open bronnen om informatie over bedreigers en hun TTP’s te verzamelen. Tot slot kunnen organisaties platforms voor informatie over bedreigingen gebruiken om het verzamelen en analyseren van informatie over bedreigingen te automatiseren.

De cyberaanval op het Oekraïense elektriciteitsnet in 2015 was bijvoorbeeld een geraffineerde en gecoördineerde aanval met aangepaste malware en gericht op industriële besturingssystemen (ICS). De aanval werd toegeschreven aan een dreigingsactor die bekend staat als SandWorm en die tot dan toe onbekend was. Door de bij de aanval gebruikte malware te analyseren, konden cyberbeveiligingsonderzoekers echter verschillende IOC’s identificeren waarmee toekomstige aanvallen van SandWorm kunnen worden opgespoord en beantwoord.

Door informatie over bedreigingen te integreren in incidentbestrijdingsprocessen kunnen organisaties hun cyberbeveiligingspositie in de loop der tijd verbeteren. Door informatie over bedreigingen te analyseren en patronen en trends vast te stellen, kunnen organisaties zwakke plekken in hun beveiligingsinfrastructuur opsporen en maatregelen nemen om hun verdediging te verbeteren.

2. Benadruk het belang van communicatie

Effectieve communicatie is essentieel voor een succesvolle respons op incidenten. Communicatiekanalen en -procedures moeten van tevoren worden vastgesteld om ervoor te zorgen dat belanghebbenden worden geïnformeerd en op de hoogte worden gehouden van de status van het incident. Dit omvat interne communicatie binnen het incidentbestrijdingsteam en communicatie met externe belanghebbenden, zoals hoger management, juridisch adviseurs, rechtshandhavers en klanten.

Het incident response plan moet de communicatiekanalen en -procedures beschrijven die tijdens een incident zullen worden gebruikt. Zo moet worden vastgesteld wie verantwoordelijk is voor de communicatie met interne en externe belanghebbenden, hoe vaak updates worden gegeven en welke informatie wordt gedeeld. Duidelijke en beknopte communicatie kan belanghebbenden helpen weloverwogen beslissingen te nemen en de juiste maatregelen te treffen tijdens een incident.

Tijdens een ransomware-aanval bijvoorbeeld is communicatie van cruciaal belang voor het coördineren van de respons en het bepalen van de beste aanpak. Interne communicatie binnen het incident response team is noodzakelijk om ervoor te zorgen dat alle leden op de hoogte zijn van de laatste informatie en dat iedereen naar een gemeenschappelijk doel toewerkt. Externe communicatie met het hoger management is essentieel om hen op de hoogte te houden van het incident en de gevolgen voor de organisatie. Communicatie met wetshandhavers is ook belangrijk voor het melden van het incident en het verkrijgen van advies over hoe te handelen.

Naast het schetsen van communicatiekanalen en -procedures moet het incident response plan ook ingaan op het belang van het documenteren van alle communicatie met betrekking tot het incident. Dit omvat het bijhouden van logboeken van telefoongesprekken, e-mails en andere vormen van communicatie, en het documenteren van beslissingen die tijdens het incidentbestrijdingsproces zijn genomen.

Effectieve communicatie is niet alleen belangrijk tijdens het incident response proces, maar ook tijdens de post-incident analyse fase. Nadat een incident is opgelost, moeten de belanghebbenden worden geïnformeerd over de lessen die zijn geleerd en over eventuele wijzigingen die zullen worden aangebracht om het incidentbestrijdingsproces in de toekomst te verbeteren.

Door het belang van communicatie in het incident response plan te benadrukken, kunnen organisaties ervoor zorgen dat belanghebbenden worden geïnformeerd en betrokken bij het incident response proces, wat kan helpen om de impact van beveiligingsincidenten te minimaliseren en de hersteltijd te verkorten.

3. Geef richtlijnen voor de analyse na een incident

Analyse na een incident is een essentieel onderdeel van een doeltreffende respons op een incident. Het gaat om een grondig onderzoek van het incident en de respons om vast te stellen welke lessen zijn geleerd en welke gebieden voor verbetering vatbaar zijn. Door een post-incidentanalyse uit te voeren, kunnen organisaties hiaten in hun incidentbestrijdingsprocessen vaststellen en stappen ondernemen om hun algemene beveiligingshouding te verbeteren.

De analyse na een incident moet zo snel mogelijk na het incident beginnen. Het incidentbestrijdingsteam moet gegevens verzamelen en het incident en de reactie erop documenteren. Dit omvat het documenteren van de tijdlijn van het incident, de acties die tijdens de respons zijn ondernomen en alle communicatie over het incident.

Nadat de eerste gegevens zijn verzameld, moet het incident response team een root cause analyse uitvoeren om de onderliggende oorzaak van het incident te identificeren. Hierbij kunnen logboeken worden doorgenomen, systeemconfiguraties worden onderzocht en kwetsbaarheden worden beoordeeld. De oorzakenanalyse moet eventuele lacunes in het incidentbestrijdingsproces vaststellen en aanbevelingen voor verbetering doen.

Zodra de analyse van de hoofdoorzaak is voltooid, moet het incidentbestrijdingsteam een rapport na het incident opstellen met een samenvatting van het incident en de respons, de hoofdoorzaak en aanbevelingen voor verbetering. Het rapport na het incident moet worden gedeeld met het senior management, het incidentbestrijdingsteam en andere belanghebbenden.

Zo heeft het bedrijf na het datalek bij Equifax in 2017 een analyse na het incident uitgevoerd om de geleerde lessen en verbeterpunten vast te stellen. Uit de analyse kwamen verschillende gebieden naar voren waarop het incidentresponsproces kon worden verbeterd, waaronder de behoefte aan betere patchbeheerprocessen en betere communicatiekanalen tijdens een incident.

NIST SP 800-61 Rev. 2 kan organisaties helpen hun incidentbestrijdingsprocessen in de loop der tijd te verbeteren door meer richtsnoeren te geven voor de analyse na een incident. De leidraad moet best practices bevatten voor het uitvoeren van een analyse na een incident, zoals het identificeren van de hoofdoorzaak van het incident, het documenteren van het incident en de respons, en het doen van aanbevelingen voor verbetering. De leidraad moet ook het belang benadrukken van het gebruik van de analyse na het incident om het proces van incidentbestrijding voortdurend te verbeteren.

Voorbeelden van incidentbestrijding in de praktijk

1. Gegevensinbreuk bij Equifax

In 2017 werd Equifax getroffen door een massaal datalek dat meer dan 143 miljoen klanten trof. Het incident werd veroorzaakt door een kwetsbaarheid in de IT-systemen van het bedrijf. Het incident response plan van Equifax was ontoereikend en het bedrijf ontdekte de inbreuk pas na enkele maanden. De inbreuk werd veroorzaakt door een kwetsbaarheid in een door Equifax gebruikt open-source softwarepakket.

Toen de inbreuk eenmaal was ontdekt, nam Equifax maatregelen om het incident in te dammen en te beperken. Het bedrijf schakelde de getroffen systemen uit en huurde een extern forensisch onderzoeksbureau in om een onderzoek uit te voeren. Uit het onderzoek bleek dat de inbreuk was veroorzaakt doordat een bekende kwetsbaarheid in het open-source softwarepakket niet was verholpen.

Equifax nam maatregelen om het incident te verhelpen en te herstellen door nieuwe beveiligingsmaatregelen te treffen, gratis kredietbewaking aan te bieden aan getroffen klanten en miljoenen dollars aan schikkingen en boetes te betalen.

2. NotPetya Ransomware-aanval

In 2017 trof de NotPetya ransomware-aanval bedrijven over de hele wereld en veroorzaakte miljarden dollars schade. De aanval werd verspreid via een software-update voor een populair boekhoudpakket. De aanval gebruikte een combinatie van bekende kwetsbaarheden en aangepaste malware om zich door netwerken te verspreiden en gegevens te versleutelen.

Organisaties die over effectieve incidentbestrijdingsplannen beschikten, konden de aanval snel identificeren en indammen. Scheepvaartgigant Maersk was bijvoorbeeld in staat om geïnfecteerde systemen te isoleren en de activiteiten binnen enkele dagen te herstellen. Veel organisaties waren echter niet voorbereid en leden aanzienlijke schade als gevolg van de aanval.

3. SolarWinds Supply Chain-aanval

In 2020 werden meerdere overheidsinstellingen en particuliere organisaties getroffen door een ketenaanval op SolarWinds, een softwareleverancier. De aanval werd uitgevoerd door een door een staat gesponsorde groep die malware in een software-update voor het Orion-product van SolarWinds plaatste.

Organisaties met effectieve incidentbestrijdingsplannen konden de aanval snel identificeren en indammen. Het Cybersecurity and Infrastructure Security Agency (CISA) van het Department of Homeland Security gaf bijvoorbeeld een noodrichtlijn uit waarin federale agentschappen werden geïnstrueerd de verbinding met getroffen SolarWinds Orion-producten te verbreken. Ook particuliere organisaties ondernamen stappen om getroffen systemen te identificeren en te verwijderen.

4. Colonial Pipeline Ransomware-aanval

In mei 2021 werd Colonial Pipeline, een grote exploitant van brandstofpijpleidingen in de Verenigde Staten, getroffen door een ransomware-aanval die een tijdelijke afsluiting van de pijpleiding veroorzaakte. De aanval werd uitgevoerd door een cybercriminele groep die bekend staat als DarkSide.

Dankzij het incident response plan van Colonial Pipeline kon het bedrijf de aanval snel identificeren en indammen. Het bedrijf sloot zijn pijpleiding uit voorzorg af en huurde een extern forensisch onderzoeksbureau in om een onderzoek uit te voeren. Het bedrijf communiceerde ook met federale instanties en andere belanghebbenden om de reactie te coördineren.

5. Microsoft Exchange Server Kwetsbaarheid

Begin 2021 werden meerdere zero-day kwetsbaarheden ontdekt in Microsoft Exchange Server, een populair e-mail- en samenwerkingsplatform. Door de kwetsbaarheden konden aanvallers toegang krijgen tot gevoelige gegevens van getroffen systemen en deze stelen.

Organisaties met effectieve incident response plannen konden de kwetsbaarheden snel identificeren en patchen. Microsoft bracht patches uit voor de kwetsbaarheden en organisaties kregen het advies om de patches onmiddellijk toe te passen. Veel organisaties waren echter traag met het patchen van hun systemen, waardoor ze kwetsbaar bleven voor aanvallen.

Conclusie

Voorbeelden uit de praktijk van incident response tonen het belang aan van effectieve incident response planning en voorbereiding. Door best practices te volgen en incident response processen voortdurend te verbeteren, kunnen organisaties beter voorbereid reageren op beveiligingsincidenten en hun bedrijfsmiddelen en gegevens beschermen. De in dit artikel besproken incidenten, waaronder de Equifax data breach, NotPetya ransomware attack, SolarWinds supply chain attack, Colonial Pipeline ransomware attack en Microsoft Exchange Server vulnerability, benadrukken de evoluerende aard van cybersecurity bedreigingen en het belang van het handhaven van een proactieve en effectieve incident response strategie.