Terugblik
In deze blog ga ik het hebben over de laatste fasen van het Cybersecurity model: acteren en herstellen. Daarbij kijken we eerst even heel kort terug om alles in context te plaatsen.
De vorige blogs kun je hier vinden:
Ransomware – uitgelegd
Ransomware – bescherming en detectie
Ransomware – maatregelen
Als we kijken naar het Cybersecurity model van NIST dan weten we dat een goede beveiliging bestaat uit verschillende fasen.
Je moet er tegenwoordig helaas van uitgaan dat aanvallen aan de orde van de dag zijn. En dat het een kwestie van tijd is voordat je er zelf mee te maken krijgt. Daarom is het belangrijk om bedreigingen snel te kunnen identificeren om je ertegen te kunnen verdedigen. Identificeren en beschermen zijn de eerste twee fasen.
Het is niet mogelijk om je tegen alle mogelijke aanvallen te beschermen. Aanvallers zullen vrijwel zeker in staat zijn zich toegang te verschaffen tot de systemen en netwerken van je organisatie. Immers, 100% beveiliging bestaat niet en je moet er dus van uitgaan dat je beschermingsmaatregelen maar tot op zekere hoogte effect hebben. Daarvoor hebben we de volgende fase volgens het Cybersecurity model van NIST: detectie.
Wanneer een beveiligingsincident zich voordoet wil je dat natuurlijk zo snel mogelijk weten. Daarom maken we gebruik van beveiligingsstandaarden, zoals CIS Benchmarks en houden we onze systemen up-to-date met de laatste beveiligingspatches. En houden we logs bij en stellen we alarmregels in. Zodat we tijdig worden gewaarschuwd als een aanvaller onverhoopt toch voet aan de grond krijgt binnen de organisatie. En, niet onbelangrijk, dat we ook bewijslast hebben.
Detectie is echter niet genoeg. Natuurlijk wil je weten wanneer je beveiligingsmaatregelen onvoldoende blijken te zijn. Maar je moet wel in staat zijn om adequaat te reageren op een incident om een mogelijke aanval zo snel mogelijk een halt toe te roepen. Dat is de fase acteren. Wat doe je op het moment dat zich een beveiligingsincident voordoet.
Vervolgens wil je zo snel mogelijk herstellen en eventuele gaten in je beveiliging dichten om een aanval in de toekomst te voorkomen. Dat is de laatste fase: herstellen.
Acteren en herstellen kan alleen met een goede planning. Het zijn geen zaken die je pas gaat doen als je aangevallen wordt, of erger, al aangevallen bent. Je wilt er ook zeker van zijn dat de acties die je uitvoert het gewenste effect hebben. Dat bereik je alleen door jezelf goed voor te bereiden. Wat moet je doen als je aangevallen wordt. En wat moet je doen om van een aanval te herstellen. We praten dan feitelijk over incident response.
Incident Response
Incident response is het proces dat beschrijft hoe een organisatie omgaat met een incident en de gevolgen ervan. Het is altijd raadzaam om een plan te hebben zodat er gecoördineerd actie genomen kan worden wanneer een incident plaatsvindt: het Incident Response Plan.
Een Incident Response Plan (IRP) kan worden omschreven als een set instructies om medewerkers te helpen om beveiligingsincidenten te detecteren, hierop te reageren en mogelijke schade te herstellen. Bijvoorbeeld in het geval van een verstoring, een data lek of cyber aanval. Dus ook ransomware. Met als doel snel, kalm en adequaat te kunnen reageren om schade zoveel mogelijk te beperken en herstelwerkzaamheden te minimaliseren.
Incident response kan schematisch als volgt worden weergegeven:
Er worden een aantal fasen benoemd. Duidelijk is hierbij te zien dat de fasen van invloed zijn op elkaar en iteratief werken. De fasen worden hier in volgorde weergegeven. In de praktijk kunnen fasen ook parallel aan elkaar lopen, afhankelijk van de omstandigheden. Hieronder worden de verschillende fasen nader toegelicht.
Voorbereiding
De voorbereidingsfase is erg belangrijk. Eigenlijk worden in de voorbereidingsfase alle andere fasen uitgedacht en vastgelegd. De uitkomst van deze voorbereiding is het Incident Response Plan. In dit plan komen alle fasen terug. Om het plan te maken is het zinvol een team samen te stellen: het Cyber Incident Response Team (CIRT). Dit team bevat medewerkers met verschillende vaardigheden. Denk bijvoorbeeld aan communicatie, beveiliging, techniek, analyse en juridisch.
Het Incident Response Plan is opgebouwd uit een aantal elementen. Deze elementen beschrijven samen hoe incident response is ingebed binnen de organisatie. Cyber security kan worden gezien als een landschap dat continue aan verandering onderhevig is. Het plan moet dan ook gezien worden als een levend document dat kan worden aangepast op nieuwe inzichten en lessons learned.
Een leuk feitje: zo’n IRP kan ook een positief effect hebben op je organisatie. Denk hierbij aan bescherming van bedrijfsdata, kostenreductie en mogelijk zelfs een betere reputatie.
Identificatie & Analyse
Wanneer een incident zich voordoet moet het geïdentificeerd en geanalyseerd worden. Het Incident Response Plan moet in actie komen. Tijdens de voorbereiding is vastgelegd wat te doen in het geval van een incident. De scope en impact dienen bepaald te worden.
Maak hiervoor gebruik van de 5 W’s en 1 H: Wie, Wat, Wanneer, Waar, Waarom & Hoe.
Tijdens de voorbereiding worden zoveel mogelijk verschillende scenario’s benoemd. Voor elk van deze scenario’s worden procedures gemaakt. Deze procedures beschrijven welke handelingen uitgevoerd moeten worden in de verschillende fasen. Om de verschillende scenario’s te benoemen kan het uitermate zinvol zijn dit te doen vanuit verschillende disciplines. Niet alleen vanuit de techniek, maar zeker ook vanuit functie. Als IT-medewerker weet je misschien niet wat de impact van een bepaalde applicatie op bedrijfsprocessen is. Medewerkers die zo’n applicatie dagelijks nodig hebben om hun werk uit te kunnen voeren wel.
Of maak een scenario vanuit de gedachte “Hoe kan ik onze organisatie zoveel mogelijk schade toebrengen?”. Dat kan een heel goed beeld geven van de kwetsbaarheid van je organisatie. En dus belangrijke informatie om in de voorbereiding van je IRP mee te nemen. Ofwel: hoop op het beste maar bereid je voor op het ergste.
Voor analyse kan worden vastgelegd dat bepaalde logs moeten worden geraadpleegd en dat specifieke controles moeten worden uitgevoerd. Bijvoorbeeld op bedrijfsdata. Of afwijkend netwerkverkeer tussen systemen.
In deze fase is het belangrijk bewijslast te verzamelen met betrekking tot het incident. Dit kan later noodzakelijk zijn voor verdere analyse. Of voor de verzekering die je mogelijk hebt afgesloten. Hoe deze bewijslast verzameld en vastgelegd dient te worden moet in de procedures zijn vastgelegd. In deze fase wordt vaak specialistische hulp in de vorm van forensische specialisten ingeschakeld.
Beperken & beheersen
Zodra we weten wat er aan de hand is en we hebben het incident geanalyseerd gaan we over tot schadebeperking. Ook deze stap moet in een procedure zijn vastgelegd. Immers, het is niet altijd zo dat schade beperkt wordt door systemen uit te schakelen of netwerkverbindingen te verbreken. Zeker in het geval van ransomware kan dit soms juist meer schade veroorzaken. Als de aanvaller merkt dat je bezig bent de aanval tegen te houden kan deze besluiten je data dan maar te vernietigen. Of je systemen zodanig te beschadigen dat ze niet eenvoudig hersteld kunnen worden.
Het doel van deze fase is de schade te beperken en de situatie te beheersen, voor zover mogelijk. Daarbij is het ook hier belangrijk bewijslast zoveel mogelijk in stand te houden. Een geïnfecteerde computer wissen en opnieuw installeren is in dat opzicht niet altijd de juiste keus, daarmee is je bewijslast mogelijk ook weg.
Eliminatie & herstel
In deze fase is de aanval gestopt en kunnen we overgaan tot herstel van de getroffen systemen. Afhankelijk van de scope van de aanval kan dit een langdurige fase zijn waarbij (alle) systemen opnieuw moeten worden opgebouwd. Het kan voorkomen dat een aanvaller nog steeds toegang heeft tot bepaalde systemen. Of dat er nog malware is achtergebleven die weer geactiveerd kan worden. Denk hierbij ook zeker aan backups. Soms zijn aanvallers al zo lang op een omgeving aanwezig dat ook backups gecompromitteerd zijn. Wat het herstel van de omgeving, en de bedrijfsdata dan veel moeilijker maakt.
Bij ransomware aanvallen wordt er dan ook vaak voor gekozen een omgeving helemaal opnieuw op te bouwen. Zodat we zeker weten dat er niets van de aanval kan zijn achtergebleven. Dit kan een enorme impact op de organisatie hebben, zeker als het een wat grotere organisatie betreft. In deze fase worden ook vaak specialisten ingeschakeld om te helpen met de opbouw van de nieuwe omgeving en de beveiliging ervan.
Bedrijfsdata wordt in deze fase ook hersteld, voor zover mogelijk. Hierbij wordt dan bijvoorbeeld gebruik gemaakt van aanwezige backups. Maar ook deze data moet gecontroleerd worden, het is niet altijd duidelijk hoelang een aanvaller al op de systemen aanwezig was. Data kan al langer zijn besmet dan je denkt omdat dit een bewuste actie van de aanvaller was. De bedrijfsdata moet dus eerst door een wasstraat. Dit geldt uiteraard ook voor e-mail. We willen er zeker van zijn dat onze data schoon is voordat we deze terugzetten op onze mooie, nieuw geïnstalleerde systemen.
Er is hierbij een onderscheid tussen de meer klassieke server omgevingen en cloud omgevingen. Veel cloud omgevingen zijn beter bestand tegen ransomware aanvallen en bieden vaak snellere herstelmogelijkheden. In een volgende blog zal ik daar verder op in gaan.
Rapportage & Lessons learned
Als het incident is afgehandeld en alle systemen zijn hersteld moet er een evaluatie plaatsvinden. Deze is in de vorm van een rapportage en lessons learned. De informatie die we hierbij hebben verkregen wordt gebruikt om het Incident Response Plan bij te werken. De rapportage is ook zeker van belang voor een eventuele verzekeraar. Of voor juristen. En natuurlijk, hetgeen we geleerd hebben kan direct worden toegepast door het Cyber Incident Response Team.
Tot slot
In deze blog heb ik het gehad over de noodzaak van een goede voorbereiding: incident response. Vergeet daarbij niet dat incident response niet alleen vanuit een IT perspectief benaderd moet worden maar vanuit de organisatie. Dit zal ook terugkomen in het Incident Response Plan, dat ik in de volgende blog zal bespreken.