6 tips om jouw bedrijf voor te bereiden op een cyberaanval

6 tips om jouw bedrijf voor te bereiden op een cyberaanval

Redactie WINMAG Pro
Hoe beveilig je je bedrijf in het geval van een aanval?

Door: Vincent Turner, Sales Director bij Bluevoyant

Om ervoor te zorgen dat je goed voorbereid bent op een cyberaanval, is het nemen van proactieve maatregelen essentieel. Een plan voor incident response is dan ook geen overbodige luxe. Dit plan moet niet alleen volledig onderschreven worden door de cybersecurity- of IT-afdelingen, maar door het gehele bedrijf. Dit is van cruciaal belang om ervoor te zorgen dat iedereen op dezelfde golflengte zit, mocht een cyberaanval plaatsvinden. Overhaaste reacties op een aanval, zowel intern als extern, kunnen nog veel meer schade aanrichten. Voordat je jouw bedrijf kunt beveiligen, moet je eerst onderzoeken of er tekortkomingen zijn in de beveiliging die erop kunnen wijzen dat een cyberaanval naderend, of misschien zelfs al gaande is.  

  • Heeft het bedrijf open poorten die een risico vormen, zoals het RDP, authenticatie en datastore poorten? 
  • Is er bewijs van uitgaand verkeer naar bekende kwaadaardige infrastructuren? 
  • Is het bedrijf het doelwit van bekende IP's die in verband worden gebracht met ransomware? 

Hoe beveilig je je bedrijf in het geval van een aanval? 

Wanneer je constateert dat één of meer van de bovenstaande kwetsbaarheden zich voordoen, volg dan onderstaand stappenplan om een incident response plan te ontwikkelen:  

1. Voorbereiding 

Om te bepalen hoe incident response teams incidenten beheren, hebben bedrijven stapsgewijze richtlijnen nodig. Het credo dat de beveiliging van je bedrijf slechts zo sterk is als de zwakste schakel, moet voorop staan. Naarmate de interne beveiliging veiliger wordt, worden de supply chains van een organisatie vaker de zwakke schakel. Aangezien de omvang van supply chain-ecosystemen blijft toenemen, is een proactieve aanpak van cruciaal belang om ervoor te zorgen dat alle afdelingen van alle organisaties er klaar voor zijn.  

2. Identificatie 

Het detecteren en analyseren van zo veel mogelijk gegevens over kwaadaardige activiteiten, is een belangrijk onderdeel van identificatie. Dit kan gebaseerd zijn op beveiligings- en monitoringstools, informatie van insiders of openbaar beschikbare dreigingsinformatie. Incident response teams moeten ook onderscheid maken tussen goedaardige activiteiten en echt kwaadaardig gedrag. Dit vereist een aanzienlijke inspanning om beveiligingswaarschuwingen te beoordelen en te bepalen of deze 'vals-positieven' of 'echt-positieven' zijn. 

In dit stadium is het belangrijk dat de threat intelligence/incident response consultancy van een organisatie zich ervan verzekert dat alle bewijzen die in het kader van een gerechtelijke procedure kunnen worden onderzocht, zijn verzameld. En dat de bedrijfsadvocaat volledig op de hoogte is van de zich ontwikkelende situatie. Maar organisaties zouden zich ook moeten richten op MSSP's die met juridische adviseurs en consultants kunnen bijstaan voorafgaand aan en gedurende een procedure. Veel organisaties hebben geen grote cybersecurityafdelingen. In dit geval is het waarschijnlijk dat de juridisch adviseur niet goed weet hoe om te gaan met een aanhoudende cyberaanval. 

3. Inperking 

Inperking is een poging om te voorkomen dat de bedreiging zich in de omgeving verspreidt en meer schade aanricht. Er zijn twee soorten inperking: 

  • Inperking op korte termijn - onmiddellijke actie om te voorkomen dat de bedreiging zich verspreidt.  
  • Inperking op lange termijn - herstelt systemen naar productie in een schone staat, identiek aan hoe ze waren geconfigureerd voordat de bedreiging werd geïntroduceerd. 

4. Uitroeiing 

Dit proces omvat het identificeren van het punt van inbraak, het beoordelen van het aanvalsveld en het verwijderen van resterende achterdeurtoegang. Als onderdeel van deze stap bepaalt het team de hoofdoorzaak van het incident om te begrijpen hoe soortgelijke aanvallen kunnen worden voorkomen. 

5. Herstel 

In deze fase zorgt het incident response team ervoor dat systemen weer normaal werken. Besmette accounts krijgen nieuwe, veiligere wachtwoorden of worden vervangen door een veiligere toegangsmethode. Kwetsbaarheden worden verholpen, de functionaliteit wordt beoordeeld en de normale werkzaamheden worden hervat. 

6. Aanbevelingen 

Uit elk incident kan een les worden getrokken. Leren van ervaringen en vaststellen wat er fout is gegaan, is een cruciale stap in het verbeteren van responsplannen voor incidenten. Het is een goede gewoonte om een post-mortem vergadering te houden met het hele team om feedback te geven over wat werkte en wat niet werkte en suggesties te doen voor procesverbetering. 

De eerste 72 uur na een datalek zijn cruciaal. Elke beslissing die een organisatie neemt, kan gevolgen hebben op financieel, juridisch, onderzoeks- en perceptiegebied. Het kan gaan om verstoring van de bedrijfsvoering, terugslag van klanten, hogere beveiligings- en verzekeringsbudgetten, diefstal van intellectueel eigendom, de devaluatie van de naam van een bedrijf (wat kan leiden tot een koersdip of een daling van het vertrouwen van investeerders), en nog veel meer. 

Bovendien is het aantal cyberaanvallen - met name ransomware-aanvallen - explosief gestegen, waarbij cybercriminelen profiteren van een enorm uitgebreid aanvalsoppervlak. Het is daarom van essentieel belang dat organisaties zich actief voorbereiden op cyberaanvallen, hetzij door hun eigen cybersecurity- en incidentresponscapaciteiten te versterken, hetzij door in zee te gaan met een MSSP om cyberparaatheid zowel een beschermer als een groeimotor te maken. 

Redactie WINMAG Pro
Door: Redactie WINMAG Pro
Redactie

Redactie WINMAG Pro

Redactie