Ook vòòr een cyberaanval verschuift de focus naar incident response

Share this post:

De onaflatende stroom verhalen over cybercriminaliteit en datalekken – denk maar aan WannaCry, of de wekelijkse verhalen van miljoenen persoonlijke gegevens die gelekt worden – is geen toeval. Datalekken zijn onvermijdelijk geworden. Een goed doordachte incident response strategie is dan ook essentieel geworden, vooral aangezien heel wat bedrijven overweldigd raken en moeite hebben om met de vereiste snelheid en efficiëntie te reageren wanneer ze een lek hebben of gehackt zijn.

Tel daar nog eens de nieuwe reguleringen bij zoals de GDPR (General Data Protection Regulation, van kracht vanaf mei 2018) die bedrijven 72 uur de tijd geeft om een inbreuk te melden, of PSD2 (dat nu al van kracht is) dat nog strenger is, en FSS-bedrijven (Financial Software & Systems) verplicht elke inbreuk binnen de 4 uur te melden. Dergelijke strakke deadlines vragen om een bijzonder praktisch incident response plan.

Een heilige drie-eenheid onder druk

De klassieke zogenaamde ‘heilige drie-eenheid’ van cyberbeveiliging is detecteren, voorkomen en reageren. Inbreuken en hacks detecteren en voorkomen was lange tijd de belangrijkste investeringsfocus. Maar in een omgeving waarin het niet langer de vraag is of je gehackt zal worden, maar wanneer, moeten we onze focus beginnen te richten op het ontwikkelen van robuuste incident response maatregelen, met een reëel verdedigingsplan.

Een recent onderzoek van Ponemon toonde echter aan dat we nog een lange weg af te leggen hebben: 77% van de organisaties geeft toe geen formeel incidentresponsplan voor cyberbeveiliging te hebben (CSIRP – cybersecurity incident response plan) dat consistent organisatiebreed wordt toegepast. Het begint allemaal bij de keuze voor de juiste technologie, die op steeds meer geautomatiseerde wijze kan helpen anomalieën te detecteren. Hackers worden immers steeds slimmer. Sommige aanvallen kunnen in een oogopslag al voorbij zijn, terwijl andere jaren voorbereiding vergen voor ze zich volledig ontplooien. Download hier de Third Annual Study on the Cyber Resilient Organization, Ponemon Institute uit maart 2018.

AI kan helpen

Een goede stap om je te wapenen tegen deze diverse  aanvalsstrategieën is zoveel mogelijk kennis vergaren, zo snel en efficiënt mogelijk. Ik illustreer dat even met een voorbeeld: het is niet handig om ergens een gigantische collectie pdf-bestanden te hebben met blogs over recente ontwikkelingen en response strategieën van beveiligingsexperts. Die gegevens zijn ongestructureerd, en het zou enorm veel tijd vergen om door al die blogs te gaan op zoek naar nuttige inzichten.

Als we onze eigen intelligentie echter aanvullen met technologie – met Watson for Cybersecurity bijvoorbeeld – dan  wordt die enorme rijkdom aan inzichten plots ontginbaar, en kan je die doorzoeken op een manier waarvoor mensen gewoon de intellectuele ‘bandbreedte’ missen. Op die manier kunnen nieuwe technologieën helpen om incident response plannen naar het volgende niveau te tillen.

Wil je meer te weten komen, kom dan naar Think Amsterdam op 9, 10 en 11 oktober in het IBM Client Center.

Gedeelde problemen, gedeelde oplossingen

Wat nog belangrijker is om incident response plannen naar het volgende niveau te brengen, is beseffen dat die plannen doorgevoerd moeten worden in de volledige onderneming. Het is een misvatting dat cybercriminaliteit enkel een probleem is voor de IT-afdeling en de security specialisten. Problemen die de hele onderneming treffen, moeten ook aangepakt kunnen worden door de hele onderneming.

Hoe zal bijvoorbeeld een PR-manager omgaan met de reputatieschade die veroorzaakt wordt door een lek? Hoe zal een verkoper communiceren met zijn klanten? Hoe zal je omgaan met alle diverse andere betrokkenen, zoals de leveranciers, de klanten, de consumenten, de overheden …?

Ik persoonlijk zie twee verschillende niveaus waarop je je kan voorbereiden op incidenten. Ten eerste moeten dreigingen dag en nacht detecteerbaar zijn. Als je niet over de vereiste medewerkers of vaardigheden beschikt (geloof me vrij, je bent niet de enige, de vaardigheidskloof in cybersecurity is een wereldwijd fenomeen), dan zijn er oplossingen zoals IBM’s Managed Security Services, die je naast een continu toezicht ook de allernieuwste detectiemethoden garanderen.

Ten tweede moet er een volwaardig incident response plan ingevoerd zijn, dat zo weinig mogelijk aan het toeval overlaat. Dat houdt ook in dat je jouw plan test in reële scenario’s, iets wat mogelijk is in gespecialiseerde locaties als IBM’s Cyber Range. De meeste bedrijven doen wel elk jaar een brandoefening voor het hele bedrijf, dus waarom geen cyberveiligheidsoefening waaraan iedereen deelneemt?

De coördinatie van de incident response procedures is nog een andere broodnodige vaardigheid. Dat stelt organisaties immers in staat om het volledige response proces te beheren en te coördineren – over alle technologieën, processen en medewerkers heen – voor een accurate en snelle response. De automatisering van de incident response plannen is daarbij essentieel: heel wat van het manuele werk van het onderzoeken en verhelpen van cyberincidenten kan ondersteund worden met software, zoals bijvoorbeeld  IBM’s incident response platform IBM Resilient. Automatisering helpt de vaardighedenkloof te verkleinen, want het helpt beveiligingsanalisten intelligente beslissingen te nemen, en snel te reageren op waarschuwingen.

Veranderende tijden vragen om een verandering in mentaliteit

Kortom, de dreiging van cybercriminaliteit wordt dan wel steeds groter, maar ik ben ervan overtuigd dat we met de juiste voorbereiding vol vertrouwen en fundamenteel een verandering kunnen doorvoeren in hoe we reageren op cyberdreigingen. De menselijke inspanningen en intelligentie verbeteren met technologie is al een stap in de juiste richting, net als onderzoeken hoe de beveiligingslast verlicht kan worden aan de hand van managed security services. Maar je kan een gigantische stap voorwaarts zetten als je al die maatregelen integreert in een breder incident response plan waarin ook automatisering en beheer zijn opgenomen.