De noodzaak om een incidentrespons uit te voeren, kan zich op elk moment voordoen. Een organisatie kan vele stappen ondernemen om hierop voorbereid te zijn. Wanneer een incident op bedrijfsniveau plaatsvindt en er een incidentrespons wordt geïnitieerd, hangt het succes en de nauwkeurigheid van het onderzoek af van de beschikbaarheid van een compleet en consistent inzicht in alle systemen en netwerk-communicatiepaden in de bedrijfsomgeving. Hieronder een overzicht van de stappen die organisaties kunnen zetten.

Tijdens het jarenlange uitvoeren van cyber-incidentresponsen, heeft Mandiant gemeenschappelijke uitdagingen vastgesteld die impact kunnen hebben op de mogelijkheid een uitgebreid onderzoek uit te voeren als onderdeel van de cyber-incidentrespons. Deze uitdagingen vertegenwoordigen praktische stappen die alle organisaties op voorhand kunnen zetten om blokkades en vertragingen te beperken die invloed hebben op het succes van een onderzoek.

Assetmanagement

  • Een nauwkeurige asset inventory is hoofdzaak voor een optimale zichtbaarheid van alle eindpunten. Een ideaal asset-inventorysysteem categoriseert systemen op functie en identificeert kritische systemen die essentiële diensten of toegang tot kritische gegevens bieden.
  • Indien er technologie van derden wordt gebruikt voor een onderzoek, stel dan een geformaliseerd proces op voor rapid-software-deployment naar eindpunten. Een accurate asset inventory kan een organisatie in staat stellen om eindpunten snel te verenigen en te identificeren waar de technologie van een derde partij wellicht tekortschiet.
  • Het asset inventory- en deployment-proces dient rekening te houden met de potentiële behoefte om technologie in te zetten voor systemen in omgevingen die niet direct zijn aangesloten op de kern van de bedrijfsinfrastructuur.

Netwerkarchitectuur

  • Zorg dat er nauwkeurige en volledige netwerkdiagrammen beschikbaar zijn.
  • Bevestig alle inkomende en uitgaande paden, routes tussen sites, integratie van connectiviteit van derden en netwerklocaties waar encryptie wordt gehandhaafd.
  • Indien netwerksensoren of apparatuur voor data-acquisitie nodig zijn voor een betere netwerkzichtbaarheid, zorg dan dat netwerk-taps of port-mirroring (SPAN) -technologie beschikbaar is, en dat er een proces voorhanden is voor installatie en configuratie.
  • Identificeer surge-bronnen en personeel dat in voorbereiding op een onderzoek kan helpen met een snelle uitrol en configuratie van netwerkgebaseerde technologie.

Credential-management

  • Houd een nauwkeurige inventory bij van service- en privileged accounts.
  • Documenteer en houd voor domeingebaseerde serviceaccounts die door applicaties worden gebruikt een inventory bij die elk serviceaccount aan een specifieke toepassing correleert.
  • Review, test en documenteer geïmplementeerde beveiligingscontroles om de blootstelling aan en het gebruik van privileged accounts op eindpunten te beperken. Inzicht in hoe privileged accounts in een omgeving oneigenlijk gebruikt kunnen worden, kan bijdragen aan het prioriteren van scoping van laterale bewegingen tijdens een onderzoek.

Logging

  • Verifieer dat er gedetailleerde logging beschikbaar is voor core-assets en kritische systemen.
  • Zorg dat alle eindpunten, netwerkapparaten en log-aggregators geconfigureerd zijn voor NTP-synchronisatie.
  • Zorg dat logs worden verzameld en gearchiveerd voor internet-facing-systemen en applicaties (bijvoorbeeld DMZ).
  • Verifieer dat logs voor netwerkverkeer de mogelijkheid ondersteunen om communicatiestromen te reviewen op basis van bron- en doel-IP-adressen, poort, duur en bytegrootte. Zorg er ook voor dat, indien er load-balancers worden gebruikt, de werkelijke bron- en doel-IP-adressen van een sessie kunnen worden gecorreleerd.

Verifieer dat er voor eindpunten loggegevens zijn voor het reviewen van:

  • System events
  • Geplande taken
  • Process-execution events met commando-regelargumenten
  • PowerShell-activiteit
  • Security-software events (bijvoorbeeld antivirusmeldingen en -detecties van derden)

Draaiboeken ter ondersteuning van incidentresponsactiviteiten

Niet alle aspecten van een incident-respons kunnen gescript worden. Het beschikken over draaiboeken en plannen ter ondersteuning van respons- en recovery-functies – naast resource-alignment, surgesupport en assistentie van derden – kan vertragingen in het reageren op een cybersecurity-event aanzienlijk verminderen.

Wijzig, vernieuw en test respons- en recovery-draaiboeken. Zorg dat draaiboeken relevant zijn voor bedreigingen en cybersecurity-risico’s die impact op de organisatie kunnen hebben. Tegelijkertijd kan het testen van de effectiviteit van draaiboeken bestaande, potentiële zichtbaarheids- en beschermingshiaten identificeren, en verifieert het daarnaast ook de effectiviteit van recovery-acties voor systemen in de omgeving.

Documenteer en test draaiboeken die containment- en remediation-activiteiten ondersteunen. Een bekend voorbeeld is een wachtwoordreset op bedrijfsniveau. Stel een draaiboek op dat niet alleen de technische aspecten van handhaving van een wachtwoordreset op bedrijfsniveau ondersteunt, maar ook de planning, communicatie voor zowel interne als externe gebruikers, account-dependencies en mappings, processen die gebruikt worden om gebruikers te verifiëren, tracken van de voortgang en surge-support in het assisteren bij het event.

Wanneer de noodzaak voor een gecoördineerd cyber-incidentrespons zich voordoet, kan dit veel stress en impact betekenen voor elke onderneming. Ik heb gezien dat organisaties die de tijd nemen om een incidentrespons te formuleren en plannen, beter in staat zijn om gefocust te blijven. Ze kunnen bronnen beter prioriteren en toewijzen om kritische mijlpalen en functies te ondersteunen, plus dekkingshiaten minimaliseren en garanderen dat de optimale zichtbaarheid gedurende een aanval blijft behouden.

“Niet alle aspecten van een incident-respons kunnen gescript worden”

close

IT Executive Nieuwsbrief


Elke week een korte e-mail met daarin onze beste content, aankondigingen van evenementen en méér.

Wij delen je persoonsgegevens uitsluitend met derden die deze service mogelijk maken. Lees onze privacyverklaring.

REAGEREN

Plaats je reactie
Je naam