De vijf meest gemaakte fouten bij het bestrijden van een cyberaanval
Dat je als organisatie niet altijd even goed weet hoe je je nu het beste verdedigt tegen cybercrime is niet zo gek: cyberaanvallen worden steeds verfijnder en meedogenlozer. Hoogste tijd om de verdediging te upgraden, vinden ze bij FireEye. Ze zetten de vijf meest gemaakte fouten op een rij om je op weg te helpen.
1. Niet goed inschatten van de potentie en omvang van een aanval
Het niet goed begrijpen van de dreiging zorgt vaak voor problemen bij het reageren op een cyberaanval. Als gevolg hiervan worden er onvoldoende middelen ingezet die nodig zijn bij de juiste bestrijding van een aanval. Ook leidt het gebrek aan kennis tot een slechte isolatie van de kwaadaardige software. Zo kan een security response team zijn aandacht bijvoorbeeld concentreren op de verkeerde gebieden. Wanneer de bron van de aanval niet wordt gevonden, is het zeer waarschijnlijk dat de organisatie opnieuw zal worden aangevallen.
2. Niet betrekken van senior management bij de bestrijding van een aanval
Cyberaanvallen kunnen serieuze gevolgen hebben voor een organisatie. Toch wordt het senior management vaak niet betrokken bij de bestrijding van dergelijke aanvallen. Hierdoor komt het beslissingsproces in zijn geheel op de schouders van het security response team te liggen, terwijl zij zich over het algemeen alleen richten op de technische kanten van een aanval. Dit heeft als gevolg dat bij het bestrijden van een aanval geen rekening wordt gehouden met wat dit probleem nu eigenlijk betekent voor de organisatie in zijn geheel.
3. Geen rekening houden met de juridische aspecten
Tijdens het bestrijden van een aanval ziet een security response team vaak de juridische implicaties van een databreuk over het hoofd. Een incident response plan dat er niet in slaagt om ook rekening te houden met de juridische aspecten die komen kijken bij een aanval, kan voor problemen zorgen die veel groter zijn dan de impact van de aanval zelf. Om deze reden moet een goed bestrijdingsplan gedetailleerd beschrijven hoe de organisatie omgaat met bewijs, dossiers en het op de hoogte brengen van belangrijke en relevante aandeelhouders.
4. Niet communiceren
Tijdens een aanval kan de situatie snel verslechteren als het security response team niet goed met elkaar en het senior management communiceert. Het is belangrijk dat alle teams en belanghebbenden die betrokken zijn bij het bestrijden van een aanval, elkaar dagelijks voorzien van een statusupdate. Ook is het belangrijk dat de organisatie de eindgebruikers informeert over de status van de bestrijding en hoe zij hiervan mogelijk hinder kunnen ondervinden.
5. Niet bijhouden van een logboek
Geen enkele organisatie vindt het leuk om al zijn netwerk- en IT-activiteiten te loggen. Loggen wordt vaak gezien als omslachtig en duur en heeft een lage prioriteit. Maar zonder een gedetailleerd logboek is uitvoerig forensisch onderzoek moeilijk, zo niet onmogelijk. Onderzoekers hebben dan vaak niets te onderzoeken omdat zij geen spoor van aanwijzingen kunnen volgen, geen gedragspatroon kunnen analyseren en geen chronologie kunnen reconstrueren. Een logboek is essentieel bij het adequaat reageren op een cyberaanval. Zonder logboek slinken de kansen op een goede afloop aanzienlijk.
Advies
‘Je kunt deze vijf veelgemaakte fouten het beste voorkomen door het samenstellen van een uitgebreid en meermalen getest incident responsplan’, zegt Bill Hau, vicepresident Security Consulting Services bij FireEye. ‘Elke organisatie behoort een plan te hebben met een duidelijke en consistente workflow, gedefinieerde taken en een alomvattende communicatiestrategie. Ook moet in het plan de betrokkenheid van het senior management worden opgenomen. Dit geeft een algemeen overzicht van de cyberdreiging en de potentiële zakelijke en juridische gevolgen van een aanval.’