Cybersecurity incident management, in het Nederlands het beheren van incidenten, is het proces van het identificeren, beheren, registreren en analyseren van incidenten. Het streeft om een uitgebreid beeld te geven van eventuele beveiligingsproblemen binnen een organisatie. Een beveiligingsincident kan van alles zijn: van een actieve datalek tot een poging tot het inbreken door hackers. Daarnaast zijn overtredingen van het security beleid en ongeautoriseerde toegang tot gevoelige gegevens allemaal voorbeelden van beveiligingsincidenten.
Een incident is specifiek een cybersecurity incident wanneer het de beschikbaarheid, integriteit of vertrouwelijkheid van informatie mogelijk beïnvloedt. Dit staat bekend als de BIV-classificatie, in het Engels de CIA-triade. Dit artikel van CW Greenport geeft meer informatie over deze fundamentele triade. Terwijl cybersecurity-bedreigingen blijven groeien in hoeveelheid en complexiteit, zijn er gelukkig best practices voor organisaties beschikbaar die hen in staat stellen om snel te identificeren en reageren op incidenten. Ook ligt de focus om deze soorten incidenten te verminderen, waarbij de organisatie ondertussen weerbaarder wordt en zichzelf kan beschermen tegen toekomstige incidenten.
Cybersecurity incident management maakt gebruik van een combinatie van apparaten, softwaresystemen en door mensen uitgevoerd onderzoek en analyse. Het beveiligingsincidentmanagementproces begint typisch met een melding dat er een incident heeft plaatsgevonden en de betrokkenheid van de personen die reageren: het zogeheten incidentresponsteam. Van daaruit zullen deze personen het incident onderzoeken en analyseren om de reikwijdte ervan te bepalen, de schade te beoordelen en een plan voor mitigatie te ontwikkelen. Dit betekent dat een strategie voor cybersecurity incident management geïmplementeerd moet worden om te zorgen dat de IT-omgeving en organisatie echt veilig is. De ISO/IEC Standaard 27035 schetst een vijfstappenproces voor beveiligingsincidentmanagement, inclusief:
- Zorg voor de afhandeling van incidenten.
- Identificeer potentiële beveiligingsincidenten via monitoring en rapporteer alle incidenten.
- Beoordeel geïdentificeerde incidenten om de passende vervolgstappen voor het mitigeren van het risico te bepalen.
- Reageer op het incident door het te beheersen, onderzoeken en op te lossen (op basis van uitkomst van stap 3).
- Leer en documenteer belangrijke leerpunten uit elk incident.
Hoe cybersecurity incident management werkt
Hoewel de maatregelen voor incidentrespons kunnen variëren op basis van de organisatie en het incident zelf, zijn er algemene stappen die vaak worden genomen om bedreigingen te beheren. De eerste stap kan beginnen met een volledig onderzoek van een afwijking, een zogeheten anomalie, in het systeem of onregelmatigheid binnen systeem-, gegevens- of gebruikersgedrag.
Denk bijvoorbeeld aan het volgende. Een medewerker ziet dat een bepaalde applicatie veel langzamer reageert en trager werkt dan normaal. Deze persoon doet er een melding van, het probleem heeft invloed op de beschikbaarheid van de applicatie. Van daaruit zal het team het probleem beoordelen om te bepalen of het gedrag het gevolg is van een beveiligingsincident. Als dat het geval blijkt te zijn, wordt het incident verder geanalyseerd. In dat geval wordt informatie verzameld en gedocumenteerd om de totale invloed van het incident te begrijpen, en de stappen die nodig zijn voor de oplossing te bepalen, en er wordt een rapport geschreven van het beveiligingsincident om alle activiteiten te documenteren en processen te verbeteren.
Best practices voor cybersecurity incident management
Organisaties van alle groottes en typen moeten vooruit plannen om het proces rondom cybersecurity incidement management te implementere. Implementeer onderstaande best practices als een mooi startpunt om een uitgebreid plan voor beveiligingsincidentbeheer te ontwikkelen:
- Ontwikkel een plan voor beveiligingsincidentbeheer en ondersteunende beleidsregels die richtlijnen bevatten over hoe incidenten worden gedetecteerd, gemeld, beoordeeld en erop gereageerd wordt. Zorg dat er een checklist klaarligt voor een reeks acties op basis van de dreiging. Werk de procedures voor beveiligingsincidentbeheer voortdurend bij indien nodig, vooral met lessen die zijn geleerd uit eerdere incidenten.
- Stel een incidentresponsteam op (soms een CSIRT genoemd, Computer Security Incident Respons Team) met duidelijk gedefinieerde rollen en verantwoordelijkheden. Uw incidentresponsteam moet functionele rollen binnen de IT-/beveiligingsafdeling bevatten, evenals vertegenwoordiging voor andere afdelingen zoals juridisch, communicatie, financiën, en bedrijfsbeheer of -activiteiten. Wanneer IT is uitbesteed, zorg er dan voor dat deze rollen en verantwoordelijkheden contractueel vastgelegd worden.
- Ontwikkel een uitgebreid trainingsprogramma voor elke activiteit die nodig is binnen de reeks procedures voor beveiligingsincidentbeheer. Oefen uw plan voor beveiligingsincidentbeheer met testscenario’s op regelmatige basis en voer verfijningen door indien nodig.
- Voer na elk beveiligingsincident een post-incidentanalyse uit om te leren van uw successen en mislukkingen en pas uw beveiligingsprogramma en incidentmanagementproces aan waar nodig.
In sommige situaties is het verzamelen van bewijsmateriaal en het analyseren van forensische gegevens een noodzakelijk onderdeel van de incidentrespons. Denk aan situaties zoals ransomware. Voor deze omstandigheden is het verstandig dat organisaties het volgende klaar hebben:
– Een beleid voor het verzamelen van bewijsmateriaal om ervoor te zorgen dat het correct en voldoende is – of, indien van toepassing, zal worden aanvaard in de rechtbank.
– De mogelijkheid om forensische technieken in te zetten indien nodig voor analyse, rapportage en onderzoek.
– Teamleden met ervaring en training in forensische en functionele technieken.