Reactieplanning voor incidenten

  • Artikel
  • 7 minuten om te lezen

Gebruik deze tabel als controlelijst om uw Soc (Security Operations Center) voor te bereiden op het reageren op cyberbeveiligingsincidenten.

Klaar Activiteit Beschrijving Voordeel
Tabeltopoefeningen U kunt periodieke tabeltopoefeningen uitvoeren van te verwachten zakelijke cyberincidenten die het management van uw organisatie dwingen om moeilijke risicobeslissingen te overwegen. Zet cyberbeveiliging vast en illustreert deze als een zakelijk probleem. Ontwikkelt het geheugen van de spieren en maakt moeilijke beslissingen en beslissingen in de hele organisatie mogelijk.
Beslissingen vóór de aanval en besluitvormers bepalen Als compliment voor tabel topoefeningen, bepaalt u op risico gebaseerde beslissingen, criteria voor het nemen van beslissingen en wie deze beslissingen moet nemen en uitvoeren. Bijvoorbeeld:

Wie/wanneer/als u hulp wilt vragen bij de ordehandhaving?

Wie/wanneer/als u incident responders wilt in dienst nemen?

Wie/wanneer/als om los geld te betalen?

Wie/wanneer/als u externe auditors op de hoogte wilt stellen?

Wie/wanneer/als u de privacyinstanties op de hoogte wilt stellen?

Wie/wanneer/als u effectenregulatoren op de hoogte wilt stellen?

Wie/wanneer/als u de raad van bestuur of auditcommissie op de hoogte wilt stellen?

Wie is bevoegd om bedrijfskritische werkbelastingen af te sluiten?		 Definieert de beginresponsparameters en contactpersonen om het antwoord op een incident te stroomlijnen.
Bevoegdheden behouden Over het algemeen kunnen adviezen worden bevoorrecht, maar feiten kunnen worden ontdekt. Train belangrijke incidentenleiders in het communiceren van adviezen, feiten en adviezen onder privilege, zodat bevoegdheden behouden blijven en het risico wordt verkleind. Het behouden van bevoegdheden kan een rommelig proces zijn wanneer u rekening houdt met de vele communicatiekanalen, waaronder e-mail, samenwerkingsplatforms, chats, documenten en artefacten. U kunt bijvoorbeeld Microsoft Teams-ruimten. Een consistente aanpak voor incidentpersoneel en ondersteuning van externe organisaties kan helpen bij het beperken van mogelijke juridische blootstelling.
Overwegingen voor handel met voorkennis Overweeg meldingen aan het management die moeten worden genomen om het risico op effectenovertredingen te beperken. Raden van bestuur en externe controleurs hebben de neiging te begrijpen dat u risico's hebt die het risico op twijfelachtige effectenhandel tijdens perioden van beroering verminderen.
Rollen en verantwoordelijkheden voor incidenten playbook Stel basisrollen en verantwoordelijkheden vast waarmee verschillende processen de focus kunnen behouden en de voortgang kunnen doorsturen.

Wanneer uw antwoordteam op afstand is, kan dit extra aandacht vereisen voor tijdzones en een juiste handoff voor de onderzoeker.

Mogelijk moet u communiceren tussen andere teams die mogelijk betrokken zijn, zoals leveranciersteams.		 Technical Incident Leader: altijd in het incident, inputs en bevindingen maken en volgende acties plannen.

Communicatieverbinding: verwijdert de last van het communiceren met het management van de Technical Incident Leader, zodat ze betrokken kunnen blijven bij het incident zonder dat de focus verloren gaat.

Dit moet het beheer van berichten van leidinggevenden en interacties en andere derden, zoals regelgevers, omvatten.

IncidentRecorder: verwijdert de last van het opnemen van bevindingen, beslissingen en acties van een incident responder en produceert een nauwkeurige boekhouding van het incident van begin tot einde.

Forward Planner: in samenwerking met bedrijfskritische eigenaren van bedrijfsprocessen worden activiteiten en voorbereidingen voor bedrijfscontinuïteit geformuleerd die een beperking van het informatiesysteem overwegen die 24, 48, 72, 96 uur of langer duurt.

Public Relations: In het geval van een incident dat waarschijnlijk de aandacht trekt van het publiek en in combinatie met Forward Planner, worden openbare communicatiebenaderingen bespiegeld en opgesteld die waarschijnlijke resultaten aan de orde stellen.
Playbook voor reactie op privacyincident Als u wilt voldoen aan steeds striktere privacyregels, ontwikkelt u een gezamenlijk eigendoms playbook tussen de SecOps en het privacybureau waarmee potentiële privacyproblemen snel kunnen worden geëvalueerd die een redelijke kans hebben op het ontstaan van beveiligingsincidenten. Het evalueren van beveiligingsincidenten voor hun potentieel om de privacy te beïnvloeden, is moeilijk te wijten aan het feit dat de meeste beveiligingsincidenten zich voordoen in een zeer technische soc die snel moet worden opgedoken naar een privacykantoor waar regelgevingsrisico's worden bepaald, vaak met een meldingsverwachting van 72 uur.
Penetratietests U kunt point-in-time gesimuleerde aanvallen uitvoeren op bedrijfskritische systemen, kritieke infrastructuur en back-ups om zwakke punten in de beveiliging te identificeren. Dit wordt meestal uitgevoerd door een team van externe experts dat zich richt op het omzeilen van preventieve besturingselementen en het verhelpen van belangrijke beveiligingsproblemen. In het licht van recente door mensen beheerde ransomware-incidenten moet penetratietests worden uitgevoerd op een groter bereik van de infrastructuur, met name de mogelijkheid om back-ups van bedrijfskritische systemen en gegevens aan te vallen en te beheren.
Red Team / Blue Team / Purple Team / Green Team Continue of periodieke gesimuleerde aanvallen uitvoeren op bedrijfskritische systemen, kritieke infrastructuur, back-ups om zwakke punten in de beveiliging te identificeren. Dit wordt meestal uitgevoerd door interne aanvalsteams (Rode teams) die zich richten op het testen van de effectiviteit van de controles en teams van de recherche (Blauwe teams).

U kunt bijvoorbeeld training voor de aanvalssimulatie gebruiken Microsoft 365 Defender voor Office 365 en zelfstudies voor aanvallen voor Microsoft 365 Defender endpoint.		 Red, Blue en Purple team attack simulations, when done well, serve a multitude of purposes:
  • Hiermee kunnen technici uit de hele IT-organisatie aanvallen op hun eigen infrastructuurdisciplines simuleren.
  • Surfaces gaps in visibility and detection.
  • Verhoogt de vaardigheden op het gebied van beveiligingstechniek over de hele linie.
  • Fungeert als een meer doorlopend en uitgebreid proces.


Het Groene team implementeert wijzigingen in de IT- of beveiligingsconfiguratie.
Bedrijfscontinuïteitsplanning Voor bedrijfskritische bedrijfsprocessen kunt u continuïteitsprocessen ontwerpen en testen waarmee het minimaal haalbare bedrijf kan functioneren in tijden van een beperking van informatiesystemen.

Gebruik bijvoorbeeld een Azure-back-up- en herstelplan om uw kritieke bedrijfssystemen te beschermen tijdens een aanval om ervoor te zorgen dat uw bedrijfsactiviteiten snel worden hersteld.
  • Onderstreept het feit dat er geen tijdelijke oplossing voor continuïteit is voor de beperking of afwezigheid van IT-systemen.
  • Kan de noodzaak en financiering voor geavanceerde digitale tolerantie benadrukken boven eenvoudiger back-up en herstel.
Herstel na nood Voor informatiesystemen die bedrijfskritische bedrijfsprocessen ondersteunen, moet u hete/koude en warme back-up- en herstelscenario's ontwerpen en testen, inclusief faseringstijden. Organisaties die kale metalen builds uitvoeren, vinden vaak activiteiten die niet kunnen worden gerepliceerd of die niet passen in de doelstellingen op serviceniveau.

Bedrijfskritische systemen die vaak op niet-ondersteunde hardware worden uitgevoerd, kunnen niet worden hersteld naar moderne hardware.

Het herstellen van back-ups is vaak niet getest en er zijn problemen. Back-ups kunnen verder offline zijn, zodat faseringstijden niet zijn meegenomen in hersteldoelstellingen.
Out-of-band-communicatie Bereid u voor op de manier waarop u zou communiceren in geval van problemen met de e-mail- en samenwerkingsservice, het losmaken van documentatie-opslagplaatsen en het niet beschikbaar stellen van telefoonnummers van personeel. Hoewel dit een lastige oefening is, kunt u bepalen hoe off-line en onveranderlijke kopieën van resources met telefoonnummers, toologieën, documenten maken en IT-herstelprocedures kunnen worden opgeslagen op off-line apparaten en locaties en op schaal kunnen worden gedistribueerd.
Hardening, hygiëne en levenscyclusbeheer In overeenstemming met de top 20 beveiligingsbesturingselementen van het Center for Internet Security (CIS), kunt u uw infrastructuur hard maken en grondige hygiëneactiviteiten uitvoeren. In antwoord op recente door mensen beheerde ransomware-incidenten heeft Microsoft specifieke richtlijnen uitgegeven voor het harden en beschermen van elke fase van de cyberaanvallen, ongeacht of deze met Microsoft-mogelijkheden of die van andere providers zijn uitgevoerd. Van bepaalde opmerking zijn:
  • Het maken en onderhouden van onveranderlijke back-ups in geval van losgeprijsde systemen. U kunt ook overwegen hoe u onveranderlijke logboekbestanden kunt behouden die de mogelijkheid van de aanvaller om hun sporen te wissen, bemoeilijken.
  • Risico's met betrekking tot niet-ondersteunde hardware voor herstel na nood.
Reactieplanning voor incidenten Aan het begin van het incident beslist u over:
  • Belangrijke organisatieparameters.
  • Toewijzing van personen aan rollen en verantwoordelijkheden.
  • De urgentie (zoals 24x7 en werkdagen).
  • Personeel voor duurzaamheid voor de duur.
Er is de neiging om alle beschikbare bronnen aan een incident in het begin te geven en te hopen op een snelle oplossing. Zodra u herkent of verwacht dat een incident een langere periode zal duren, moet u een andere houding aannemen dan met uw personeel en leveranciers, zodat ze zich langer kunnen vestigen.
Incident responders Stel duidelijke verwachtingen met elkaar vast. Een populaire indeling voor het rapporteren van lopende activiteiten omvat:
  • Wat hebben we gedaan (en wat waren de resultaten)?
  • Wat doen we (en welke resultaten worden geproduceerd en wanneer)?
  • Wat gaan we nu doen (en wanneer is het realistisch om resultaten te verwachten)?
Incident responders hebben verschillende technieken en benaderingen, waaronder analyse met een doodlopende doos, analyse van grote gegevens en de mogelijkheid om incrementele resultaten te produceren. Als u begint met duidelijke verwachtingen, kunt u duidelijke communicatie mogelijk maken.

Resources voor incidentrespons

Belangrijke Microsoft-beveiligingsbronnen

Resource Beschrijving
Microsoft Digital Defense Report 2021 Een rapport met informatie over het leren van beveiligingsexperts, werkers en verdedigers bij Microsoft om mensen overal in staat te stellen zich te beschermen tegen cyberaanvallen.
Referentiearchitectuur voor Microsoft Cyberbeveiliging Een reeks visuele architectuurdiagrammen met de cyberbeveiligingsmogelijkheden van Microsoft en hun integratie met Microsoft-cloudplatforms, zoals Microsoft 365 en Microsoft Azure en cloudplatforms en apps van derden.
Minuten belangrijk infographic downloaden Een overzicht van hoe het SecOps-team van Microsoft reageert op incidenten om lopende aanvallen te beperken.
Beveiligingsbewerkingen voor Azure Cloud Adoption Framework Strategische richtlijnen voor leidinggevenden bij het opzetten of moderniseren van een beveiligingsfunctie.
Best practices voor beveiliging van Microsoft voor beveiligingsbewerkingen Hoe u het SecOps-centrum het beste kunt gebruiken om sneller te bewegen dan de aanvallers die zich op uw organisatie richten.
Microsoft cloudbeveiliging voor IT-architectenmodel Beveiliging op microsoft-cloudservices en -platforms voor identiteits- en apparaattoegang, bedreigingsbeveiliging en informatiebeveiliging.
Microsoft-beveiligingsdocumentatie Aanvullende beveiligingsadviezen van Microsoft.