Reactieproces voor incidenten

De eerste stap is om een plan voor incidentrespons in te stellen dat zowel interne als externe processen voor het reageren op cyberbeveiligingsincidenten omvat. Het plan moet bevatten hoe u het volgende kunt doen:

• Adresaanvallen die variëren met het zakelijke risico en de gevolgen van het incident, die kunnen variëren van een geïsoleerde website die niet meer beschikbaar is voor het compromitteerden van referenties op beheerdersniveau.
• Definieer het doel van het antwoord, zoals een terugkeer naar service of het afhandelen van juridische of public relations-aspecten van de aanval.
• Geef prioriteit aan het werk dat moet worden uitgevoerd in termen van hoeveel personen aan het incident en hun taken moeten werken.

Zie het artikel voor de planning van incidenten voor een controlelijst met activiteiten om rekening mee te houden in uw incidentresponsplan. Wanneer uw incidentresponsplan is uitgevoerd, test u het regelmatig op de meest ernstige typen cyberaanvallen om ervoor te zorgen dat uw organisatie snel en efficiënt kan reageren.

Hoewel het incidentresponsproces van elke organisatie kan verschillen op basis van organisatiestructuur en -mogelijkheden, moet u rekening houden met de reeks aanbevelingen en aanbevolen procedures in dit artikel voor het reageren op beveiligingsincidenten.

Tijdens een incident is het essentieel om:

• Kalm blijven

  Incidenten zijn zeer storend en kunnen emotioneel geladen worden. Blijf kalm en richt u eerst op het prioriteren van uw inspanningen op de meest impactvolle acties.

• Geen kwaad doen

  Bevestig dat uw antwoord is ontworpen en uitgevoerd op een manier die verlies van gegevens, verlies van bedrijfskritische functionaliteit en verlies van bewijs voorkomt. Als u beslissingen vermijdt, kan dit uw mogelijkheid om een gerechtelijke tijdlijn te maken, hoofdoorzaken te identificeren en kritieke lessen te leren, beschadigen.

• Uw juridische afdeling betrekken

  Bepaal of ze van plan zijn de rechtshandhaving te betrekken, zodat u uw onderzoek- en herstelprocedures op de juiste manier kunt plannen.

• Wees voorzichtig bij het openbaar delen van informatie over het incident

  Controleer of alles wat u deelt met uw klanten en het publiek is gebaseerd op het advies van uw juridische afdeling.

• Hulp krijgen wanneer dat nodig is

  Maak gebruik van diepgaande expertise en ervaring bij het onderzoeken en beantwoorden van aanvallen van geavanceerde aanvallers.

Net zoals het diagnosticeren en behandelen van een medische ziekte, vereist cyberbeveiligingsonderzoek en -reactie voor een belangrijk incident het beschermen van een systeem dat beide is:

• Belangrijk (kan niet worden afgesloten om er aan te werken).
• Complex (meestal buiten het begrip van één persoon).

Tijdens een incident moet u de volgende kritieke saldi bereiken:

• Snelheid

  Balanceer de noodzaak om snel te handelen om belanghebbenden tevreden te stellen met het risico van gehaast beslissingen.

• Informatie delen

  Informeer onderzoekers, belanghebbenden en klanten op basis van het advies van uw juridische afdeling om aansprakelijkheid te beperken en onrealistische verwachtingen te vermijden.

Dit artikel is ontworpen om het risico voor uw organisatie voor een cyberbeveiligingsincident te verlagen door veelvoorkomende fouten te identificeren om te voorkomen en richtlijnen te geven over welke acties u snel kunt uitvoeren om zowel risico's te beperken als tegemoet te komen aan de behoeften van belanghebbenden.

Best practices voor antwoorden

Met deze aanbevelingen kunt u effectief reageren op incidenten, zowel vanuit technisch als operationeel perspectief.

Technisch

Voor de technische aspecten van de reactie op incidenten zijn hier enkele doelen die u moet overwegen:

• Probeer het bereik van de aanvalsbewerking te identificeren.

  De meeste tegenstanders gebruiken meerdere persistentiemechanismen.

• Identificeer indien mogelijk het doel van de aanval.

  Permanente aanvallers keren vaak terug voor hun doel (gegevens/systemen) in een toekomstige aanval.

Hier vindt u enkele handige tips:

• Bestanden niet uploaden naar onlinescanners

  Veel tegenstanders controleren exemplaar rekenen op services zoals VirusTotal voor het ontdekken van gerichte malware.

• Overweeg zorgvuldig wijzigingen

  Tenzij u te maken hebt met een dreigend risico op verlies van bedrijfskritische gegevens, zoals verwijdering, versleuteling en exfiltratie, wordt het risico van het niet aanbrengen van de wijziging in evenwicht gebracht met de verwachte gevolgen voor het bedrijf. Het kan bijvoorbeeld nodig zijn om de internettoegang van uw organisatie tijdelijk af te sluiten om bedrijfskritische activa te beschermen tijdens een actieve aanval.

  Als wijzigingen nodig zijn wanneer het risico van het niet ondernemen van een actie groter is dan het risico om dit te doen, documenteert u de actie in een wijzigingslogboek. Wijzigingen die zijn aangebracht tijdens het reageren op incidenten, zijn gericht op het verstoren van de aanvaller en kunnen van invloed zijn op het bedrijf. U moet deze wijzigingen na het herstelproces terugdraaien.

• Niet voor altijd onderzoeken

  U moet uw onderzoeksinspanningen op een onverbiddloze prioritering richten. Voer bijvoorbeeld alleen een gerechtelijke analyse uit op eindpunten die aanvallers daadwerkelijk hebben gebruikt of gewijzigd. In een belangrijk incident waarbij een aanvaller beheerdersbevoegdheden heeft, is het vrijwel onmogelijk om alle potentieel gecompromitteerde resources te onderzoeken (waaronder alle organisatiebronnen).

• Informatie delen

  Bevestig dat alle onderzoeksteams, inclusief alle interne teams en externe onderzoeker of verzekeringsproviders, hun gegevens met elkaar delen op basis van het advies van uw juridische afdeling.

• Toegang krijgen tot de juiste expertise

  Bevestig dat u personen met een grote kennis van de systemen integreert in het onderzoek, zoals intern personeel of externe entiteiten zoals leveranciers, en niet alleen beveiligingsgeneralisten.

• Anticiperen op verminderde reactiemogelijkheden

  Plan voor 50% van uw personeel dat werkt met 50% van de normale capaciteit als gevolg van situationele stress.

Een belangrijke verwachting voor beheer met belanghebbenden is dat u de eerste aanval mogelijk nooit kunt identificeren, omdat de gegevens die hiervoor nodig zijn, mogelijk zijn verwijderd voordat het onderzoek wordt gestart, zoals een aanvaller die zijn sporen bedekt door zich aan te melden.

Bewerkingen

Voor aspecten van beveiligingsbewerkingen van incidentrespons zijn hier enkele doelen die u moet overwegen:

• Gefocust blijven

  Bevestig dat u de focus houdt op bedrijfskritische gegevens, klantimpact en klaar bent voor herstel.

• Coördinatie en rolhelderheid bieden

  Stel afzonderlijke rollen in voor bewerkingen ter ondersteuning van het crisisteam en bevestig dat technische, juridische en communicatieteams elkaar op de hoogte houden.

• Uw bedrijfsperspectief behouden

  U moet altijd rekening houden met de gevolgen voor zakelijke activiteiten door zowel acties van tegenpartij als uw eigen reactieacties.

Hier vindt u enkele handige tips:

• Overweeg het ICS (Incident Command System) voor crisisbeheer

  Als u geen permanente organisatie hebt die beveiligingsincidenten beheert, raden we u aan de ICS te gebruiken als tijdelijke organisatiestructuur om de crisis te beheren.

• Dagelijkse gang van zaken intact houden

  Zorg ervoor dat normale beveiligingsbewerkingen niet volledig buiten de lijn worden om incidentonderzoeken te ondersteunen. Dit werk moet nog worden uitgevoerd.

• Vermijd verspillende uitgaven

  Veel belangrijke incidenten leiden tot de aanschaf van dure beveiligingshulpmiddelen onder druk die nooit worden geïmplementeerd of gebruikt. Als u tijdens het onderzoek geen hulpprogramma kunt implementeren en gebruiken, zoals het inhuren en trainen van extra personeel met de vaardigheden die nodig zijn om het hulpprogramma te gebruiken, stelt u de overname uit tot nadat u het onderzoek hebt afgerond.

• Toegang tot diepgaande expertise

  Bevestig dat u de mogelijkheid hebt om vragen en problemen te escaleren naar diepgaande experts op kritieke platforms. Hiervoor is mogelijk toegang nodig tot het besturingssysteem en de leverancier van toepassingen voor bedrijfskritische systemen en onderdelen voor het hele bedrijf, zoals desktops en servers.

• Informatiestromen tot stand brengen

  Stel duidelijke richtlijnen en verwachtingen in voor de informatiestroom tussen senior incident response leaders en belanghebbenden in de organisatie. Zie incidentresponsplanning voor meer informatie.

Best practices voor herstel

Het herstellen van incidenten kan effectief worden uitgevoerd vanuit zowel technisch als operationeel perspectief met deze aanbevelingen.

Technisch

Voor de technische aspecten van het herstellen van een incident zijn hier enkele doelen die u moet overwegen:

• Kook de oceaan niet

  Beperk het antwoordbereik, zodat herstelbewerking binnen 24 uur of minder kan worden uitgevoerd. Plan een weekend om rekening te houden met onvoorziene en corrigerende acties.

• Afleiding voorkomen

  Lange termijn beveiligingsinvesteringen uitstellen, zoals het implementeren van grote en complexe nieuwe beveiligingssystemen of het vervangen van anti-malwareoplossingen tot na de herstelbewerking. Alles wat geen directe en directe invloed heeft op de huidige herstelbewerking, is een afleiding.

Hier vindt u enkele handige tips:

• Nooit alle wachtwoorden in één keer opnieuw instellen

  Wachtwoordinstellingen moeten zich eerst richten op bekende gecompromitteerde accounts op basis van uw onderzoek en zijn mogelijk beheerders- of serviceaccounts. Als dit wordt gerechtvaardigd, moeten gebruikerswachtwoorden alleen op een gefaseerd en gecontroleerde manier opnieuw worden ingesteld.

• De uitvoering van hersteltaken samenvoegen

  Tenzij u te maken hebt met een dreigend risico op verlies van bedrijfskritische gegevens, moet u een samengevoegde bewerking plannen om snel alle gecompromitteerde resources (zoals hosts en accounts) te herstellen ten opzichte van het herstellen van gecompromitteerde resources zoals u ze vindt. Als u dit tijdvenster comprimeert, kunnen aanvalsoperatoren zich moeilijk aanpassen en volharden.

• Bestaande hulpprogramma's gebruiken

  Onderzoek en gebruik de mogelijkheden van hulpprogramma's die u al hebt geïmplementeerd voordat u een nieuw hulpprogramma probeert te implementeren en te leren tijdens een herstel.

• Voorkom dat uw tegenstref wordt omsingelen

  Praktisch gezien moet u stappen ondernemen om de informatie die beschikbaar is voor tegenstanders over de herstelbewerking te beperken. Tegenstanders hebben meestal toegang tot alle productiegegevens en e-mail in een belangrijk cyberbeveiligingsincident. Maar in werkelijkheid hebben de meeste aanvallers geen tijd om al uw communicatie te controleren.

  Het Security Operations Center (SOC) van Microsoft heeft een niet-productie-tenant Microsoft 365 gebruikt voor veilige communicatie en samenwerking voor leden van het incidentresponsteam.

Bewerkingen

Voor de operationele aspecten van het herstellen van een incident zijn hier enkele doelen die u moet overwegen:

• Hebt u een duidelijk plan en beperkt bereik

  Werk nauw samen met uw technische teams om een duidelijk plan te maken met een beperkt bereik. Hoewel plannen kunnen worden gewijzigd op basis van activiteiten van wederhoor of nieuwe informatie, moet u er alles aan doen om de uitbreiding van het bereik te beperken en extra taken op zich te nemen.

• Eigenaarschap van een duidelijk plan hebben

  Bij herstelbewerkingen zijn veel mensen betrokken die veel verschillende taken tegelijk uitvoeren, dus wijs een projectleider aan voor de bewerking voor duidelijke besluitvorming en definitieve informatie die door het crisisteam kan worden vloeien.

• Communicatie met belanghebbenden onderhouden

  Werk samen met communicatieteams om tijdig updates en actief verwachtingsbeheer te bieden voor belanghebbenden in de organisatie.

Hier vindt u enkele handige tips:

• Uw mogelijkheden en limieten kennen

  Het beheren van grote beveiligingsincidenten is zeer lastig, zeer complex en nieuw voor veel professionals in de branche. U moet overwegen om expertise in te brengen van externe organisaties of professionele services als uw teams overdonderd zijn of niet zeker weten wat u moet doen.

• De geleerde lessen vastleggen

  Bouw en verbeter voortdurend rollenspecifieke handboeken voor beveiligingsbewerkingen, zelfs als het uw eerste incident is zonder schriftelijke procedures.

Communicatie op leidinggevend en bordniveau voor incidentrespons kan lastig zijn, indien niet geoefend of verwacht. Zorg ervoor dat u een communicatieplan hebt om voortgangsrapportages en verwachtingen voor herstel te beheren.

Reactieproces voor incidenten

Houd rekening met deze algemene richtlijnen over het reactieproces voor incidenten voor uw beveiligingsbewerkingen en personeel.

1. Beslissen en handelen

Nadat een hulpprogramma voor het opsporen van bedreigingen, zoals Microsoft Sentinel of Microsoft 365 Defender een waarschijnlijke aanval detecteert, wordt er een incident gemaakt. De MTTA-meting (Mean Time to Acknowledge) van de reactiesnelheid van SOC begint met de tijd dat deze aanval wordt opgemerkt door uw beveiligingspersoneel.

Een analist in dienst is gedelegeerd of neemt het incident over en voert een eerste analyse uit. De tijdstempel hiervoor is het einde van de MTTA-responsiviteitsmeting en begint met de meting Mean Time to Remediate (MTTR).

Als de analist die eigenaar is van het incident, een hoog vertrouwensniveau ontwikkelt dat ze het verhaal en de reikwijdte van de aanval begrijpen, kunnen ze snel over stappen naar het plannen en uitvoeren van opruimacties.

Afhankelijk van de aard en het bereik van de aanval, kunnen uw analisten aanvalsartefacten opruimen terwijl ze gaan (zoals e-mailberichten, eindpunten en identiteiten) of ze kunnen een lijst met gecompromitteerde bronnen maken om alles tegelijk op te schonen (ook wel bekend als een oerknal)

• Reinigen terwijl u gaat

  Voor de meeste typische incidenten die al vroeg in de aanvalsbewerking worden gedetecteerd, kunnen analisten de artefacten snel opruimen wanneer ze ze vinden. Hierdoor wordt de tegenpartij in het nadeel en wordt voorkomen dat hij of zij verder gaat met de volgende fase van de aanval.

• Voorbereiden op een oerknal

  Deze benadering is geschikt voor een scenario waarin een wederpartij zich al heeft gevestigd in en redundante toegangsmechanismen voor uw omgeving heeft ingesteld. Dit wordt vaak gezien in klantincidenten die zijn onderzocht door het Microsoft Detection and Response Team (DART). In deze benadering moeten analisten voorkomen dat de aanvaller wordt omver gesneden totdat de aanwezigheid van de aanvaller volledig wordt ontdekt, omdat verrassing kan helpen bij het volledig verstoren van hun werking.

  Microsoft heeft geleerd dat gedeeltelijke herstel vaak tips geeft aan een tegenstrever, waardoor ze kunnen reageren en het incident snel kunnen verergeren. De aanvaller kan de aanval bijvoorbeeld verder verspreiden, de toegangsmethoden wijzigen om detectie te omzeilen, hun sporen te wissen en gegevens en systeemschade en vernieling toe te brengen voor wreken.

  Het opruimen van phishing- en schadelijke e-mailberichten kan vaak worden uitgevoerd zonder de aanvaller te kantelen, maar het opruimen van host malware en het terugwinnen van de controle van accounts heeft een grote kans op ontdekking.

Dit zijn geen eenvoudige beslissingen die u kunt nemen en er is geen vervanging voor ervaring bij het maken van deze beoordelingsgesprekken. Een samenwerkingswerkomgeving en -cultuur in uw soc helpt ervoor te zorgen dat analisten elkaars ervaring kunnen aansnuiven.

De specifieke antwoordstappen zijn afhankelijk van de aard van de aanval, maar de meest voorkomende procedures die door analisten worden gebruikt, zijn:

• Client-eindpunten (apparaten)

  Isoleer het eindpunt en neem contact op met de gebruiker of de IT-bewerkingen/helpdesk om een herinstallatieprocedure te starten.

• Server of toepassingen

  Werk samen met IT-bewerkingen en toepassingseigenaren om deze resources snel te herstellen.

• Gebruikersaccounts

  Besturingselementen terugvorderen door het account uit te stellen en het wachtwoord opnieuw in te stellen voor gecompromitteerde accounts. Deze procedures kunnen zich ontwikkelen naarmate uw gebruikers overstappen op wachtwoordloze verificatie met Windows Hello of een andere vorm van meervoudige verificatie (MFA). Een afzonderlijke stap is het verlopen van alle verificatietokens voor het account met Microsoft Defender voor Cloud-apps.

  Uw analisten kunnen ook het telefoonnummer en de registratie van de MFA-methode controleren om ervoor te zorgen dat het nummer niet is gekaapt door contact op te nemen met de gebruiker en deze gegevens zo nodig opnieuw in te stellen.

• Serviceaccounts

  Vanwege het hoge risico op service- of bedrijfsimpact moeten uw analisten samenwerken met de eigenaar van het serviceaccount en zo nodig terugvallen op IT-bewerkingen, om een snelle herstel van deze resources te regelen.

• E-mailberichten

  Verwijder de aanval of phishing-e-mail en verwijder deze soms om te voorkomen dat gebruikers verwijderde e-mailberichten herstellen. Sla altijd een kopie van oorspronkelijke e-mail op voor later zoeken naar analyse na de aanval, zoals kopteksten, inhoud en scripts of bijlagen.

• Overige

  U kunt aangepaste acties uitvoeren op basis van de aard van de aanval, zoals het inroepen van toepassingstokens en het opnieuw configureren van servers en services.

2. Opschoning na incident

Omdat u pas baat hebt bij geleerde lessen als u toekomstige acties wijzigt, kunt u alle nuttige informatie die u hebt geleerd uit het onderzoek, altijd integreren in uw beveiligingsbewerkingen.

Bepaal de verbindingen tussen eerdere en toekomstige incidenten met dezelfde bedreigingsacteurs of -methoden en leg deze leer vast om te voorkomen dat handmatig werk en vertragingen in de analyse in de toekomst worden herhaald.

Deze leermethoden kunnen een aantal vormen aannemen, maar veelgebruikte procedures omvatten een analyse van:

• Indicatoren voor compromissen (IOC's).

  Neem alle toepasselijke IOC's, zoals bestandshashes, schadelijke IP-adressen en e-mailkenmerken, op in uw SOC-systemen voor bedreigingsinformatie.

• Onbekende of niet-verzonden beveiligingslekken.

  Uw analisten kunnen processen starten om ervoor te zorgen dat ontbrekende beveiligingspatches worden toegepast, onjuiste configuraties worden gecorrigeerd en dat leveranciers (waaronder Microsoft) op de hoogte zijn van 'zero day'-beveiligingslekken, zodat ze beveiligingspatches kunnen maken en distribueren.

• Interne acties, zoals het inschakelen van logboekregistratie bij assets die betrekking hebben op uw cloud- en on-premises resources.

  Controleer uw bestaande beveiligingslijnlijnen en overweeg beveiligingsbesturingselementen toe te voegen of te wijzigen. Zie bijvoorbeeld de handleiding Azure Active Directory beveiligingsbewerkingen voor informatie over het inschakelen van het juiste controleniveau in de adreslijst voordat het volgende incident gebeurt.

Bekijk uw reactieprocessen om eventuele hiaten die tijdens het incident zijn aangetroffen, te identificeren en op te lossen.

Resources voor incidentrespons

• Overzicht voor Microsoft-beveiligingsproducten en -bronnen voor nieuwe en ervaren analisten
• Planning voor uw soc
• Playbooks voor gedetailleerde richtlijnen voor het reageren op veelgebruikte aanvalsmethoden
• Microsoft 365 Defender reactie op incidenten
• Reactie van Microsoft Sentinel-incidenten

Belangrijke Microsoft-beveiligingsbronnen