Het is tijd om ons voor te bereiden op de incidentreactie van morgen. Het is niet meer hetzelfde als gisteren, en bedrijven die het verschil niet omarmen, kunnen in grote problemen komen als zich een ramp voordoet.
De incident reactie Het landschap is het afgelopen jaar drastisch veranderd. Dit is deels te wijten aan de verschuiving in werkpatronen naarmate mensen migreerden naar hybride werken. De grotere verandering komt voort uit de veranderende houding van verzekeringsmaatschappijen, en tot op zekere hoogte ook van zakelijke klanten.
Verzekeraars en klanten houden de veiligheid onder de loep
Verzekeraars schrikken van het stijgende aantal cybergerelateerde uitbetalingen spelen een actievere rol bij de respons op incidenten. We hebben gezien dat sommigen eisten om hun eigen cyberbeveiligingspartner van hun voorkeur in te schakelen wanneer een klant een incident meldt als voorwaarde voor het indienen van een claim. Anderen beperken hun aansprakelijkheid en introduceren clausules die klanten uitsluiten van dekking tijdens de eerste uren of dagen van een incident.
Bedrijven worden ook geconfronteerd met druk van hun eigen zakelijke klanten, die een grotere focus op cybersecurity eisen. Supply chain-beveiliging is sindsdien een focus geworden voor meer bedrijven SolarWinds en Kaseya-debacles, waarin gecompromitteerde producten problemen veroorzaakten voor duizenden downstreamgebruikers. Dit heeft ertoe geleid dat meer bedrijven van hun leveranciers bewijs eisen dat zij XNUMX uur per dag adequate cyberbeveiligingsdekking bieden, en dat er een grotere aansprakelijkheidspool is ontstaan waarmee verzekeraars rekening moeten houden bij het bepalen van de dekking.
Incidentresponsplannen moeten zich aanpassen
Wat betekent dit voor incidentresponsteams? Het meest kritische element is een grotere focus op snelheid. Dit benadrukt op zijn beurt de noodzaak om ons te concentreren op incidenten in een vroeg stadium die een voorbode kunnen zijn van een grote inbreuk. Het doel is om te reageren op ‘kleine’ incidenten voordat ze ‘grote’ gebeurtenissen worden.
Slachtoffers van aanvallen die tijdens de eerste uren van een incident niet gedekt zijn, moeten snel reageren om de financiële impact te beperken. Helaas maken aanvallers het moeilijker.
Ransomwarecriminelen zijn het meest actief buiten kantooruren. Ze weten dat beveiligingsteams in deze tijden slecht bemand zullen zijn, als ze al op kantoor zijn. Nuspire's partner Cybereason onlangs ondervraagde 1,200 bedrijven die buiten reguliere werkuren te maken kregen met een ransomware-aanval. De helft van hen ondervond daardoor een tragere respons, deels omdat het lastig was teamleden bijeen te krijgen in het weekend of op feestdagen, zelfs als er een incidentresponsplan aanwezig was. Dat leidde vaak tot grotere inkomstenverliezen als gevolg van een ransomware-aanval, aldus de respondenten.
Sommige vaardigheden, zoals digitaal forensisch onderzoek, zijn überhaupt moeilijk intern te brengen. Deze gespecialiseerde vaardigheden worden zelden gebruikt, maar zijn van cruciaal belang wanneer dat nodig is.
Bedrijven hebben een continuüm voor incidentrespons nodig
Er zijn twee niveaus van incidentrespons. De eerste is degene die de meeste bedrijven begrijpen: de reactie op grote, spectaculaire evenementen. Dit zijn de dingen die u 's nachts wakker houden: de diefstal van klantgegevens, een ransomware-ramp of een zakelijke e-mailcompromis die miljoenen dollars uit de bedrijfskas haalt. Dit kan worden gezien als de traditionele ‘Big Incident Response’.
Bij het andere soort incidentrespons gaat het om kleinere, geïsoleerde gebeurtenissen. Dit kan een ransomware-infectie op één laptop zijn, één enkele phishing-e-mail of een eenmalig geval van ongeautoriseerde toegang. Mensen beschouwen dit vaak als alledaagse incidenten; voorvallen die bestuurders irriteren, maar die vroeg of laat worden afgehandeld. Sommigen zien dit als de kleine dingen die je niet hoeft te zweten.
Dat is niet langer waar. Ransomware en andere vormen van malware bewegen zich nu sneller dan ooit. Het geïsoleerde incident van vanavond kan de ramp van morgenochtend zijn.
Zowel verzekeraars als klanten begrijpen dit steeds meer en willen bewijs dat u deze problemen aanpakt om later grote inbreuken te voorkomen. Dat betekent dat de respons op incidenten niet langer een afzonderlijk proces is; het is een continuüm dat begint met de eerste incidentwaarschuwing (en daar hopelijk eindigt).
We moeten ook ons inzicht vergroten in wat er gebeurt aan de andere kant van het spectrum van de respons op incidenten, wanneer verzekeringsmaatschappijen erbij betrokken zouden kunnen raken. Dit begint al voordat forensische professionals ter plaatse komen.
Duidelijke communicatie met verzekeraars voorafgaand aan grote incidenten is van cruciaal belang om hun verwachtingen te begrijpen. Dat geldt ook voor inzicht in de wettigheid rond het incidentresponsproces, inclusief met wie het slachtoffer als eerste contact opneemt. Verzekeraars kunnen bijvoorbeeld eisen dat het slachtoffer in eerste instantie contact met hen opneemt, maar door eerst met een advocaat te praten, kan bepaalde informatie bevoorrecht worden om ontdekking later te voorkomen. Er zijn ook nuances in wat het slachtoffer zegt. Zelfs het gebruik van het woord ‘inbreuk’ in de communicatie zou een deadline kunnen opleveren voor het informeren van toezichthouders of klanten.
Bedrijven moeten een sterk team samenstellen met een duidelijke commandostructuur, zodat iedereen begrijpt wie de controle heeft in termen van een crisis. Vervolgens moeten deze teams regelmatig tabletop-oefeningen uitvoeren om grote inbreukscenario's uit te spelen. Weten wie wat doet is essentieel.
Dit is voor bedrijven veel werk, vooral gezien de noodzaak om buiten de reguliere werkuren net zo ijverig te werk te gaan. Als het gaat om het omgaan met cyberbeveiligingsproblemen, is snelheid nu meer dan ooit van essentieel belang.
