Door de storm heen navigeren: 3 cruciale werkstromen bij Disaster Recovery
In de periode na een aanval worden organisaties geconfronteerd met de uitdagingen van bestuurlijke besluitvorming, incident response en technische herstelwerkzaamheden.
Geschreven door: Peppe Kerstens
Een veelvoorkomend misverstand over het omgaan met een cyberaanval is het idee dat organisaties na een aanval enkel hun Business Continuity Plan in werking stellen en beginnen met technische activiteiten zoals het herstellen van servers. De realiteit is echter complexer. Je moet niet alleen omgaan met de chaos van het moment, maar ook drie verschillende werkstromen navigeren om het herstelproces te leiden: besluitvorming door het management, incident response en technisch herstel.
1. Besluitvorming door het management
Aan het begin van een aanval bevinden leidinggevenden op C-niveau zich in een complexe situatie van juridische vraagstukken en reputatiemanagement. Hun eerste uitdaging, na het melden van de aanval bij de verplichte autoriteiten, is de beslissing over het al dan niet openbaar maken van de inbreuk, vaak gebaseerd op de vraag of er gegevens zijn gelekt en, indien ja, hoe en aan wie deze informatie moet worden gecommuniceerd.
Ze moeten direct overwegen hoe ze zullen communiceren, of een PR-team betrokken wordt, en hoe ze potentiële schade aan het merkimago kunnen beperken. Het naleven van wettelijke verplichtingen, waaronder privacywetgeving zoals de GDPR, speelt hierbij een sleutelrol. Leidinggevenden volgen doorgaans het advies van juridische of beveiligingsadviseurs, of dit nu afkomstig is van een gespecialiseerd incidentrespons team of van hun verzekeringsmaatschappij.
2. Incident Response
Tegelijkertijd wordt de incident response workflow geactiveerd zodra een beveiligingsaanval wordt geïdentificeerd; cyberverzekering vereisten zijn hier vaak van groot belang. Je beveiligingsteam, mogelijk in samenwerking met een externe partner zoals Ekco, start dan een uitgebreide inspanning om informatie te verzamelen.
Dit proces omvat het analyseren van tijdstempels en de acties die tijdens het incident zijn ondernomen, alsmede het veiligstellen van essentiële logbestanden. Het is cruciaal voor jouw organisatie om een loggeschiedenis van minimaal negentig dagen te behouden. Dit zou logs zoals Active Directory logs, audit logs van RDS-servers, en databases met IP-adressen of gevoelige informatie moeten omvatten, vooral die onderworpen zijn aan de GDPR. Zorg er ook voor dat deze logs worden opgeslagen in een onveranderlijke opslagplaats, apart van je primaire systemen.
Dit is een essentiële voorzorgsmaatregel omdat het eerste wat het beveiligingsteam na een incident zal vragen deze logs zijn. Vertragingen in het verkrijgen ervan kunnen de besluitvormingsprocessen van zowel het management als het technisch herstel vertragen.
Zodra het beveiligingsteam de logs heeft geanalyseerd, stellen ze een tijdlijn op, wat kan leiden tot forensische analyse, waarbij afbeeldingen van specifieke apparaten nodig zijn. Als bijvoorbeeld een laptop van een werknemer betrokken is geweest bij een verdachte RDP-verbinding of kwaadaardig SMB-verkeer, wordt het creëren van een image van het apparaat essentieel. Dit proces kan zich uitstrekken tot je gehele infrastructuur, inclusief servers die sporen van de aanval kunnen bevatten.
3. Technisch herstel
Terwijl het beveiligingsonderzoek zich ontwikkelt, wat een proces van weken of maanden kan zijn, komt de fase van technisch herstel in zicht. Dit is het aspect dat mensen vaak associëren met Disaster Recovery.
Een veelvoorkomend obstakel bij dataherstel is het gebrek aan voldoende opslagruimte. Stel je voor dat je normaal gesproken 80% van je capaciteit gebruikt, wat werkt voor je dagelijkse activiteiten. In geval van een incident zal het beveiligingsteam echter vereisen dat alle gecompromitteerde servers worden bewaard voor digitale replicatie. Dit betekent dat je waarschijnlijk niet genoeg ruimte zult hebben voor het herstel van je systemen. Daarom is het aan te bevelen om extra opslagruimte beschikbaar te hebben voor dergelijke scenario’s, of om een derde partij zoals Ekco in te schakelen die deze capaciteit kan bieden voor je herstelwerkzaamheden.
Dan rijst de vraag wat je als eerste moet herstellen. Je Disaster Recovery plan moet een prioriteitenlijst bevatten van essentiële diensten en applicaties die nodig zijn om je bedrijf weer operationeel te krijgen. Vergeet de salarisadministratie niet, aangezien het beveiligingsproces gemiddeld 21 dagen kan duren, wat waarschijnlijk een loonperiode omvat. Als het incident nog niet bekend is gemaakt, kan het niet uitbetalen van salarissen snel leiden tot publieke bekendmaking.
Wachtwoordbeheer is eveneens essentieel, gezien de grote afhankelijkheid van je bedrijf, zowel fysiek als digitaal, van wachtwoorden. Bewaar je wachtwoordkluis niet op je hoofdserver, want deze kan gecompromitteerd worden. Houd het apart, zodat je team kan blijven werken terwijl je aan het herstellen bent. Het resetten van inloggegevens zal een van je eerste taken zijn zodra je de basisinternetverbinding hebt hersteld en begint met het opzetten van een basisnetwerk.
Een geïntegreerde aanpak van weerbaarheid
In de periode na een aanval worden organisaties geconfronteerd met de uitdagingen van bestuurlijke besluitvorming, incident response en technische herstelwerkzaamheden. Het is cruciaal dat jouw onderneming zich bewust is van deze drie stromingen en ze integreert in het Disaster Recovery plan; de weg naar herstel na een cyberaanval omvat veel meer dan enkel de overwegingen omtrent infrastructuur.
Wil je meer informatie hierover? Neem dan gerust contact met ons op.
Heb je een vraag?
Onze specialisten hebben een antwoord