Ook financiële dienstverleners ondervinden steeds vaker dat hun IT-beveiliging meer moet omvatten dan een firewall en antivirus-software. Tegenwoordig is het niet enkel een kwestie van aanvallen van buitenaf voorkomen, maar vooral schade beperken nadat een systeem al is gekraakt.
Hoe eerder zo’n hack wordt ontdekt en aangepakt, hoe minder de ellende en kosten voor de financiële dienstverlener. Daarom is effectief Threat Lifecycle Management (TLM) zo belangrijk: een gestroomlijnd intern proces van slimme monitoring, geautomatiseerde actie en snel herstel. In de onderstaande stappen ontdekt u in welke capaciteiten en processen uw organisatie moet investeren om de impact van cyberaanvallen te verkleinen.
Fase 1: Verzamel
Een cyberaanval kent een lange aanloop van enkele stappen – de zogenaamde Cyber Attack Lifecycle. Voordat zo’n bedreiging überhaupt wordt ontdekt, moet er bewijs van zijn binnen uw IT-omgeving. Die informatie kunt u bijvoorbeeld halen uit gegevens uit uw beveiligingssoftware, zoals beveiligingsgebeurtenissen en -waarschuwingen. Maar ook opgeslagen data – per gebruiker, systeem, applicatie, etc. – die toont wie wat deed, waar en wanneer, biedt ondersteuning bij het opsporen van bedreigingen. Nog een stap verder is 360-gradeninzicht in alle netwerkactiviteiten. Dit voorkomt blinde vlekken in het netwerk – de ideale toegangsroute voor hackers. Gecentraliseerde, geautomatiseerde, beschermende monitoringssystemen die data verwerken van meerdere bronnen geven dit diepgaande inzicht in netwerken.
Fase 2: Ontdek
Inzicht in de IT-omgeving gecreëerd? Dan is het tijd om de bedreigingen te ontdekken en aan te pakken, met behulp van zoek- en machine-analyses. Beveiligingsmedewerkers moeten doelgericht op zoek gaan naar bedreigingen en uitzonderingen. Dit kan onder meer met zelflerende software en andere geautomatiseerde technieken. Volgens Gartner is in 2018 25 procent van de beveiligingsproducten in een bepaalde mate zelflerend. Er is dus nog meer detectiehulp onderweg.
Fase 3: Kwalificeer
Opgespoorde bedreigingen moeten snel gekwalificeerd worden. Wat is de mogelijke impact van een ontdekte bedreiging op uw bedrijf? Is er meer onderzoek nodig en hoe snel moet u actie ondernemen? Wanneer bedreigingen efficiënt worden beoordeeld, kost dat minder tijd en minder arbeidskracht. Inefficiënte of onjuiste kwalificering kan ertoe leiden dat een serieuze bedreiging uren- of dagenlang onopgemerkt blijft.
Fase 4: Onderzoek
Wanneer de bedreigingen na fase drie een label hebben, moet bepaald worden of er nog een aanval aan de gang is of dat er al een heeft plaatsgevonden. Snelle toegang tot geanalyseerde data en kennis over de bedreiging is van het grootste belang. Dat gaat het makkelijkst met geautomatiseerde organisatiebrede systemen, waarin bijvoorbeeld de beveiligingsacties en onderzoeksstappen per afdeling inzichtelijk zijn voor het hele bedrijf.
Fase 5: Neutraliseer
Is de bedreiging ontdekt, dan zijn maatregelen nodig om schade aan het bedrijf te voorkomen. Iedere seconde telt, dus eenvoudig toegankelijke actieplannen en geautomatiseerde processen zijn essentieel. Net als in de onderzoeksfase zijn ook samenwerken en het delen van informatie binnen de organisatie – op het gebied van IT, de juridische afdeling, HR – van groot belang.
Fase 6: Herstel
Zodra het voorval en het risico voor het bedrijf onder controle zijn, kan het herstel beginnen. Dit kan soms wel dagen of weken duren, afhankelijk van de impact van het incident. Om het herstel voorspoedig te laten verlopen heeft het beveiligingsteam toegang nodig tot alle forensische informatie omtrent het onderzoeks- en actieproces. Alle acties in deze fase worden geregistreerd en systemen gaan geüpdatet en wel weer online. Idealiter treft een bedrijf ook meteen maatregelen waardoor terugkerende bedreigingen worden herkend en/of voorgoed buiten de deur worden gehouden.
Weet dat cyberaanvallen nu eenmaal moeilijk zijn te voorkomen. Bereid uw organisatie er daarom zo goed mogelijk op voor met een optimaal TLM. Analyseer de zes fases en zorg voor effectieve, efficiënte en zelflerende systemen, waar mogelijk geautomatiseerd. Door de ultieme integratie van technologie, mensen en processen houdt u bedreigingen en hun financiële gevolgen onder controle.
Rob Pronk, Regional Director Northern Europe bij LogRhythm
