Lees deze blog over ‘The Golden Hour’, geschreven door één van onze cybercrisis experts Kelvin Rorive.
In het dynamische en vaak onvoorspelbare domein van cybersecurity, is het vermogen van een organisatie om snel en doeltreffend te reageren op incidenten van cruciaal belang om de schade te beperken. Deze responsiviteit wordt nergens beter geïllustreerd dan tijdens ‘The Golden Hour’ – het eerste uur na het ontdekken van een cyberaanval of beveiligingsinbreuk. Dit kritieke tijdsbestek is vaak bepalend voor het verloop van de crisis. Als in deze periode niet de juiste beslissingen worden genomen, kunnen de gevolgen verstrekkend en kostbaar zijn. Deel I van deze blog gaat in op de essentiële stappen die genomen moeten worden in ‘The Golden Hour’. In deel II wordt het belang van het hebben van een goed voorbereid crisisteam verder benadrukt.
Het belang van snelle actie
Een van de eerste en belangrijkste stappen bij het detecteren van een cyberaanval is niet het uitschakelen van de getroffen computers, maar het onmiddellijk loskoppelen van alle netwerkverbindingen. Het instinct kan zijn om de getroffen systemen uit te zetten in een poging de schade te beperken, maar dit kan tegenproductief werken. Het uitschakelen van systemen kan waardevolle forensische gegevens vernietigen die essentieel zijn voor het onderzoeken van de aanval en het voorkomen van toekomstige inbraken. Door de apparatuur van het netwerk te isoleren in plaats van uit te zetten, wordt de aanvaller afgesneden van verdere toegang tot het systeem, terwijl cruciale informatie behouden blijft voor analyse.
Pas op voor signalen aan criminelen
Hoewel het ontkoppelen van systemen van het netwerk een fundamentele stap is in het beperken van de schade tijdens een cyberaanval, brengt het ook een complex dilemma met zich mee. Deze actie kan namelijk dienen als een duidelijk signaal aan de aanvallers dat hun aanwezigheid is ontdekt. In bepaalde scenario’s kan deze ontdekking ongewenste gevolgen hebben, zoals het aanzetten van de aanvallers om hun aanvalstactieken te wijzigen, waardevolle data te vernietigen, of over te gaan tot een directe afpersingspoging.
De afweging tussen het direct isoleren van systemen en het risico van het alarmeren van de aanvallers vereist een doordachte beslissing van het crisisteam. Deze beslissing hangt af van verschillende factoren, waaronder het type aanval, de geïdentificeerde doelstellingen van de aanvallers en de kritieke aard van de getroffen systemen of data.
Factoren die de besluitvorming beïnvloeden
- Type aanval: bij een ransomware-aanval kan snelle isolatie cruciaal zijn om verspreiding te voorkomen. Echter, bij complexe spionage- of datadiefstaloperaties kan discretie gewenst zijn om de aanvallers te kunnen monitoren en meer inzicht te krijgen in hun methoden en doelen.
- Doelstellingen van de aanvallers: als de aanval gericht lijkt op directe financiële afpersing, kan het onthullen van detectie het onderhandelingsproces beïnvloeden. In situaties waar de motivatie van de aanvaller minder duidelijk is, kan het behouden van het verrassingselement in het voordeel van de verdedigers zijn.
- Kritieke aard van de getroffen systemen: voor systemen die essentiële bedrijfsprocessen of gevoelige informatie bevatten, kan de noodzaak om deze te beschermen zwaarder wegen dan het risico van het alarmeren van de aanvallers.
- Verzamelen van bewijsmateriaal: het vermogen om forensisch bewijs te verzamelen en te behouden is cruciaal voor zowel interne analyse als eventuele juridische stappen tegen de aanvallers. Dit kan een strategische reden zijn om systemen operationeel te houden of de wijze van isolatie zorgvuldig te kiezen, om zodoende geen waardevolle data en sporen te vernietigen. Lees verderop over Chain of Custody.
Het crisisteam moet een strategische afweging maken, rekening houdend met zowel de korte- als lange termijn gevolgen van hun acties. In sommige gevallen kan het besluit om niet onmiddellijk te ontkoppelen, maar in plaats daarvan technieken te gebruiken om de aanvallers te monitoren, waardevolle inlichtingen opleveren. Deze informatie kan niet alleen helpen bij het neutraliseren van de huidige dreiging, maar ook bij het versterken van de beveiligingspostuur tegen toekomstige aanvallen.
Het belang van sporenverzameling en "Chain of Custody"
Naast de directe reactie op een cyberaanval, speelt het verzamelen van sporen een cruciale rol, zowel voor interne analyse als voor mogelijke juridische stappen. Het zorgvuldig verzamelen en documenteren van digitaal bewijs kan essentieel zijn voor strafrechtelijk onderzoek en eventuele vervolging van de daders. Dit proces wordt verder versterkt door de naleving van de ‘chain of custody’, een fundamenteel principe in het bewijsrecht dat de integriteit van het bewijsmateriaal waarborgt.
Wat is Chain of Custody?
Chain of Custody verwijst naar het documentatieproces dat de volledige geschiedenis van bewijsmateriaal vastlegt, vanaf het moment van verzameling tot aan de presentatie in de rechtszaal. Dit omvat wie het bewijs heeft verzameld, opgeslagen, getransporteerd en geanalyseerd, evenals wanneer en onder welke omstandigheden. Het doel is om elke mogelijkheid van manipulatie, vervanging of contaminatie van het bewijs uit te sluiten, waardoor de geloofwaardigheid ervan in juridische procedures wordt gewaarborgd.
Invulling aan Chain of Custody
Om aan de eisen van chain of custody te voldoen, moeten organisaties zorgvuldige procedures volgen bij het hanteren van digitaal bewijs:
- Documentatie: elke interactie met het bewijsmateriaal moet worden gedocumenteerd, inclusief details zoals datum, tijd en de betrokken personen.
- Veilige opslag: bewijsmateriaal moet op een veilige locatie worden bewaard, met beperkte toegang om ongeautoriseerde manipulatie te voorkomen.
- Transport: bij het verplaatsen van bewijsmateriaal moeten protocollen worden gevolgd die de veiligheid en integriteit ervan waarborgen.
- Toegangscontrole: alleen geautoriseerd personeel mag toegang hebben tot het bewijsmateriaal en elke toegang moet worden geregistreerd.
Het verzamelen van sporen vormt een extra reden om niet overhaast systemen van het netwerk te ontkoppelen. Door systemen operationeel te houden, kunnen organisaties waardevolle gegevens vastleggen die anders verloren gaan. Deze informatie kan niet alleen nuttig zijn voor interne herstelinspanningen, maar ook voor het identificeren, traceren en juridisch vervolgen van de aanvallers. Het is echter van cruciaal belang dat dit proces wordt uitgevoerd onder strikte beveiligingsprotocollen om verdere schade of datalekken te voorkomen.
Het naleven van de Chain of Custody en het zorgvuldig verzamelen van sporen benadrukken het belang van een doordachte en methodische aanpak in de nasleep van een cyberincident. Door deze richtlijnen te volgen, kunnen organisaties niet alleen effectiever reageren op incidenten, maar ook bijdragen aan het bredere doel van gerechtigheid en de bestrijding van cybercriminaliteit.
De vervolgstappen...
Er is veel te doen in het eerste uur en dat terwijl er al zoveel stress is. Wil je meer weten over de juiste stappen die je moet nemen? Zoals het bijeenroepen van het crisisteam, het inschakelen van een forensische expert bij het nemen van de juiste beslissingen en het regelen van passend mandaat en strakke communicatie? Houd onze LinkedIn en/of blog pagina in de gaten voor ‘The Golden Hour – Deel II’.