Hoe test u een Incident Response Plan?

Hoe goed denkt u dat uw bedrijf met onverwachte beveiligingsproblemen om kan gaan? De meesten zijn behoorlijk zelfverzekerd over hun capaciteiten, vooral als ze nog nooit een ernstig incident hebben meegemaakt. Helaas blijven de kwaliteit en de snelheid van hun reactie op incidenten een puur theoretisch gegeven. Gelukzalig niet getest. Schandalig ongetraind?

Er zijn enkele opties om uw beveiligingsmogelijkheden te testen. U kunt het heft in eigen handen nemen en beginnen met het aanklikken van willekeurige spammails, of uw wachtwoord wijzigen in een ‘all-time favorite’ wachtwoord zoals “qwerty” of “password“. Misschien probeer je die rare USB-stick uit die de afgelopen weken op de parkeerplaats heeft gelegen? Dit zou op zijn minst een soort van veiligheidsschending moeten veroorzaken voor uw Incident Response team. Uw collega’s zouden echter niet zo blij kunnen zijn met uw prestatie als uw eenmansbedrijfje hen ongemak, of zelfs daadwerkelijke schade, toebrengt aan de systemen.

Misschien is het willekeurig starten van een incident niet de beste manier om te gaan. Zijn er andere mogelijkheden? Natuurlijk zijn die er. U kunt een pakket van ervaren penetratietesters krijgen om de veiligheid van uw bedrijf tot het uiterste te drijven in een onbeperkte penetratietest en het Incident Response-team te laten afhandelen wat voor chaos ze ook mogen veroorzaken. Het zal u een vrij goede ervaring uit de eerste hand geven, hoe het voelt om meedogenloos getarget en aangevallen te worden, terwijl u er zeker van kunt zijn dat de schatten van uw bedrijf veilig blijven, zelfs als uw veiligheidsmuren en –grachten zouden falen.

Wat als u daarentegen de effecten van een cyberaanval zou kunnen ervaren vanuit een comfortabele stoel in uw vergaderzaal, zonder dat dit gevolgen heeft voor uw netwerk of systemen? Een van onze Incident Response Workshops is misschien iets voor u. Net zoals een potje Dungeons & Dragons u begeleidt in verhaaltjesavontuur met orcs, wizards en schatten, dompelt een Incident Response Workshop u onder in levensechte incidenten waarbij de dingen niet altijd zijn wat ze lijken, waarbij uw Incident Response Plan op de proef wordt gesteld. Je begint bij de eerste tekenen van een incident  en zal beslissingen moeten nemen, delegeren en onderzoeken. Als er nieuwe informatie binnenkomt, moet u misschien van koers veranderen, onmiddellijk actie ondernemen of besluiten om te communiceren met externe partijen.

“Het Incident Response-team bij RandomCo heeft te maken met vreemde activiteiten op een van hun servers. De IT-manager zet een teamlid op het onderzoek van de server, terwijl de netwerkdocumentatie wordt opgehaald om de getroffen toepassing(en) te identificeren. Ondertussen stelt de DPO een eerste incidentenrapport op. Als de eigenaar van de applicatie wordt opgeroepen, blijkt uit het onderzoek dat de gegevens op de server gegijzeld zijn door malafide ransomware. Deze informatie wijst op een veel ernstiger incident dan eerder werd gedacht…”

Welke stappen zal RandomCo ondernemen om deze situatie aan te pakken? Wat zou u doen? Zou u servers isoleren, back-ups ophalen en het forensisch team inschakelen, of zou u de stekker eruit trekken, het losgeld betalen of uw bedrijfsgeheimen op het internet vinden?