Blijf een stap voor op cyberdreigingen in 2024! In deze mini-blog delen we 3 tips over hoe je je organsiatie weerbaarder kunt maken tegen cyber aanvallen.
Tip 1 - Incidentresponsplan ontwikkelen/testen
Ontwikkel een incidentresponsplan en zorg voor regelmatige oefeningen. Waarom? Meerdere studies hebben aangetoond dat een incidentresponsplan financiële impact kan voorkomen en/of verkleinen tijdens een incident. Verschillende aspecten komen hierin terug, denk aan de communicatie. Zowel extern als intern, hoe ga je je personeel inlichten van de “storing” als het mail verkeer eruit ligt? En tot hoever wil je gaan m.b.t. de betaling van het losgeld bij een ransomware aanval? Hoe ga je om met de dreiging van een DDOS-aanval als er niet betaald wordt? Welke bedrijfsprocessen ga je als eerste weer online brengen na een aanval, en welke servers, applicaties en andere infrastructuur is daarvoor nodig?
Als dit alles op voorhand ingeregeld en/of duidelijk is kan je, zoals eerder vermeld, de financiële schade soms wel tot 30% terug brengen (1,2).
Tip 2 - Geavanceerde en gelaagde detectie
Meerdere bronnen, zoals de recente melding van de AIVD, geven aan dat geavanceerde aanvallers steeds actiever worden. Dit zijn niet de typische ransomware groeperingen, maar meestal de staat-gesponsorde groeperingen. Waar de typische ransomware groep met hagel schiet en hoopt raak te schieten, Gaan staat-gesponsorde aanvallers gerichter te werk en zullen daarom zorgvuldiger en stiller je netwerk binnen dringen. Om deze aanvallers te detecteren, zodat je tijdig kunt ingrijpen om de kans op impact te verkleinen, is het belangrijk om op meerdere lagen detectie en response in te regelen.
Door ‘slimme’ maatwerk detecties op meerdere digitale lagen (account, data, applicatie etc.) te implementeren vergroot je de pakkans aanzienlijk. Want een aanvaller ‘raakt’ meer aan dan alleen een werkstation of server. Dit gecombineerd met honeytokens verkleint de kans dat een (geavanceerde) aanvaller zijn gang kan gaan en niet gedetecteerd wordt.
Natuurlijk heeft niet iedereen informatie die juicy genoeg is voor buitenlandse overheden (lees; China, Rusland, Amerika), maar wellicht wordt je netwerk gebruikt om juist bij je leverancier of klant binnen te komen, die deze spullen of informatie wel heeft.
Het goede nieuws, wat veel van onze klanten zich niet beseffen is dat de juiste tooling vaak al aanwezig is. Wat ontbreekt is de juiste integratie en expertise om het verschil te maken. Een praktische tip is het implementeren van honeytokens, welke weinig tot geen kosten dragen maar wel heel effectief zijn. Het NCSC heeft hierover een mooi artikel geschreven.
Tip 3 - Gebruik de slimme algoritmes
Door gebruik te maken van slimme algoritmes kunnen processen en repetitief werk geoptimaliseerd worden en daarmee maak je tijd vrij voor de belangrijke taken. Denk bijvoorbeeld aan het automatiseren van de eerste stappen bij een phishing alert. Of het laten meedenken bij de eerste stappen de triage op basis van een aantal Indicators of Compromise. Of de eerste poging doen tot het ontsleutelen van een geobfusceerd powershell script. Zo overbelast je de analisten ook niet met repetitief werk en help je de analisten bij de eerste stappen. Het gebruik van Copilot of een integratie met OpenAI zouden dit mogelijk kunnen maken, let wel op het privacy aspect bij het gebruik van zulke diensten.
Er wordt momenteel veel geschreven en geadverteerd over artifical intelligence (AI) en machine learning (ML). In 2024 zal dit zeker voor voordelen gaan zorgen, maar het is geen zilver bullet. Gebruik het om simpele en tijdrovende taken te automatiseren of als hulp bij de eerste stappen van de triage. Leun vooral op de grote spelers zoals Microsoft/OpenAI, Google etc. Deze bedrijven stoppen er miljarden in, daar kan een niet-AI gespecialiseerd bedrijf niet tegenop. Belangrijk hierbij is dat de analisten en responders meer tijd hebben voor het geavanceerde onderzoek, waar AI en ML naar onze mening nog niet heel veel mee kan helpen.
