Te veel organisaties denken nog altijd dat een hack hooguit bij de buren plaats zal vinden en niet bij henzelf. Als je dan toch wordt aangevallen, moet je weten wat je te doen staat. Hierbij komt de Incident Response-service van NetWitness van pas. “Direct alle stekkers uit de netwerkapparatuur trekken, is het onverstandigste wat je kunt doen.”
Tijdens de pandemie is, met de versnelde digitalisering, het aantal cyberdreigingen flink toegenomen. Daar komt bij dat hackers steeds betere tools hebben en steeds strategischer te werk gaan. “Een hacker zet meestal niet direct de aanval in, maar gaat eerst eens rustig bekijken waar de kroonjuwelen zich bevinden,” vertelt Hielke Veltman, Channel Alliance Manager bij NetWitness.
Paniekreactie
Wanneer een organisatie een ongenode gast opmerkt, is vaak de eerste reflex alle kabels uit de netwerkapparatuur te trekken en de oude back-up herstellen. “Dat is een paniekreactie voor de korte termijn. Een hacker heeft dan juist in de gaten dat hij is ontdekt. Wij zeggen altijd: the postman always rings twice. Een hacker komt vaak terug om alsnog toe te slaan als de dijkbewaking niet is versterkt.”
Waar te beginnen?
Naast diensten voor Network Detection and Response en Endpoint Detection and Response (gezamenlijk aangeduid als XDR (eXtended Detection and Response) biedt NetWitness ook Incident Response als service aan. Daarbij stelt de specialist zich op als agnostic vendor: het is niet nodig om SIEM- of XDR-diensten van NetWitness af te nemen.
Organisaties hebben vaak geen idee van de collateral damage
“Veel organisaties willen meer dan de firewalls en andere securitymaatregelen die ze al hebben getroffen maar weten niet waar ze moeten beginnen. Hen raad ik aan op z’n minst een Incident Response-dienst te nemen. Zie het als een verzekering, maar dan een die niet uitkeert, maar met jou op zoek gaat naar de hacker en naar een oplossing om nu en in de toekomst erger te voorkomen. Dat kan ertoe leiden dat we gaan onderzoeken waarom de hack heeft plaatsgevonden. Was het een doelgerichte aanval of heeft iemand op een phishing-link geklikt? Moet ik wat doen aan bewustwording? Dat is iets waar onze partners dan weer sterk in zijn: vooraf onderzoeken of je up-to-date bent en via pentesting het hele netwerk scannen. Ook kunnen zij je medewerkers trainen met een bewustwordingscampagne.”
Hielke Veltman
Flexibele schil
Wordt een organisatie gehackt, dan is meestal niet de menskracht aanwezig om het te onderzoeken. Daarmee biedt de Incident Response-service een flexibele schil. “Dat is geen overbodige luxe, zeker niet als je geen zaken meer kunt doen en je niet weet hoe je met de pers moet omgaan. Vaak hebben organisaties wel een globaal idee van de schade, maar niet van de collateral damage.” Als het eenmaal nodig is om op incidenten te reageren, kan dat fysiek of op afstand. “We doen dit altijd binnen Europa en houden daarbij vanzelfsprekend rekening met de AVG.”
Dit artikel verscheen eerder in het ChannelConnect Security & Privacy Dossier 2022
