Het is van belang om cybermonitoring goed organisatorisch te borgen. Soms heeft de klant zelf de nodige expertise in huis om de alerts die uit het cybersecurity monitoringsysteem komen te interpreteren en op te volgen. Maar het komt ook voor dat de klant IT heeft uitbesteed aan een externe beheerpartij.
SBL hanteert doorgaans het volgende organisatiemodel:
Incident response is een georganiseerd proces voor het aanpakken van de nasleep van een inbreuk op de beveiliging of een aanval (ook bekend als een incident). Het doel is om de schade zoveel mogelijk te beperken en de hersteltijd en -kosten te minimaliseren.
Dit moet gebeuren in een efficiënt proces, dat bestaat uit de volgende onderdelen:
Incident Triage
Triage beschrijft een situatie waarin je beperkte middelen en informatie hebt en moet beslissen over de prioriteiten van de benodigde acties op basis van de ernst van het incident. Middels een incident triage wordt het volgende bepaald:
Incidentcoördinatie en -bestrijding
Het is belangrijk om ervoor zorg te dragen dat de taken en verantwoordelijkheden bij de afhandeling van incidenten voor iedereen helder en duidelijk zijn
Digitaal forensisch onderzoek
Veel organisaties worden het slachtoffer van cyberaanvallen (zie de recente ransomware- en datalekincidenten). Veel van deze aanvallen blijven "onder de radar" en zijn onzichtbaar. Wanneer een cyberaanval wordt ontdekt, is vaak niet duidelijk hoe de aanval is uitgevoerd, wat voor informatie is opgevraagd en of er hulp van binnenuit is geweest. Naast het reageren op cybercrime-aanvallen wordt digitaal forensisch onderzoek gedaan bij datalekken. Met digitaal forensisch onderzoek worden feiten en bewijzen verzameld en geanalyseerd. SBL is overigens geen specialist in de uitvoering van forensisch onderzoek, maar zorgt er wel voor dat de benodigde logging- en eventinformatie beschikbaar is voor het onderzoek.
Malware-analyses
Uitgebreide malware-analyses worden uitgevoerd in een virtuele executieomgeving om te bepalen of een gemarkeerd stuk code daadwerkelijk een bedreiging vormt. De gedetailleerde informatie die wordt gegenereerd, geeft inzicht in de mogelijkheden om het probleem op te lossen en hoe te reageren.
SBL biedt een flexibele dienst aan om de klant te helpen bij het opsporen, triage, analyseren en oplossen van IT-beveiligingsincidenten. Wanneer een beveiligingsincident optreedt dan is er geen tijd om uitgebreide contractonderhandelingen te voeren over o.a. NDA, tarieven, voorwaarden etc. Dit is normaal gesproken een tijdrovende taak en hoe langer de daadwerkelijke Incident response duurt, hoe meer impact dit incident zal hebben voor de organisatie.
SBL heeft binnen de aangeboden Cybermonitoring dienst een standaard blok van 12 of 24 incident response service uren per jaar (incident response retainer) gereserveerd, welke kunnen worden gebruikt voor remote of onsite incident response ondersteuning alsmede voor elke security consulting dienst aangeboden door SBL. Indien er meer uren nodig zijn voor het analyseren en oplossen van het incident, zal SBL de daadwerkelijk bestede uren op basis van een tarief van € 125,- per uur in rekening brengen.
SBL stelt maandelijks een gedetailleerd rapport op met een beschrijving van de gebeurtenissen, waarschuwingen en conclusies. Als resultaat zal SBL een lijst van acties opstellen voor de klant met prioriteiten en statusinformatie. Indien gewenst zal SBL een briefing houden om de resultaten te bespreken en vragen te beantwoorden die verband houden met de resultaten. Eens per kwartaal vindt er een servicemanagement-overleg plaats tussen de klant (evt samen met de IT beheerpartij) en SBL, waarbij de dienstverlening en de wijze van samenwerking wordt geëvalueerd.
Wil je meer informatie of een aanvraag doen? Neem dan contact met ons op.
Contact opnemen