Het is belangrijk dat cybermonitoring goed georganiseerd is. Soms beschikt de klant intern over de benodigde expertise om de meldingen van het cybersecuritymonitoringsysteem te interpreteren en op te volgen. In andere gevallen heeft de klant het IT-beheer uitbesteed aan een externe beheerpartij.
SBL hanteert doorgaans het volgende organisatiemodel:
Incident response is een gestructureerd proces voor het afhandelen van de gevolgen van een beveiligingsincident of cyberaanval. Het doel is om schade zoveel mogelijk te beperken en de herstelduur en bijbehorende kosten te minimaliseren.
Dit proces dient efficiënt te verlopen en bestaat uit de volgende onderdelen:
Incidenttriage
Triage beschrijft een situatie waarin beperkte middelen en informatie beschikbaar zijn en prioriteiten moeten worden bepaald op basis van de ernst van het incident. Incidenttriage wordt gebruikt om het volgende vast te stellen:
Incidentcoördinatie en respons
Het is belangrijk dat de rollen en verantwoordelijkheden bij de afhandeling van incidenten voor alle betrokkenen duidelijk zijn.
Digitale forensische onderzoeken
Veel organisaties worden slachtoffer van cyberaanvallen, zoals ransomware-incidenten en datalekken. Een groot deel van deze aanvallen blijft lange tijd onopgemerkt. Wanneer een cyberaanval wordt ontdekt, is vaak onduidelijk hoe de aanval heeft plaatsgevonden, welke informatie is ingezien en of er mogelijk sprake was van interne betrokkenheid. Naast het reageren op cyberaanvallen worden digitale forensische onderzoeken uitgevoerd bij datalekken. Tijdens een digitaal forensisch onderzoek worden feiten en bewijsmaterialen verzameld en geanalyseerd. SBL is overigens geen specialist in het uitvoeren van forensische onderzoeken, maar zorgt er wel voor dat de benodigde logging- en eventinformatie beschikbaar is voor het onderzoek.
Malwareanalyses
Uitgebreide malwareanalyses worden uitgevoerd binnen een virtuele uitvoeromgeving om vast te stellen of verdachte code daadwerkelijk een bedreiging vormt. De gedetailleerde informatie die hieruit voortkomt, biedt inzicht in mogelijke oplossingsrichtingen en passende responsmaatregelen.
SBL biedt een flexibele dienstverlening ter ondersteuning van klanten bij de detectie, triage, analyse en afhandeling van IT-beveiligingsincidenten. Wanneer zich een beveiligingsincident voordoet, is er vaak geen tijd voor uitgebreide contractonderhandelingen over NDA’s, tarieven en voorwaarden. Dit proces kost doorgaans veel tijd, terwijl een langere responstijd de impact van het incident op de organisatie vergroot.
Binnen de aangeboden Cyber Monitoring-dienstverlening reserveert SBL standaard een blok van 12 of 24 incident response-uren per jaar (incident response retainer). Deze uren kunnen worden ingezet voor remote of on-site ondersteuning bij incident response, evenals voor overige securityconsultancydiensten van SBL. Indien meer uren benodigd zijn voor de analyse en afhandeling van het incident, worden de daadwerkelijk bestede uren doorbelast tegen een tarief van €125 per uur.
SBL stelt maandelijks een uitgebreide rapportage op waarin gebeurtenissen, meldingen en conclusies worden beschreven. Daarnaast wordt een overzicht opgesteld met actiepunten voor de klant, inclusief prioriteiten en statusinformatie. Indien gewenst verzorgt SBL een toelichting op de resultaten en worden vragen met betrekking tot de bevindingen beantwoord. Eén keer per kwartaal vindt een service management-overleg plaats tussen de klant (eventueel samen met de IT-beheerpartij) en SBL, waarin de dienstverlening en de samenwerking worden geëvalueerd.
Wilt u meer informatie ontvangen of een aanvraag doen? Neem dan gerust contact met ons op.
Neem contact op