In de eerdere blogpost over dataveiligheid in de zorg bekeken we de functies 1 en 2 van het NIST-raamwerk: identificeer en bescherm. In deze blog staan functies 3 en 4 centraal – detecteer en reageer – en bespreken we de rol van een goede Managed Detection & Respons dienst hierbij.
Met detecteer doelt het NIST op de juiste maatregelen om cyberrisico’s, ongebruikelijke activiteiten of andere mogelijke afwijkingen tijdig te signaleren. Deze functie omvat voornamelijk de inzet van continue monitoring en het opsporen van bedreigingen. Reageer gaat over het implementeren van relevante maatregelen wanneer een incident wordt gedetecteerd, en helpt een organisatie om de impact ervan op te vangen.
De rol van Managed Detection & Response
Om deze twee functies praktisch vorm te geven, biedt de markt Managed Detection & Response-technologie (MDR). MDR combineert volautomatische detectie van afwijkend gedrag met menselijke beoordeling, opvolging en afhandeling. Dat gebeurt door informatie uit logbronnen te ontsluiten vanuit verschillende componenten van de IT-infrastructuur. Denk hierbij aan endpoint-oplossingen, Active Directory, servers, firewalls en andere netwerkcomponenten.
Bij Managed Detection & Response zijn zogenaamde use cases van belang. Dit zijn in feite vooraf bepaalde beveiligingsregels. Als deze overtreden worden, wordt een melding gegenereerd. Om te voorkomen dat een instelling wordt overladen met meldingen, is het zaak deze use cases vooraf goed te definiëren. Alleen kritische meldingen worden dan doorgegeven, waar actie echt vereist is.
In de praktijk bij Intermax betekent Managed Detection & Response dat we uw logbronnen aansluiten op ons Security Operations Center, dat 24/7 in de lucht is. Door MDR te combineren met een endpoint- en vulnerabilty security-oplossing is een compleet platform beschikbaar om een infrastructuur maximaal te beschermen.
Beter voldoen aan privacy- en informatiebeschermingswetgeving met Managed Detection and Response
De crux van Managed Detection and Response is dat het als dienst is opgezet en daardoor geavanceerde 24/7 beveiligingscontrole omvat, gericht op organisaties die niet de mensen en middelen hebben om dit zelf te realiseren. Met MDR kunnen zij toch voldoen aan de eisen die de overheid stelt wat betreft privacy- en informatiebeschermingswetgeving.
Incident response
Naast monitoring – dat inspeelt op detectie – is het ook zaak om effectief te kunnen reageren op een bedreiging. Dat gebeurt via een goed incident response-plan, dat zowel technische als procesmatige maatregelen omvat. Zo’n plan begint bij een nauwkeurige omschrijving van de primaire processen en het bijbehorende IT-landschap. Voor een ziekenhuis is het bijvoorbeeld van belang dat operaties altijd doorgaan. Als duidelijk is omschreven wat daar vanuit de IT-infrastructuur voor nodig is, is ook bekend waar een instelling op moet monitoren. Is er vervolgens sprake van afwijkend gedrag, dan kan een instelling direct de juiste response-activiteiten in gang zetten.
Risicoanalyse
Naast deze inventarisatie is een grondige risicoanalyse nodig. Zo’n analyse biedt inzichten in het IT-landschap, dreigingsscenario’s en gevolgschade na een beveiligingsincident. Met deze informatie kun je vooraf de juiste stappen definiëren voor wanneer er sprake is van een incident. Daar ontbreekt tijdens het incident de tijd voor. Tot slot omvat een incident response-plan ook de formele besluitvormingslijnen in het geval van een incident. Het moet vooraf duidelijk zijn wie waarover besluiten kan nemen. Dit zorgt ervoor dat snelheid gewaarborgd is als een incident zich voordoet.
Een incident respons-plan is niet statisch. De wereld verandert voortdurend. Het is dus zaak om het regelmatig te testen en finetunen.
Met een solide MDR-platform en het juiste incident response-plan zijn veel cyberaanvallen te keren. Toch kan het een keer misgaan. Wat dan de mogelijke stappen zijn, bespreken we in onze volgende blogpost.