‘Het is essentieel dat organisaties regelmatig verschillende scenario’s oefenen, het liefst om de twee weken.’ Dit advies komt van Pieter Jansen, Senior Vice President of Cyber Innovation, Darktrace, naar aanleiding van de cyberoefening waarbij defensieteams uit hele wereld elkaars netwerken aanvielen.
Tijdens een omvangrijke cyberoefening van het Defensie Cyber Commando (DCC) hebben defensieteams van over de hele wereld elkaars netwerken aangevallen om hun cybervaardigheden te testen in levensechte scenario’s. De meeste organisaties oefenen te weinig. In een tijd waarin cyberincidenten steeds vaker voorkomen, is het van groot belang dat ze dit vaker doen en daarbij een breed scala aan scenario’s oefenen.
Veel organisaties bereiden zich voor op cyberincidenten door een draaiboek te maken. Dit draaiboek beschrijft de stappen die moeten worden genomen om een cyberincident op te lossen en wie er in elke fase betrokken moet worden. Deze draaiboeken worden vervolgens getest door middel van gesimuleerde incidenten, waardoor beveiligingsteams leren hoe ze hun verdedigingsmechanismen kunnen verbeteren.
> LEES OOK: Deze lessen kunnen worden getrokken uit cyberoefening ISIDOOR-4
Er is geen standaard aanvalsscenario
Uit mijn ervaring blijkt echter dat er nog steeds veel te weinig wordt geoefend. Vaak gebeurt dit slechts eens per kwartaal, of zelfs per jaar. Bovendien richten negen van de tien oefeningen zich op hetzelfde scenario: een ransomware-aanval. Hoewel ransomware-aanvallen veel voorkomen, is er geen standaard aanvalsscenario; de aanvallen zijn divers van aard. Daarnaast maken cybercriminelen gebruik van uiteenlopende aanvalstechnieken, zoals phishing, man-in-the-middle-aanvallen of DDoS-aanvallen. En dit zijn alleen de externe bedreigingen. Ook interne IT-problemen kunnen leiden tot cyberincidenten.
> LEES OOK: ‘Het beoefenen van een cybercrisis maakt ons land weerbaarder’
Om de twee weken oefenen
Daarom is het essentieel dat organisaties regelmatig verschillende scenario’s oefenen, het liefst om de twee weken. Dit is de enige manier om ‘muscle memory’ op te bouwen voor een goede incidentrespons. Door regelmatig te trainen, leren teamleden beter samenwerken, waardoor ze beter voorbereid zijn op een echt incident. Beveiligingsteams hoeven deze scenario’s niet zelf te ontwikkelen; met behulp van kunstmatige intelligentie kunnen softwaretools unieke scenario’s genereren, waardoor teams met een breed scala aan incidenten worden geconfronteerd.
Pieter Jansen, Senior Vice President of Cyber Innovation, Darktrace
Volg Security Management op LinkedIn