Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

Kwetsbaarheden in Ivanti EPMM 

Lees de alert met tijdlijn, scanscript, duiding en handelingsperspectieven.

Hoe begin ik met assume breach?

Kennisartikelen
Leestijd:
Assume breach
Groeien
Met assume breach verleg je de focus van het voorkomen van naar omgaan met digitale aanvallen. In de basis blijft gedegen risicomanagement het fundament voor passende digitale weerbaarheid van jouw organisatie. Wel zijn er een aantal aandachtspunten die je mee moet nemen in jouw risicomanagementproces. Het belangrijkste dat je moet omarmen om het assume breach-gedachtengoed te borgen in jouw organisatie, beschrijven we hieronder in enkele praktische handvatten, ingedeeld volgens de Routekaart Risicomanagement.

Dit artikel is een vervolg van Wat is assume breach? Daarin lichten we de basis toe van assume breach.

Doelgroep
Deze pagina is bedoeld voor CISO’s, ISO’s en securityprofessionals die meer willen weten over assume breach.

Creëer randvoorwaarden

Met assume breach neem je een specifieke invalshoek op jouw cybersecuritystrategie. Hiervoor heb je commitment nodig vanuit jouw bestuur of management en dat is niet altijd makkelijk. Want wat kost het implementeren van assume breach en wat levert het op? En hoe breng je de boodschap dat jouw organisatie ervan uit moet gaan dat het niet mogelijk is om aanvallers buiten de deur te houden? 

Belangrijk is dat het assume breach-principe impact heeft op hoe er naar risico’s wordt gekeken. Van voorkomen dat risico’s plaats zullen vinden, naar hoe, als risico’s toch gebeuren, daarop te anticiperen. Een belangrijke randvoorwaarde hiervoor is dat het bestuur en management ervan doordrongen raken dat digitale aanvallen of verstoringen lang niet altijd zijn te voorkomen en dat inzetten op digitale weerbaarheid uiteindelijk ook bijdraagt aan het realiseren van de organisatiedoelstellingen. 

Het beoordelen van risico's

Tijdens de risicobeoordelingsfase ga je aan de slag met het inventariseren en beoordelen van risico’s. 
Neem het assume breach-principe hierin op verschillende manieren mee, zoals:

  • Neem insider-threats mee als dreigingsvector in een risicoscenario. Niet alle insiders zijn kwaadwillend. Zo bestaat er bijvoorbeeld ook de onbewuste insider die zijn organisatie onbewust blootstelt aan een cyberdreiging. Wat ze wel gemeen hebben is dat ze al binnen zijn en een cybersecurityrisico vormen voor je organisatie.  
  • Zorg ervoor dat jouw risicoscenario’s ook vanuit een assume breach-bril worden beoordeeld. Ga ervan uit dat de (extern-gerichte) preventieve maatregelen onvoldoende zijn om een aanvaller buiten de deur te houden. Wat kan een aanvaller doen als hij al binnen is en hoe goed is jouw organisatie hierop voorbereid?

Aan de slag met het beheersen van risico's

De basisprincipes van het NCSC blijven van toepassing als algemene baken voor het beheersen (en behandelen) van risico’s.  

Overweeg wel het volgende:

  • Kies een beveiligingsstrategie dat past. Verschillende beveiligingsstrategieën, zoals defense-in-depth, zero-trust en data-centric security sluiten naadloos aan op het assume breach-principe en bieden houvast in het treffen van passende maatregelen.
  • Leg de nadruk op interne preventie, detectie, respons en herstel.
    • Interne preventieve maatregelen, zoals netwerksegmentatie, het beheersen van kwetsbaarheden op jouw netwerken en passend toegangsbeheer, beperken de mogelijkheden van een aanvaller om zich te verplaatsen door jouw netwerk, ook na initiële compromittatie.  
    • Met detectie richt je je op het opsporen van verdachte patronen van bijvoorbeeld je interne netwerkverkeer in plaats van slechts de bekende aanvallen. Veel gebruikte methodieken zijn o.a. gedragsanalyse, threat hunting en anomaly detection om een aanvaller of een afwijking sneller te herkennen. Je probeert actief aanvallers te vinden en wacht  niet alleen af totdat er een alarm afgaat.  
    • Je focus ligt op snel en effectief ingrijpen (je response), omdat je weet dat hoe langer een aanvaller in je systemen zit, hoe groter in potentie de schade is. Hierdoor wil je een incident snel beheersen, stoppen en begrijpen. Dit doe je door bijvoorbeeld getroffen systemen te isoleren, precies te onderzoeken wat er gebeurd is en intern en extern te communiceren volgens vooraf afgesproken procedures in je incidentresponseplan. 
    • Je gaat ervan uit dat herstel nodig zal zijn, dus je plant dat vooraf zodat je tijdens incidenten terug weet te keren naar de situatie van voor het incident. Dit doe je door bijvoorbeeld betrouwbare back-ups klaar te zetten, deze regelmatig te testen en door te leren van een incident en je beveiligingsmaatregelen daarop aan te passen. Je weet daarbij ook hoe lang bepaalde systemen of software er uit mogen liggen, voordat het kritiek wordt.  

Houd grip op de maatregelen

In deze fase controleer je of jouw geïmplementeerde maatregelen daadwerkelijk impact maken om je weerbaarheid te verhogen. Met assume breach in het achterhoofd, beoordeel je of de genomen maatregelen ervoor zorgen dat je als organisatie beter in staat bent om digitale incidenten of aanvallen het hoofd te bieden. 

Een aantal voorbeelden:

  • Leer van incidenten of bijna incidenten. Analyseer periodiek incidenten of bijna-incidenten nadat deze zich hebben voorgedaan. Bekijk daarbij welke factoren en beveiligingsmaatregelen (of het gebrek daaraan) een bijdrage leverden aan het (bijna) incident. Stel vast in hoeverre je in staat was om het (bijna) incident het hoofd te bieden en welke aanvullende maatregelen nodig zijn om in de toekomst beter voorbereid te zijn. Dus: wat ging er goed, wat behoeft aandacht?
     
  • Securitytesten zijn bij uitstek een middel om de effectiviteit van jouw beheersmaatregelen te toetsen. Veel securitytesten – zoals een phishingtest, inlooptest of USB-drop-test – richten zich op de eerste verdedigingsschil van jouw organisatie. Maar er is meer. Zo kun je jouw interne systemen onderwerpen aan een penetratietest of  je assume breach-scenario hanteren tijdens een red-team.    
     
  • Neem assume breach mee in het beoordelen van de effectiviteit van jouw beveiligingsmaatregelen. Oefen met assume breach-scenario’s. Cyberoefeningen – zoals een tabletop – kunnen helpen om zicht te krijgen op hoe je organisatie reageert op situaties waarbij een aanvaller in staat is je eerste verdedigingsmuur te omzeilen.  In hoeverre is je organisatie ingericht om dergelijke aanvallen af te kunnen slaan en daarvan te herstellen?

Hoe nu verder?

Wil je jouw organisatie nog beter voorbereiden en de volgende stappen zetten met assume breach?

Routekaart Risicomanagement

We verwijzen regelmatig naar de Routekaart Risicomanagement. De routekaart biedt organisaties houvast in het digitale domein. Als referentiekader helpt de routekaart om inzicht en overzicht te krijgen in risicomanagement en digitale weerbaarheid. De routekaart maakt duidelijk dat keuzes altijd contextafhankelijk zijn en ondersteunt organisaties bij het maken van weloverwogen beslissingen.

Formulier
Heeft deze pagina je geholpen?