Wat is incident response? Wat is de meerwaarde van een team dat specifiek met incident response bezig is (CSIRT of CERT of CIRT of )?

Vergelijkbare documenten
Cyber Security: hoe verder?

Business as (un)usual

Enterprise Architectuur. een duur begrip, maar wat kan het betekenen voor mijn gemeente?

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

ISACA NL C**** in a day Inspiratiesessie CRISC

Digitale Veiligheid 3.0

BootCamp. Template Powerpoint Datum

CERT.be Brussels 2011

JOB OPENING OPS ENGINEER

Wat is Cyber Security Management? 3 oktober ISA / Hudson Cybertec Arjan Meijer Security Consultant

Geleerde lessen Compliance. Utrecht, 19 januari 2017 Mr. Stijn Sarneel MBA CIPP/E. Agenda

Ervaringen met begeleiding FTA cursus Deployment of Free Software Systems

Identity & Access Management & Cloud Computing

User-supplied VMs op BiG Grid hardware

Bedrijfscontinuïteit met behulp van een BCMS

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Conceptueel Modelleren GEÏNTEGREERD DATA MODELLEREN MET DEMO EN DATA VAULT

CYBER SECURITY MONITORING

Offshore Outsourcing van Infrastructure Management

Opleiding PECB IT Governance.

NORTHWAVE Intelligent Security Operations

It s CMMI Jim, but not as we know it! CMMI toegepast op een Compliance organisatie Door Jasper Doornbos Improvement Focus

Productopbouw. BrainCap levert cybersecurityoplossingen in 3 stappen.

NS in beweging, Security als business enabler september 2008

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

KLM. Omgaan met infrastructuren in Kritische Bedrijfsprocessen. Teun J Platenkamp KLM Security Services Sr Vice President

Informatiebeveiliging & Privacy - by Design

Naar een nieuw Privacy Control Framework (PCF)

CLOUDSTRATEGIE. voor Stedin Netbeheer. v1.0 26/03/2019

SOC binnen VU nu. FYSIEKE BEVEILIGING (meldkamer) INFORMATIE BEVEILIGING (vucert)

Incidenten in de Cloud. De visie van een Cloud-Provider

NCTS - INFORMATIE INZAKE NIEUWIGHEDEN VOOR 2010

(Big) Data in het sociaal domein

Beweegredenen voor Automated Infrastructure Management (AIM) Reichle & De-Massari Frans van Westen

Optimale ICT-beveiliging. Van advies en ontwikkeling tot implementatie en beheer

Control driven cyber defense

WHITEPAPER DEEPBLUE HONEYPOT

Monitoring & Rapportage

Marcel Rosbergen & Martijn Driessen

Continuous testing in DevOps met Test Automation

Digital municipal services for entrepreneurs

E-learning maturity model. Hilde Van Laer

Uitnodiging Security Intelligence 2014 Dertiende editie: Corporate IAM

Elke digitale reis start met een vertrekpunt Hyperconverged Infrastructure as a Service

ICT-Risico s bij Pensioenuitvo ering

Security in het MKB: Windows 10

JOB OPENING DEVOPS ENGINEER

OPEN TRAINING. Onderhandelingen met leveranciers voor aankopers. Zeker stellen dat je goed voorbereid aan de onderhandelingstafel komt.

Security Operations Center

Nog meer meerwaarde? Dan moet inkoop strategisch worden. Noord Nederlands Inkoop Congres 26 april 2007

René Aernoudts Directeur Lean Management Instituut

Safe production of Marine plants and use of Ocean Space. 2de Nederlands-Belgische Zeewierconferentie: DE MULTIFUNCTIONELE NOORDZEE

BENT U ER KLAAR VOOR?

Enkele klanten. Copyright 2012 IP Bank BV

Smart Datacenter Services

NEVI Contract Management-dag. De kracht van organiseren. Best practice bij Nationale-Nederlanden

Een SIEM Een SIEM normaliseert log data en kan d.m.v. correlaties en logica alarmen laten triggeren

Asset 1 van 17. Mobile Application Management en security. Gepubliceerd op 18 april 2015

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Risk & Requirements Based Testing

Joop Cornelissen BMC Klantendag Professionaliseren dienstverlening CMS

Klant. Klant - Branche: Industrie - > employees - Vestigingen in > 25 landen. Specifiek - Profitabele, kosten gedreven strategy

Toegang tot overheidsinformatie: de gevolgen van Europese ontwikkelingen voor Nederland

Cyber Security Assessment (NOREA-CSA) Analyse Cyber Security Standaarden en Frameworks

100% veilig bestaat niet

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Impact en disseminatie. Saskia Verhagen Franka vd Wijdeven

Business Continuity Management. Pieter de Ruiter 1 / MAXIMAAL DRIE WOORDEN

Kwetsbaarheden in BIOS/UEFI

Proactief en voorspellend beheer Beheer kan effi ciënter en met hogere kwaliteit

CYBER OPERATIONS DS/DOBBP. Kol ir. Hans Folmer Commandant Taskforce Cyber

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

8 nov InAudit 1. Cybersecurity: moet ROBBERT KRAMER

Process Mining and audit support within financial services. KPMG IT Advisory 18 June 2014

Building the next economy met Blockchain en real estate. Lelystad Airport, 2 november 2017 BT Event

Charter CERT.be. Beschrijving van de diensten TLP: [WHITE]

Architecten-debat 21 juni 2006 PI GvIB Themamiddag. Renato Kuiper. Principal Consultant Information Security

FOR DUTCH STUDENTS! ENGLISH VERSION NEXT PAGE

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Maturity van security architectuur

De Digitale Transformatie en de impact op IT. Capgemini Edwin Leinse

Als alle informatie telt : een onderzoek naar kwetsbaarheden- en incidentenresponse bij ICT-organisaties Hafkamp, W.H.M.

Informatiebeveiliging En terugblik op informatiebeveiliging 2016

12 e Post O.N.S. Meeting. Carolien Burghout Verpleegkundig specialist Jeroen Bosch Ziekenhuis

Data en Applicatie Migratie naar de Cloud

EU Data Protection Wetgeving

ISO/IEC 20000, van standaardkwaliteit naar kwaliteitsstandaard. NGI Limburg 30 mei 2007

The Next Step in Infrastructure

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

Business Continuity Management

J.H. van den Berg. Versie 1.0 Mei 2011

Slide 1. Slide 2 Introduktie. Slide 3 Deze les: 2 onderwerpen. Les 1 Definities en belang Informatie Technologie. Intro docent Opzet/tentamenstof

Beveiliging in Industriële netwerken. Waarom monitoring een goed idee is

Ronde-Tafel overleg Sportfederaties 3december

Hoe u cybersecurity binnen uw organisatie de hoogste prioriteit geeft. Cyber Protection & Resilience Solutions van CGI

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

Transcriptie:

Incident Response

Wat is incident response? Is dat Incident Management, Incident Handling, Incident Analysis..? Wat is de meerwaarde van een team dat specifiek met incident response bezig is (CSIRT of CERT of CIRT of )? We hebben toch al een SOC, ITILv3 met de processen Incident Management en Security Management en Wat voegt incident response (team) toe aan dit alles? Hoe ziet de dienstverlening van zo n incident response entiteit er dan uit? Wat kan/mag ik verwachten aan services? 2

Wat is 3

Een definitie Incident response is an organized approach to addressing and managing the aftermath of a security breach or cyberattack, also known as an IT incident, computer incident, or security incident. The goal is to handle the situation in a way that limits damage and reduces recovery time and costs. Maar dit deden we toch al? 4

Incident.. volgens de gevestigde orde Incident Management: the ability to provide management of computer security events and incidents. It implies end-to-end management for controlling or directing how security events and incidents should be handle Incident Handling: rapidly detecting incidents, minimizing loss and destruction, mitigating the weaknesses that were exploited, and restoring computing services 5

Incident.. volgens de gevestigde orde Incident response and management is: protection the organisation's information, as well as its reputation, by developing and implementing an incident response process / infrastructure (e.g. plans, defined roles, training, communications, management oversight) in order to quickly discover an attack and then effectively contain the damage, eradicate the attacker's presence, and restore the integrity of the network and systems 6

Kortom Business Calamiteiten en crisismanagement IT Incident handling Incident Response Security Operating Center Security management 7

Het proces 8

De processtappen wat verder ingekleurd CMU/SEI-2003-HB-002 Handbook for Computer Security Incident Response Teams (CSIRTS s) Second edition: April 2003 9

Toegevoegde waarde van een Incident Response Team 10

Vier cruciale basisvragen Wat gaan we doen? mission statement Doelstellingen en prioriteiten Voor wie doen we het? verzorgingsgebied Wat is het gebied waaraan het team diensten verleend en welke partners worden daarin onderkend? In welke setting doen we het? positionering in de organisatie Is sterk afhankelijk van volwassenheid van andere organisatieonderdelen In welke samenwerking doen we het? relaties en communicatie Zowel intern binnen het eigen verzorgingsgebied, als extern met collega teams en derden 11

Mission statement Toegevoegde waarde én verzorgingsgebied blijkt vaak uit mission statement..-cert ondersteunt de klant pro-actief om de veiligheid van niet alleen het eigen bedrijfsnetwerk te waarborgen, maar ook de netwerken waarover.. de dienstverlening aan haar klanten biedt. Onderdeel van het verzorgingsgebied zijn de consumenten ISP s..-cert verzamelt en analyseert bovendien incidenten en geeft advies om deze in de toekomst te voorkomen. Het gaat hier om incidenten die vanuit het verzorgingsgebied reactief zijn aangemeld, alsmede over meldingen van buiten het verzorgingsgebied 12

Verschillende soorten teams Interne CSIRTs leveren diensten voor de eigen organisatie of branche (Z- CERT) Nationale CSIRTs leveren diensten voor een land (CERT.br) Coördination Centers dragen bij aan het vergroten van de weerbaarheid van bv. de Nederlandse samenleving in het digitale domein (NCSC.NL) Analysis Centers verzamelen incident informatie van verschillende bronnen om trends en patronen te analyseren (ISC van SANS) Incident Response Providers leveren CSIRT diensten tegen betaling aan andere organisaties (Fox-IT) 13

Interactie met de omgeving Samenwerking zoeken is ook aansluiten bij FIRST, Trusted Introducer, etc. En collega s: https://www.enisa.europa.eu/topics/csirts-in-europe/csirtinventory/certs-by-country-interactive-map 14

Van mission statement naar services Wanneer het duidelijk is wat er van het team wordt verwacht kan er nagedacht worden aan services / diensten die geleverd moeten worden. Waarschuwingsdienst Detecteren van incidenten Pro-actief en re-actief Wordt er ondersteuning geboden bij de afhandeling van incidenten? Of gaat het toch vooral over het rapporteren over mogelijke dreigingen en lopende incidenten Etc. etc. 15

Dienstverlening van een Incident Response Team 16

CSIRT services Er zijn meerdere services die geleverd kunnen worden door een CSIRT Uitgangspunt, en richtinggevend, bij de keuze zijn de missie, doelstellingen en het verzorgingsgebied dat is gedefinieerd Onderscheid wordt gemaakt* in: Reactieve services Proactieve services Security Quality Management services * door CMU-SEI en ENISA 17

Reactieve services Reactieve services vormen de kern van de activiteiten van een CSIRT Deze services worden getriggerd door een melding vanuit een inbraakdetectie- of logging-systeem Of door een melding of een verzoek, zoals een rapport van een gehackte host, een wijdverspreide kwaadaardige code of een softwareprobleem 18

Proactieve services Deze services bieden hulp en informatie die helpen bij de voorbereiding van de bescherming en beveiliging van de het IT landschap tegen aanvallen, problemen of gebeurtenissen De services zullen het aantal incidenten in de toekomst verminderen 19

Security Quality Management services Deze services zijn gericht op het versterken van andere onderdelen en diensten van de organisatie Legal, Audit, HRM etc. Diensten die traditioneel onafhankelijk zijn van incidentafhandeling CSIRT assisteert deze afdelingen waarbij het inzicht en de expertise van het CSIRT (identificeren risico's, bedreigingen en systeemgebreken) helpt om de algehele veiligheid van de organisatie te verbeteren Deze diensten zijn over het algemeen proactief 20

Mogelijke services 21

Oefening Organisatie X heeft de volgende doelstelling voor het team gedefinieerd: X-CSIRT verzamelt en analyseert informatie over bedreigingen en incidenten en geeft advies aan de organisatie om incidenten in de toekomst te voorkomen Welke services gaat X-CSIRT leveren? Re-actief Alerts and Warnings Incident analysis Vulnerability analysis Artifact analysis Pro-actief Announcements Security Related Information Dissemination 22

NIST activiteiten Preparation Preparing to Handle Incidents Preventing Incidents Post-Incident Activity Lessons Learned Using Collected Incident Data Evidence Retention Detection & Analysis Incident Categories Signs of an Incident Sources of Precursors and Indicators Incident Analysis Containment Eradication & Recovery Choosing a Containment Strategy Evidence Gathering and Handling Identifying the Attacking Hosts Eradication and Recovery 23

Incident Handling Checklist 24

25

Goodie bag Documenten Incident Management, Whitepaper Georgia Killcrece - Software Engineering Institute, Carnegie Mellon University december 2005 Handbook for Computer Security Incident Response Teams (CSIRTs), Moria J. West-Brown, Don Stikvoort e.a. - Engineering Institute, Carnegie Mellon University 2 e Edition april 2003 Strategies for Incident Response and Cyber Crisis Coorperation ENISA Version 1.1, August 2016 Computer Security Incident Handling Guide NIST Special Publication (SP) 800-61 Revision 2, August 2012 CIS Controls V7 Center for Internet Security Maart 2018 26

Goodie bag Websites https://searchsecurity.techtarget.com/ https://www.sei.cmu.edu/about/divisions/cert/index.cfm https://www.nist.gov/cyberframework https://www.enisa.europa.eu/topics/csirts-in-europe/csirt-inventory/certsby-country-interactive-map https://www.enisa.europa.eu/publications/strategies-for-incident-responseand-cyber-crisis-cooperation https://www.first.org/ https://www.trusted-introducer.org/ 27

28

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback