Forensische gereedheid

Forensische gereedheid is het vermogen van een organisatie om snel bewijs te verzamelen en te reageren op een beveiligingsincident, terwijl de kosten tot een minimum worden beperkt en de lopende processen minimaal worden onderbroken. Veel organisaties zijn zich ervan bewust dat beveiligingsincidenten kunnen en zullen gebeuren. In het geval van een beveiligingsincident wordt een extern of intern incident response team (of cyberforensisch team) ingehuurd of aan het werk gezet om het incident te mitigeren en ervoor te zorgen dat het bedrijf weer normaal kan werken. Forensische gereedheid is cruciaal voor het minimaliseren van de tijd tussen het incident dat plaatsvindt en het hervatten van de werkzaamheden. Dit wordt gedaan door ervoor te zorgen dat het incident response team een ​​voorsprong heeft in hun onderzoek en snel de bron van het incident kan bepalen en hoe deze kan worden beperkt.

Hoe de forensische gereedheid te vergroten?

Er zijn verschillende stappen die moeten worden genomen om de forensische gereedheid van een organisatie te verbeteren. Ten eerste moet worden bepaald welk bewijsmateriaal relevant kan zijn in geval van een incident. Deze fase is in feite een brainstorm van alle mogelijke soorten incidenten die een bedrijf kan overkomen, zoals een phishing-aanval, malware, website-hack enzovoort. Voor elk type incident moet de organisatie bepalen welk bewijs het onderzoek kan ondersteunen wanneer het zich voordoet. Voorbeelden zijn authenticatie logs, web request logs, firewall- en netwerk logs.

Wanneer de soorten inbreuken en soorten loggegevens zijn vastgesteld, moet de bron van de verschillende soorten gegevens worden geïdentificeerd. Per databron moeten zowel de forensische waarde als de gewenste bewaartermijn, formaat, detailniveau en wettelijke eisen worden bepaald.

Aangezien de verzamelde logbestanden als bewijs moeten kunnen dienen wanneer er een incident plaatsvindt, is het belangrijk ervoor te zorgen dat een aanvaller geen van de logbestanden kan wijzigen. Verder moeten juridische kwesties worden overwogen, zoals veilige opslag en verwerking van de gegevens. Dit kan worden bereikt wanneer de logs op een centraal punt in het netwerk worden verzameld, bijvoorbeeld door gebruik te maken van een eenvoudige syslog-server of voor grotere organisaties een SIEM.

Wanneer al deze gegevens centraal worden verzameld, is het ook belangrijk om personeel te trainen in het omgaan met een incident en het bewaren van het bewijsmateriaal. Er moet beleid worden opgesteld dat ervoor zorgt dat het voor iedereen duidelijk is wanneer een incident het gebruik van de logbestanden rechtvaardigt en wanneer een escalatie moet plaatsvinden.

Naast een incident response plan of -beleid moet een bedrijf nadenken over hoe gegevens op een veilige manier uit het logsysteem kunnen worden gehaald zonder de integriteit van de loggegevens in gevaar te brengen.

Forensisch onderzoek versnellen

Wanneer alle bovenstaande stappen zijn genomen, staat de organisatie klaar wanneer er zich een incident voordoet. Wanneer een cyber forensisch team een ​​inbreuk of cyberbeveiligingsincident onderzoekt, hebben ze snel toegang tot alle loggegevens via één centraal beheerde interface. Hierdoor kan het team snel de hoofdoorzaak van de inbreuk vaststellen en hun onderzoek versnellen, wat op zijn beurt de hersteltijd naar de normale gang van zaken versnelt.

Neem contact met ons op voor meer informatie

DeepBlue Security & Intelligence