De cruciale rol van dataforensica in post-cyberattack recovery

Stelt u zich eens voor dat u thuis komt om te ontdekken dat er iemand in uw huis is gevallen. Uw eerste reactie is om ervoor te zorgen dat het veilig is om naar binnen te gaan. Vervolgens controleert u snel of alle deuren en ramen zijn vergrendeld om uw huis te beveiligen. Deze onmiddellijke reactie is als uw recovery time objective (RTO) – een snelle poging om systemen veilig weer operationeel te krijgen.

Zodra de politie arriveert, is de onmiddellijke bedreiging weg. Maar nu komt de volgende stap: uitzoeken wat er is gebeurd.

De politie wil weten: Wie was hier? Hoe kwamen ze binnen? Wat hebben ze genomen? Elk detail, zoals een vingerafdruk op de deurknop of een modderige footprint, wordt een belangrijke aanwijzing.

Bij cybersecurity werkt dataforensics op dezelfde manier als onderzoekers op een plaats delict. 

Waarom forensische data belangrijk zijn

Hoewel forensisch onderzoek misschien niet zo urgent is als het herstellen van activiteiten, is het net zo belangrijk voor het opbouwen van een sterkere, veiligere verdedigingsstrategie. Dataforensics helpen te ontdekken hoe de aanval is gebeurd, wie er achter stond, welke data en systemen zijn getroffen, welke kwetsbaarheden zijn uitgebuit en hoe u kunt voorkomen dat u opnieuw wordt aangevallen.  

Dataforensisch onderzoek is ook om deze redenen belangrijk:

• De overheid heeft informatie nodig: Als u wordt getroffen door een ransomware-bende of een entiteit op de OFAC-lijst, raakt de overheid erbij betrokken en kan deze uw systemen in beslag nemen. Ze willen een gedetailleerde documentatie van het bewijs voor het onderzoek.
• Kennis is bescherming: Het begrijpen van wie, wat, hoe en waarom zal de analyse versnellen en identificeren wat er moet worden gedaan om te beschermen tegen toekomstige aanvallen.
• Verwerken van verzekeringsclaims: Als u een cyberverzekering hebt, kan het zijn dat de verzekeringsmaatschappij de aanval wil onderzoeken. Als u geen verzekering hebt, is het moeilijker en duurder om het te krijgen omdat cyberaanvallen blijven toenemen. U hebt echter een grotere kans om verzekerd te worden (en uw polis te laten verlengen) als u proactieve stappen onderneemt om u te verdedigen tegen cyberaanvallen, waaronder een sterk dataforensisch plan.

Zelfs als de overheid of verzekeringsmaatschappij niet betrokken raakt bij uw cyberaanval, moet u nog steeds een niveau van forensisch onderzoek uitvoeren om het bedrijf te beschermen. Dat zal tijd kosten en de procedure is verstorend.

De soepelste manier om er doorheen te komen is door uw data uitstekend te bewaren. Maar dit is vaak gemakkelijker dan het klinkt.

Veelvoorkomende uitdagingen om bewijs vast te leggen en te bewaren

Het beheren van dataforensisch onderzoek is ingewikkeld. Hier zijn een paar van de grootste uitdagingen waarmee bedrijven worden geconfronteerd en tips om ermee om te gaan.

• Tijdsbeperkingen: U moet snel handelen om de aanval in te dammen en het bedrijf volledig functioneel te krijgen. Maar het bewaren en analyseren van bewijs is een langzaam, zorgvuldig proces. Geautomatiseerde tools, zoals een onveranderlijke back-upoplossing, kunnen u helpen snel bewijs te verzamelen dat nodig is voor een grondig onderzoek.

• Toegang tot data: U zwemt in data uit talloze bronnen. Hoe vindt u de kritische aanwijzingen zonder overweldigd te raken? Gebruik tools zoals SIEM-platforms (beveiligingsinformatie en eventmanagement) en SOAR-platforms (beveiligingsorkestratie, automatisering en respons). Deze tools filteren en correleren data efficiënt om het aanvalspunt en de kwetsbaarheden te identificeren.

• Gebrek aan expertise: Dataforensics is een gespecialiseerde vaardigheid en niet elk team heeft de expertise bij de hand. Investeer in regelmatige training voor uw IT-team of overweeg indien nodig incidentresponsexperts in te schakelen.

• Risico op bewijsbesmetting: Het onderzoeken van live-systemen kan per ongeluk cruciaal bewijs veranderen of vernietigen. Houd u aan strikte procedures voor het behandelen van bewijsmateriaal om ervoor te zorgen dat alles in de rechtbank toelaatbaar blijft. Gebruik schrijfblokkers, isoleer getroffen systemen en maak bit-voor-bit kopieën van de data voor analyse, zodat het oorspronkelijke bewijs onaangetast blijft.

• Risico op back-upintegriteit en herinfectie: Het herstellen van systemen na een aanval is lastig – 63% van de organisaties riskeert herinfectie omdat hun back-ups kwaadaardige code bevatten. Gebruik een oplossing, zoals Pure Storage^® SafeMode™ Snapshots, waarmee u back-ups veilig en snel op een schone locatie kunt herstellen.

• Naleving van wet- en regelgeving: Verschillende regio’s hebben verschillende (en soms tegenstrijdige) wetten over het omgaan met bewijs en het melden van inbreuken. Werk samen met de juridisch adviseur om een incidentresponsplan op te stellen dat in overeenstemming is met de toepasselijke wetgeving. Blijf op de hoogte van wijzigingen in de regelgeving om voortdurende naleving te garanderen.

• Analyse na het incident: Nadat de aanval is ingeperkt, kan de druk om weer normaal te worden de analyse na het incident naar de achterbrander duwen. Maak analyse na het incident een verplichte stap in uw responsplan. Gebruik het om geleerde lessen te identificeren, de middelen te rechtvaardigen die nodig zijn voor een grondige analyse en uw verdediging voor de toekomst te versterken.

Hoe Pure Storage het forensisch proces kan afvlakken

Gemiddeld kunnen bedrijven slechts ongeveer 59% van hun data herstellen na een ransomware-aanval, maar niet als u Pure Storage gebruikt. Pure Storage biedt u de tools die u nodig hebt voor snel, effectief dataherstel en dataforensisch onderzoek. Zo:

• Sabotagebestendige snapshots: Pure Storage SafeMode-technologie creëert onveranderlijke (onveranderlijke) snapshots van uw data. Deze back-ups zijn volledig veilig – ze kunnen niet worden gewijzigd of verwijderd, zelfs niet door aanvallers met administratieve toegang. Dit betekent dat uw data volledig kunnen worden hersteld naar de exacte staat waarin ze zich bevonden net voordat de aanval plaatsvond. Dit versnelt niet alleen uw terugkeer naar de normale bedrijfsvoering, maar vereenvoudigt ook het digitale forensisch proces, waardoor u kunt onderzoeken wat er mis is gegaan.

• Verbeterde SIEM- en SOAR-mogelijkheden: Pure Storage werkt samen met top SIEM- en SOAR-providers om een grotere cyberveerkracht te leveren. Samen stellen ze u in staat om potentiële aanvallen sneller te herkennen en automatisch te reageren, zoals het activeren van SafeMode-snapshots om uw kritieke data te vergrendelen voordat deze worden aangetast.

Bekijk: Hoe de juiste opslag kan helpen bij het verbeteren van SIEM-operaties

• Gegarandeerd schone opslag: Wanneer uw systemen worden aangevallen, levert en installeert Pure Storage snel nieuwe opslagapparatuur. Het hebben van een schone omgeving zorgt ervoor dat het forensisch onderzoek op de achtergrond soepel kan verlopen, terwijl u zich richt op het weer op schema krijgen van bedrijfsactiviteiten.
  
• SLA Cyber Recovery: Naast altijd beschikbare schone opslag voor recovery en forensisch onderzoek, biedt Pure Storage een SLA met een herstelplan van 48 uur en gebundelde diensten, waaronder een onsite professional services engineer om uw recovery te ondersteunen.

Na een inbreuk, uitval of datadiefstal is het de eerste prioriteit om systemen zo snel mogelijk weer online te krijgen. Zodra alles weer draait, is het tijd voor een dieper onderzoek, wat veel tijd in beslag neemt. Daarom heeft Pure Storage zijn technologie en ondersteuning ontworpen om het proces te stroomlijnen en u te helpen echte inzichten te verkrijgen die uw cyberveerkracht versterken.

Lees meer over de Pure Storage Cyber Recovery and Resilience SLA in Evergreen//One™.

Minimize Risk with Data That’s Always Available

Keep your data available in the event of disasters or accidents, regardless of your required recovery point objectives (RPOs) and recovery time objectives (RTOs).

Safeguard Your Data