De laatste tijd komen we steeds meer organisaties tegen die op zoek zijn naar een oplossing voor het managen van beveiligingsincidenten. In veel gevallen gebruiken organisaties verschillende tools om hun processen te beheren. Nadat ze de voordelen hebben ervaren van ServiceNow ITSM, beginnen sommige organisaties zich af te vragen: kunnen we ITSM ook gebruiken om beveiligingsincidenten mee te managen? Ik, Bijan Dehmoubed, zal uitleggen waarom dit géén goed idee is! Ja, je hebt een tool nodig. Dat is een feit. En een goed ingericht proces. Maar je moet dit wel goed aanpakken.
Verschil in terminologie en definities De definitie van een beveiligingsincident is anders dan die van een normaal incident. Bij normale incidenten draait alles om CI-/servicebeschikbaarheid. Maar bij beveiligingsincidenten ligt de nadruk op het managen van de aangetaste vertrouwelijkheid en integriteit van een CI, asset of service. Stel dat een van de bedrijfsservers geïnfecteerd is geraakt door een virus of is gehackt. Na analyse doe je er eerst alles aan om het bereik van het incident zoveel mogelijk beperken. Zo voorkom je dat ook andere servers of het hele netwerk worden aangetast. Bij een hack moet je ervoor zorgen dat je de toegang tot de servers zo snel mogelijk blokkeert. In dit voorbeeld is de belangrijkste eerste actie: de verbinding met de server verbreken en de service zo snel mogelijk stoppen. Dit is compleet het tegenovergestelde van wat je zou doen bij ITSM-incidentmanagement. Dit komt simpelweg doordat de kosten van een inbreuk op vertrouwelijkheid en integriteit vele malen hoger zijn dan dat de service niet meer beschikbaar is.
Een paar cijfers Hoeveel dagen denk je dat er nodig zijn om een beveiligingsinbreuk te identificeren? 191 dagen. En hoeveel dagen om een beveiligingsinbreuk in te perken? 66 dagen. Dus: 257 dagen voor het opsporen en inperken van een beveiligingsinbreuk? Dat kan echt niet! Want de gemiddelde kosten van een gegevensinbreuk zijn 3,62 miljoen dollar. Deze kosten worden berekend op basis van de gemiddelde tijd die nodig is om een gegevensinbreuk te identificeren (Mean Time To Identify, MTTI). Het kost je 2,8 miljoen dollar als de MTTI minder dan 100 dagen is en 3,83 miljoen dollar als de MTTI meer dan 100 dagen is.[i]
Hoe organisaties hun beveiliging nu hebben geregeld Gemiddeld gebruikt een organisatie meer dan 70 beveiligingstools. En ze hebben een aantal processen ingeregeld. Maar waar ligt het probleem dan? Wat ontbreekt er? Vaak bevinden beveiligingstools zich in geïsoleerde silo’s en het aantal meldingen, gebeurtenissen en incidenten die door de beveiligingstools wordt gegenereerd is te veel om te verwerken zonder automatisering. Huidige beveiligingsprocessen zijn niet geautomatiseerd en ook niet volwassen genoeg.
Nieuwe, innovatieve aanvallen en de enorme hoeveelheid beveiligingsincidenten vragen om een speciale beveiligingstool en -proces. Daarom heeft ServiceNow een SecOps-pakket in het leven geroepen. Deze bestaat uit drie applicaties: Security Incident Response (SIR), Vulnerability Response (VR) en Threat Intelligence (TI).
ServiceNow SIR Laten we eens kijken naar de verschillen tussen SIR en ITSM-incidentmanagement. Voor SIR is het belangrijkste doel: beperken en uitroeien. Serviceherstel is niet belangrijk. Maar dat is nou juist wél het hoofddoel van ITSM-incidentmanagement. Om aan specifieke beveiligingsvereisten te voldoen, gebruiken de ServiceNow SIR-processen een van de twee wereldwijd geaccepteerde beveiligingsreferenties: NIST of SANS. Het standaard SIR-proces is gebaseerd op de NIST-aanpak. NIST omvat de volgende stappen: Detecteren – Analyseren – Inperken – Uitroeien – Herstellen – Reviewen – Sluiten.
Beveiligingsincidenten bevatten gevoelige informatie. Daarom is SIR een scoped applicatie met eigen rollen. Zelfs de systeembeheerder heeft geen toegang tot de beveiligingsincidentrecords. De applicatie prioriteert ook automatisch incidenten op basis van bedrijfsimpact (zie Figuur 1). Naast dat je handmatig beveiligingsincidenten kunt aanmaken, kunnen incidenten ook automatisch worden gegenereerd door integratie met beveiligingsproducten als SIEM-tools, firewalls, IDSs, antivirusprogramma’s, etc. Bovendien kunnen incidentgegevens automatisch worden verrijkt met bedreigingsintelligentie. Alle e-mailaanvallen die door gebruikers worden gemeld, kunnen snel worden aangepakt dankzij de functie End-to-End Phishing Response.
Figuur 1. ServiceNow Security Incident Response
Verschillende typen SIR-workflows Er zijn veel verschillende soorten beveiligingsincidenten en je kunt deze niet allemaal met hetzelfde proces beheren. Daarom heeft SIR een aantal vooraf gedefinieerde workflows die de samenwerking per incidenttype ondersteunen, zoals bij blootstelling van vertrouwelijke data, denial of service, schadelijke software, verloren apparatuur, phishing, schending van het toegangsbeleid, spam, onbevoegde toegang, webdefacing, etc. Afhankelijk van het type incident worden de bijbehorende workflow en unieke SLA getriggerd en bijgevoegd.
Conclusie Je kunt ITSM-incidentmanagement simpelweg niet gebruiken om je beveiligingsincidenten mee te beheren. Beveiligingsincidenten vereisen een totaal andere aanpak.
___________________________________________________________
[i] https://securityintelligence.com/media/2017-ponemon-institute-cost-of-a-data-breach-study/
Schrijf je in voor onze maandelijkse Flow@Work Exclusive nieuwsbrief bomvol inzichten, best practices en tips over hoe je werk laat flowen op het Now®-platform.
