Cloud Incident Readiness

Waarom is het belangrijk om voorbereid te zijn op een cloud incident?

De verwachting is dat in 2020 bij 83% van de enterprise organisaties de infrastructuur in de cloud zal staan. Bij 66% van de IT professionals wordt het beveiligen van de cloud omgeving gezien als een van de grootste uitdagingen. Wij zien dit juist als een mooie kans voor organisaties om cybersecurity vanaf het begin goed te doen waarbij procedures en technologieën up-to-date zijn en aansluiten op het IT-landschap. Het gemak waarmee machines worden aangemaakt is een van de vele voordelen van het gebruik van de cloud. Deze flexibiliteit heeft ook een keerzijde namelijk gelimiteerd inzicht in en controle over de eigen IT omgeving. Tijdens de implementatie van de cloud omgeving wordt rekening gehouden met security en zijn er verschillende security controls gebruikt. Helaas, blijkt, uit ervaring, dat het voor organisaties ontzettend lastig is om bij te houden welke nieuwe machines er worden aangemaakt. Dit belemmert de detectie en de response mogelijkheden binnen de omgeving.

Daarom is het belangrijk om de huidige mogelijkheden voor het afhandelen van incidenten te evalueren en te bepalen hoe deze zich vertalen naar uw cloud omgeving. Wanneer er toch een incident plaatsvindt in de cloud omgeving, dan is uw organisatie klaar om hier direct op te reageren.

Is uw organisatie voorbereid?

Aan de hand van de onderstaande vragen evalueren wij de cloud omgeving:
  • Beschikt de organisatie over de juiste procedures en documenten om incidenten af te handelen in de cloud omgeving?

  • Beschikt de organisatie over mogelijkheden om op forensisch correcte wijze bewijs veilig te stellen zoals logbestanden, computergeheugen en de schrijven binnen de cloud omgeving?

  • Is er zichtbaarheid in alle assets in de cloud en wie toegang heeft tot deze assets?
  • Zijn detectiemaatregelen van toepassing op assets in de cloudomgeving?

Hoe kan PwC u helpen?

In de ideale situatie kan uw organisatie de bovenstaande vragen beantwoorden en bent u in staat om met incidenten in de cloud om te gaan. Uit onze ervaring blijkt dat organisaties niet alle vragen kunnen beantwoorden. Daarom hebben wij de Cloud Incident Readiness (CIR) service ontwikkeld waarmee we uw organisatie helpen bij het omzetten van de huidige incident handling procedures en technologie naar de cloud omgeving. Aangezien de meeste organisaties gebruikmaken van de Security Incident Handling Guide van het National Institute of Standards and Technology (NIST) voor incident handling, hebben wij ervoor gekozen om de CIR hierop te laten aansluiten. CIR is vooral gefocussed op de ‘Preparation and Detection & Analysis’ fase van het NIST handboek voor Incident Handling. Om er zeker van te zijn dat de CIR aansluit en integreert met de bestaande capaciteit van uw organisatie hebben we op maat gemaakte tooling ontwikkeld die niet commercieel verkrijgbaar is. Deze tooling ondersteund geautomatiseerde acquisitie van het computergeheugen in Windows en Linux, voor alle grote cloud providers. Ook hebben wij incident handling procedures voor het veiligstellen, verwerken en analyseren van van bewijs, binnen alle grote cloud providers; richtlijnen en best practises voor het monitoren van bedreigingen in de cloud omgeving.

Onze methode en aanpak

De service is afgestemd op de behoeften van de organisatie, omdat alle Cloud omgevingen verschillen. CIR bestaat uit de volgende fasen en activiteiten:

Voorbereiding

Wij zullen met u en uw team samenwerken om een beter begrip van uw omgeving te krijgen. Met deze informatie kunnen wij beoordelen welke materialen al beschikbaar zijn voor het afhandelen van incidenten in de Cloud. Bovendien wordt een analyse van de huidige configuratie en procedures uitgevoerd om een beter inzicht te krijgen in de huidige status van de incidentafhandeling. Het resultaat van deze fase is een analyse van de huidige staat omtrent incidentafhandeling in de Cloud en een update van uw documentatie over incidentafhandeling binnen Cloud omgevingen.



Acquisitie

Aan de hand van de resultaten uit de voorbereidingsfase kunnen we beginnen met de implementatie en integratie van onze technologie, om u te helpen bij het verzamelen van het bewijsmateriaal. We zullen ook de vereiste procedures voor u en uw team documenteren om bewijsmateriaal in uw Cloud omgeving te verzamelen. Ten slotte krijgt u een introductie tot de beschikbare log events in de Cloud, om te begrijpen hoe deze informatie kan worden gebruikt voor incident detectie en respons.


Verwerking

In de verwerkingsfase geven wij advies over hoe het verkregen bewijsmateriaal het beste kan worden verwerkt, of het nu gaat om computergeheugen, harde schijven of logbestanden uit uw Cloud omgeving. Het advies is afgestemd op uw onderzoeksomgeving om er zeker van te zijn dat het aansluit op uw technologie en werkwijze.



Analyse

De laatste fase heeft als doel om ervoor zorgen dat alle output uit de voorgaande fasen leidt tot de gewenste resultaten. We zorgen dat uw team begrijpt hoe het bewijsmateriaal uit uw Cloud omgeving kan worden geanalyseerd. In de praktijk betekent dit dat het team hulp krijgt bij het zoeken naar logbestanden in de Cloud omgeving of tips krijgt voor de analyse van snapshots en het computergeheugen.


Contact

Tom Driehuys

Tom Driehuys

Partner, Advisory Cyber Forensics & Privacy, PwC Netherlands

Tel: +31 (0)61 383 29 69

Wouter Otterspeer

Wouter Otterspeer

Director, PwC Netherlands

Tel: +31 (0)61 080 14 62

Volg ons