Hoe reageer je als organisatie als je gehackt bent? Die vraag stond centraal tijdens de Incident Response Lounge sessie op dinsdag 10 oktober. Onder leiding van vier securityconsultants werden twaalf Nivo-collega’s gebombardeerd tot twee CSIRT-teams (Computer Security Incident Response Team). De opdracht was ‘reageer op een geavanceerde cyberaanval van een Chinese hackergroepering’. De CSIRT-teams werden door de securityconsultants voorzien van informatie tijdens de oefening. De securityconsultants speelden diverse rollen; die van CISO, ontwikkelaar en zelfs aanvaller.
De avond startte met een korte presentatie waarin de deelnemers meegenomen werden door de zes stappen van het Incident Response proces. Deze stappen komen vanuit het SANS Incident framework, dat binnen Nivo als leidraad gekozen is. Vervolgens werden er twee teams gemaakt, die zich inmiddels hadden ingelezen in het scenario van de oefening: de hack van de fictieve EV-fabrikant Lightmonth. Zij waren aangevallen door een hackersgroepering die een grote hoeveelheid bedrijfskritische gegevens en klantdata buitgemaakt zou hebben en dit openbaar dreigde te maken als er geen 10BTC aan losgeld betaald zou worden.
De deelnemers kregen meteen de eerste twee ‘injects’ voor hun kiezen, een losgeldbrief gericht aan de CISO en een tweet door de hackersgroepering. Daarna kregen de teams 15 minuten om een eerste beeld te vormen van wat er mogelijk aan de hand was. Er konden vragen gesteld worden aan een externe CSIRT of aan de CISO. Voortdurend kwam er nieuwe informatie binnen voor de teams wat voor extra druk en chaos zorgde. Iets wat tijdens een echte cybercrisis ook gebeurt en een bijkomende stresstest was voor de teams.
Na de eerste analyses konden de deelnemers in grote lijnen identificeren wat er gebeurd was en werden de eerste mitigerende maatregelen doorgegeven aan de CISO van de avond. Maar wacht, er kwam weer nieuwe informatie door. Ditmaal kwam een melding vanuit gebruiker ‘Bob’, een developer van Ligthmonth, die inlogproblemen op zijn accounts meldde. Ook kwam er bericht door van de telecomprovider dat er een nieuwe SIM – registratie was gedaan op naam van Bob. Na de eerste stress en chaos die deze nieuwe informatie veroorzaakte, lukte het de teams vervolgens om na het ondervragen van Bob, erachter te komen wat hier aan de hand was. Bob was slachtoffer geworden van een geavanceerde phishing-aanval, waarna via zogenoemde ‘SIM-swapping’ zijn telefoon en daarmee de 2-factor authenticatie overgenomen was door de aanvallers.
Inmiddels werden ook de eerste vragen gesteld aan de hackersgroepering die (vermoedelijk) achter de aanval zat en probeerde Team 1 te onderhandelen. De hacker wees dit echter resoluut van de hand. De Lightmonth CISO stond op dat moment ook onder druk van de CEO om helderheid te geven en vragen te beantwoorden. Beide teams kregen met de informatie en de antwoorden vanuit de CISO, Bob en de hackers een steeds beter beeld van wat er nu gebeurd was. De enige vraag die restte was, gaat er betaald worden aan de hackers? Opmerkelijk genoeg maakten de teams hier een andere afweging. Team 1 besloot uiteindelijk te betalen omdat men erop vertrouwde dat de hackers zich aan hun woord zouden houden en geen informatie online zouden plaatsen. Het andere team was van oordeel dat men alle data toch al kwijt was en dat betalen dus geen zin meer had. Beide teams ontvingen hierop een laatste bericht vanuit de hackers, waarmee de incident response oefening ten einde was.
Als afsluiter van de Lounge sessie werd tijdens de ‘lessons learned’, net zoals in de praktijk ook gebeurt, de incident response acties van beide teams geëvalueerd, werd gekeken welke lessen er te trekken waren en werd het aanvalspad van de hackers doorlopen. Een onmisbaar onderdeel van het incident response proces en ook weer input voor vervolgacties.