fbpx
Vinnie Soolsma over Usecasemanagement

Van dreiging tot centraal risk-based usecase management

Vinnie Soolsma, Cyberdefense Consultant bij Ordina, gaat in deze blog in op wat de voordelen zijn van risk-based usecase management.

Voor de beveiliging van een organisatie is de informatievoorziening van onmiskenbaar belang. Denk hierbij aan e-mailverkeer en vertrouwelijke documenten. In het vak cybersecurity zit men dicht bij het vuur voor het beveiligen van deze informatievoorzieningen. Digitale risico’s van de organisatie worden afgewogen, gemitigeerd en gedocumenteerd om grip te krijgen op dreigingen. Doorgaans is dit een feestje van de (cyber)securityafdeling, zoals een Security Operation Center (SOC), mogelijk in samenwerking met IT-beheer.

Het verzamelen van informatie over risico’s kost veel tijd en meer dan eens is niet alle benodigde informatie voor handen. Dit komt doordat de risico’s betrekking hebben op meerdere partijen in de organisaties en de verantwoordelijkheden op verschillende plaatsen zijn belegd. Risk-based usecase management slaat de brug tussen alle lagen in de organisatie. Het ondersteunt fundamenteel de communicatie tussen afdelingen en brengt inzicht in de uitdagingen van een organisatie bij de mitigatie van dreigingen. Ordina gebruikt risk-based usecases binnen haar diensten op zowel technisch als strategisch niveau.

De bouw van een risk-based usecase

Een risk-based usecase kun je typeren als een verzameling van informatie die een organisatie in staat stelt een risico te identificeren, te mitigeren en te beheersen. Het vormen van een risk-based usecase begint op een functioneel level met het vaststellen van risico’s voor de organisatie en het prioriteren van het kritieke niveau per risico. Per risico wordt uitgeschreven welke scenario’s zich kunnen voordoen, waardoor het risico werkelijkheid wordt, welke impact het risico heeft op mens en proces en de verantwoordelijkheden per proces. Al deze informatie samen per risico vormt de basis voor een risk-based usecase. De risk-based usecases kun je uitbreiden naarmate de informatiebehoefte groeit.

In cybersecurity worden deze risk-based usecases uitgebreid met technische informatie voor bijvoorbeeld monitoring en incident response. In deze informatie staat onder andere welke systemen betrokken zijn bij het beschreven scenario, welke logging belangrijk is voor het detecteren van het scenario, welke logbronnen hierbij horen en de contactpersonen voor escalatie. Met deze informatie kan het securityteam tijdig en adequaat reageren op dreigingen met relevante informatie in een heldere structuur.

Een risk-based usecase kun je ook dynamisch toepassen. Zo kan een organisatie met een SOC de behoefte hebben om informatie te noteren en te delen binnen het team. Deze functionaliteit kun je toevoegen aan het platform voor risk-based usecases als aanvulling op de reeds beschikbare informatie. Bij incidenten kunnen eerdere ervaringen een toegevoegde waarde zijn voor snellere reactietijden en een adequate oplossing. Op deze manier vormt het centrale platform voor risk-based usecases zich naar de behoeften van een organisatie.

Mitre Att&ck Framework

Een breed gedragen methode die soortgelijke usecases hanteert, is het Mitre Att&ck Framework. Dit framework bestaat uit onderzoek naar bekende aanvallen waarvan alle informatie is samengebracht op tactisch, technische en procedureel niveau (TTP).

Hierbij is het vertrekpunt voor het verzamelen van informatie een bekende aanval die tot in detail staat beschreven, in contrast met een risk-based usecase die vanuit een risico van de organisatie wordt geschreven.

Een TTP kun je zien als een technische usecase. De TTP’s zijn dan ook op zichzelf te implementeren in bijvoorbeeld monitoringsoplossingen. Door de combinatie te maken met risk-based usecases kun je TTP’s in de context van de organisatie plaatsen. Door de gedetailleerde informatie is het Mitre Att&ck Framework een krachtige tool voor de technische mitigatie van de risico’s als aanvulling op de risk-based usecases.

Centraal Risk-based Usecase management

Het begin van gedegen risk-based usecase management begint dus bij het team dat de risicobeheersing verzorgt. Traditioneel blijven de verantwoordelijkheden en werkzaamheden bij dit team belegd. Dit verandert bij de inzet van centraal risk-based usecase management.

Een risk-based usecase kun je alleen volledig invullen in samenwerking met de hele organisatie. Diepgaande kennis bevindt zich bij de afdelingen die het meest bij het scenario van de risk-based usecase betrokken zijn. Security-gerichte afdelingen, zoals een SOC, zijn de voornaamste bronnen voor informatievergaring in cybersecurity, maar andere afdelingen in de organisatie mogen hierbij niet onderschat worden. Zo kan informatie uit de facilitaire dienst en/of een servicedesk een sterke aanvulling zijn op risk-based usecases over social engineering (een aanval door uitbuiting van mensen). Social engineering kan op haar beurt het begin zijn van een cyberaanval.

De sleutel in risk-based usecase management is dan ook de beschikbaarheid en verantwoordelijkheid van de risk-based usecases voor alle partijen. Een centraal platform voor risk-based usecase management is de spin in het web van securityvraagstukken en oplossingen. Iedere betrokken partij in de organisatie plaatst op dit platform een aanvulling op de risk-based usecases uit haar discipline. Zo is er een brede informatievoorziening beschikbaar ondersteunend aan de hele organisatie. Daar komt bij dat met dit inzicht de status van het risicomanagement inzichtelijk wordt. Hierdoor worden de deuren opengezet voor gesprekken tussen de business en de techniek om de risico’s gepast te mitigeren en de genomen maatregelen periodiek te valideren. De risk-based usecases zijn dus de geleider in het debat voor het verhogen van het volwassenheidsniveau van een organisatie.

Schaalbaarheid

Een groot voordeel van risk-based usecase management is de schaalbaarheid. Je kan gemakkelijk één risk-based usecase uitwerken op basis van één risico en door één persoon die de juiste informatie bij elkaar verzamelt. Maar je kan er ook voor kiezen om alleen de kritische risico’s tot risk-based usecases uit te werken als handvatten voor de ‘information Security officer’. Iedere risk-based usecase is een aanvulling op de organisatie, ongeacht de orde van grootte. Een ander groot pluspunt is dat usecases aansluiten op reeds bestaande processen, zoals business continuity processen. Risk-based usecases vormen een volledig organisatorisch risicoprofiel voor de organisatie en hebben daarmee veel raakvlakken met Business Continuity Management (BCM).

De kracht van centraal risk-based usecase management

De kracht van een organisatie zit in samenwerking, betrouwbaarheid en veerkracht. Dit is wat centraal risk-based usecase management ondersteunt. Het platform dat alle lagen in de organisatie dient met de laatste betrouwbare informatie afkomstig van de bron. Betrouwbare informatie stelt de organisatie in staat adequaat te handelen bij incidenten, processen te optimaliseren en te bouwen aan een hoger volwassenheidsniveau. Risk-based usecase management is breder toepasbaar dan op cybersecurity alleen. Het is het fundament van de organisatie.

De kracht van Ordina

Het Ordina Blue-team hanteert de ‘risk-based approach’ onder andere in haar BCM en monitoringsdiensten. Wij gaan in gesprek met onze klanten om de context van de organisatie te bespreken, maar ook om te luisteren naar waar de klant wakker van ligt. Samen komen we tot een risicoprofiel van de organisatie dat we uitbouwen tot een risk-based usecasemodel. Dit model wordt gebruikt voor onze monitoringsdienst om snel en effectief informatie inzichtelijk te krijgen over de belangrijkste risico’s, maar kan voor de organisatie ook voor andere aspecten dienen, zoals BCM. Ook op strategisch niveau kan Ordina helpen uw organisatie naar een hoger volwassenheidsniveau te tillen.

Naar wens bouwen we het risk-based usecasemodel uit naar een centraal risk-based usecase platform. Hier komen alle risk-based usecases samen. De gewenste partijen binnen de organisatie worden vervolgens gekoppeld aan het platform om input te leveren aan de informatievoorziening. Op basis van het ‘need-to-know’ principe hebben zij rechten op het platform om de voor hen belangrijke informatie in te zien. Het grote voordeel is dat de informatie voor risk-based usecases bij de bron vandaan komt en efficiënt wordt opgehaald. Dit scheelt veel tijd, geld en onderzoek. Daarbij is de informatie betrouwbaar en specifiek toegankelijk voor de partijen die het nodig hebben.

Ordina ziet het belang van betrouwbare data en informatie en helpt haar klanten niet alleen bij de inrichting van risk-based usecase management, maar ook bij het onderhoud. Wij weten dat een organisatie en haar dreigingen dynamisch zijn en situaties kunnen wijzigen. Door de risk-based usecases periodiek te bespreken, valideren en te optimaliseren, bewegen we mee met de organisatie. Zo blijven de usecases niet alleen actueel, maar zijn we ook scherp op verbeteringen en vernieuwingen.

Risk-based usecase management als fundament voor informatie-gedreven securityprocessen binnen de organisatie op tactisch, strategisch en operationeel niveau. Niet meer zoeken naar informatie, efficiënter werken en een sterkere organisatie. Uw organisatie, Ahead of Change.