Als elke minuut telt, kunnen voorbereiding en precisie het verschil maken tussen een verstoring en een ramp.
Netwerkbeveiligers staan onder druk. Uit onderzoek van Verizon blijkt dat het aandeel datalekken binnen het totaal aantal incidenten vorig jaar met maar liefst 20 procent is gestegen. Dat hoeft echter geen rampscenario te worden, mits organisaties snel en doortastend reageren zodra een inbraak wordt ontdekt. De eerste minuten en uren zijn cruciaal.
Goede voorbereiding vormt de basis van effectieve incidentrespons (IR). Hoewel geen organisatie of incident hetzelfde is, wil je niet pas gaan nadenken zodra het alarm afgaat. Wanneer elk lid van het incidentresponsteam exact weet wat er van hem of haar wordt verwacht, vergroot dat de kans op een snelle, effectieve én kostenefficiënte oplossing.
De noodzaak van snelheid
Zodra kwaadwillenden je netwerk binnen zijn, begint de klok te tikken. Of ze nu op zoek zijn naar gevoelige gegevens om te stelen en losgeld te eisen, of ransomware of andere kwaadaardige payloads willen inzetten, het belangrijkste is om ze te stoppen voordat ze jouw meest waardevolle systemen bereiken. Dat wordt steeds uitdagender.
Het nieuwste onderzoek laat zien dat aanvallers in 2024 22% sneller van de eerste toegang naar laterale beweging (ook wel ‘breakout-tijd’ genoemd) gingen dan het jaar ervoor. De gemiddelde breakout-tijd was 48 minuten, maar de snelste geregistreerde aanval was bijna de helft daarvan: slechts 27 minuten. Kun jij binnen een half uur reageren op een beveiligingslek?
Tegelijkertijd blijkt uit cijfers van IBM dat het gemiddeld 241 dagen duurt voordat internationale bedrijven een inbreuk ontdekken en onder controle krijgen. Er is een grote financiële prikkel om IR goed te doen. Bij inbreuken met een levenscyclus van minder dan 200 dagen zijn de kosten dit jaar met ongeveer 5% gedaald tot 3,9 miljoen dollar, terwijl inbreuken van meer dan 200 dagen meer dan 5 miljoen dollar kosten, zegt het rapport.
Detecties van ransomware van juni 2024 tot mei 2025 (bron: ESET Threat Report H1 2025)
5 stappen die je moet nemen na een inbreuk
Geen enkele organisatie is 100% inbraakveilig. Als je een incident hebt en vermoedt dat er ongeoorloofde toegang is geweest, moet je snel maar gestructureerd handelen. Deze vijf stappen kunnen je helpen bij de eerste 24 tot 48 uur. Houd er ook rekening mee dat sommige van deze stappen tegelijkertijd moeten worden uitgevoerd. De focus moet liggen op snelheid, maar ook op grondigheid, zonder afbreuk te doen aan de nauwkeurigheid of het bewijsmateriaal.
1) Verzamel informatie en begrijp de omvang
De eerste stap is om precies te begrijpen wat er net is gebeurd en aan een reactie te werken. Dat betekent dat je je vooraf opgestelde IR-plan activeert en het team op de hoogte brengt. Deze groep moet bestaan uit belanghebbenden uit het hele bedrijf, waaronder HR, PR en communicatie, juridische zaken en het uitvoerend management. Ze hebben allemaal een belangrijke rol te spelen na het incident.
Breng vervolgens de omvang van de aanval in kaart:
- Hoe is je tegenstander binnen het bedrijfsnetwerk gekomen?
- Welke systemen zijn gecompromitteerd?
- Welke kwaadaardige acties hebben de aanvallers al ondernomen?
Je moet elke stap documenteren en bewijsmateriaal verzamelen, niet alleen om de impact van de aanval te beoordelen, maar ook voor forensisch onderzoek en mogelijk juridische doeleinden. Het bijhouden van de bewakingsketen zorgt voor geloofwaardigheid als wetshandhavers of rechtbanken erbij betrokken moeten worden.
2) Breng relevante derde partijen op de hoogte
Zodra je hebt vastgesteld wat er is gebeurd, moeten de juiste relevante autoriteiten worden geïnformeerd.
- Toezichthouders: Als er persoonlijk identificeerbare informatie (PII) is gestolen, neem dan contact op met de relevante autoriteiten op grond van wetgeving inzake gegevensbescherming of sectorspecifieke wetgeving.
- Verzekeraars: De meeste verzekeringspolissen schrijven voor dat je verzekeraar onmiddellijk op de hoogte moet worden gesteld zodra er een inbreuk heeft plaatsgevonden.
- Klanten, partners en werknemers: Transparantie schept vertrouwen en helpt verkeerde informatie te voorkomen. Het is beter dat zij niet via sociale media of het televisienieuws te weten komen wat er is gebeurd.
- Wetshandhavingsinstanties: Het melden van incidenten, met name ransomware, kan helpen bij het identificeren van grotere campagnes en soms leiden tot decryptietools of inlichtingenondersteuning.
- Externe experts: Het kan ook nodig zijn om contact op te nemen met externe juridische en IT-specialisten, vooral als je zelf niet over dit soort expertise beschikt.
3) Isoleer en beperk
Terwijl je contact opneemt met relevante derde partijen, moet je snel handelen om verspreiding van de aanval te voorkomen. Isoleer getroffen systemen van het internet, maar schakel apparaten niet uit om te voorkomen dat je bewijsmateriaal vernietigt. Met andere woorden, het doel is om het bereik van de aanvaller te beperken zonder waardevol bewijsmateriaal te vernietigen.
Alle back-ups moeten offline en losgekoppeld zijn, zodat je aanvallers ze niet kunnen kapen en ransomware ze niet kan beschadigen. Alle externe toegang moet worden uitgeschakeld, VPN-inloggegevens moeten worden gereset en beveiligingstools moeten worden gebruikt om inkomend kwaadaardig verkeer en command-and-control-verbindingen te blokkeren.
4) Verwijderen en herstellen
Zodra de inperking is gerealiseerd, ga je over op uitroeiing en herstel. Voer een forensische analyse uit om inzicht te krijgen in de tactieken, technieken en procedures (TTP's) van de aanvaller, vanaf de eerste toegang tot laterale bewegingen en (indien relevant) gegevensversleuteling of -exfiltratie. Verwijder alle achtergebleven malware, achterdeurtjes, malafide accounts en andere tekenen van compromittering.
Nu is het tijd om te herstellen en te restaureren. Belangrijke acties zijn onder meer:
- het verwijderen van malware en ongeautoriseerde accounts.
- het controleren van de integriteit van kritieke systemen en gegevens
- schone back-ups herstellen (nadat je hebt gecontroleerd of ze niet gecompromitteerd zijn).
- nauwlettend in de gaten houden of er tekenen zijn van hernieuwde compromittering of persistentiemechanismen.
Gebruik de herstelfase om systemen te versterken, niet alleen om ze opnieuw op te bouwen. Dat kan onder meer betekenen dat je de controle op privileges aanscherpt, sterkere authenticatie implementeert en netwerksegmentatie afdwingt. Schakel de hulp van partners in om het herstel te versnellen of overweeg tools zoals ESET's Ransomware Remediation om het proces te versnellen.
5) Evalueer en verbeter
Zodra het directe gevaar geweken is, is het werk nog lang niet gedaan. Voldoe aan de verplichtingen naar toezichthouders, klanten en andere belanghebbenden (bijvoorbeeld partners en leveranciers). Zodra je de omvang van de inbreuk begrijpt, is het nodig om de communicatie bij te werken, mogelijk inclusief een melding bij de toezichthouder. Jouw PR- en juridische adviseurs moeten hierin het voortouw nemen.
Een evaluatie na het incident helpt om een pijnlijke gebeurtenis om te zetten in een katalysator voor veerkracht. Als het stof is neergedaald, is het ook een goed idee om uit te zoeken wat er is gebeurd en welke lessen eruit kunnen worden getrokken om te voorkomen dat zich in de toekomst een soortgelijk incident voordoet. Onderzoek wat er mis is gegaan, wat wel heeft gewerkt en waar de detectie of communicatie achterbleef. Werk je IR-plan, draaiboeken en escalatieprocedures dienovereenkomstig bij. Alle aanpassingen aan het IR-plan of aanbevelingen voor nieuwe beveiligingsmaatregelen en tips voor het trainen van medewerkers zijn nuttig.
Een sterke cultuur na een incident behandelt elke inbreuk als een oefening voor de volgende, waardoor de verdediging en de besluitvorming onder stress worden verbeterd.
Meer dan alleen IT
Het is niet altijd mogelijk om een inbreuk te voorkomen, maar het is wel mogelijk om de schade te beperken. Als je organisatie niet over de middelen beschikt om 24/7 op dreigingen te letten, overweeg dan een managed detection and response (MDR)-service van een betrouwbare derde partij. Wat er ook gebeurt, test je IR-plan en test het vervolgens nogmaals. Want succesvolle incidentrespons is niet alleen een zaak van IT. Het vereist dat een aantal belanghebbenden uit de hele organisatie en daarbuiten harmonieus samenwerken. Het soort spiergeheugen dat jullie allemaal nodig hebben, vereist meestal veel oefening om te ontwikkelen.
