Incident Response
Incident Response
Wordt uw organisatie geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek, ransomware of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een Incident Response team.
NFIR staat 24/7 voor haar opdrachtgevers klaar om elk beveiligingsincident in kaart te brengen en op te lossen. Ons Incident Response team doet haar uiterste best om binnen drie uur bij u op locatie te zijn. Het doel van het Incident Response team is de impact van het cyber incident zo snel mogelijk tot een minimum beperken, zodat de continuïteit van uw organisatie niet meer in het geding is.
Werkwijze van NFIR bij Incident Response
Bij het uitvoeren van het onderzoek naar het beveiligingsincident, werkt NFIR volgens de Incident Response procedures van NIST en SANS om gedegen en betrouwbaar onderzoek te kunnen uitvoeren. Daarnaast staan ervaring en analytisch vermogen aan de basis van elk opgelost beveiligingsincident. Als uw organisatie reeds beschikt over Incident Response procedures, dan volgt NFIR deze procedures.
Tijdens het Incident Response proces besteedt NFIR aandacht aan de volgende drie processen:
- Triage: deze stap heeft als doel om de bron(nen) en getroffen apparaten en/of systemen in kaart te brengen, aan de hand daarvan prioriteiten te stellen en het plan van aanpak te bepalen voor verder onderzoek. Gelijktijdig worden gegevens op forensisch verantwoorde wijze veiliggesteld voor eventueel nader onderzoek.
- Containment: dit proces betreft het herstellen van de getroffen apparaten en/of systemen en het verifiëren van de beveiliging, zodat de normale werkzaamheden kunnen worden hervat.
- Post-incident activiteiten: wanneer het incident is opgelost, wordt een forensisch onderzoeksrapport opgemaakt. In het rapport worden oplossingen aangedragen waarmee een soortgelijke gebeurtenis in de toekomst kan worden voorkomen. Tevens kan NFIR ondersteunen en/of adviseren bij de communicatie richting de Autoriteit Persoonsgegevens, advocaat en andere betrokken partijen.
De reeds aanwezige kennis en kunde van de opdrachtgever gebruiken wij in de Triage fase. Het Incident Response team start op locatie en maakt een plan van aanpak. Dankzij onze procedures en checklists kunnen wij snel tot actie overgaan en de negatieve effecten van het cybersecurity incident minimaliseren. Tijdens dit gehele onderzoek gaat NFIR op een forensisch verantwoorde manier te werk om later in het proces een forensische rapportage op te kunnen leveren. Als u vermoedens heeft van verwijtbaarheid of verhaalbaarheid richting een natuurlijk persoon of rechtspersoon, dan kunt u ons ook inschakelen om onderzoek uit te laten voeren. Onze rapportages zijn namelijk rechtsgeldig. U kunt de rapportage van NFIR gebruiken als bewijs in een rechtszaak of voor een melding bij de Autoriteit Persoonsgegevens (AP) in geval van een datalek.
Het Incident Response Team van NFIR
Het team van NFIR bestaat uit digitaal forensische onderzoekers, ethisch hackers en team leads die allemaal ervaring hebben met Incident Response. Na de melding van het beveiligingsincident wordt een team samengesteld dat uitrukt. Hoe groot het team is, is afhankelijk van het soort cyber incident. Uiteraard gaan alle leden van het team forensisch te werk gedurende dit traject.
Beveiligingsincidenten voorkomen is uiteraard beter dan genezen. Wij zijn ervan overtuigd dat bedrijven vooral baat hebben bij goede preventieve maatregelen op zowel technisch als awareness vlak. Om die reden voert NFIR pentesten uit, verlenen wij Security Awareness diensten en bieden wij een pakket met diverse diensten middels het Cyber Security Support Contract.
Incident Response Plan
Ik heb een incident, wat moet ik doen? Weet wat u te wachten staat in het geval van een IT security incident. Lees verder over het Incident Response traject.
Tussen chaos en controle – de kunst van Incident Response (Deel 1)
Elke organisatie, hoe klein of groot ook, krijgt er op een gegeven moment mee te maken: een digitaal cyber security incident of “hack”, zoals de
Tussen chaos en controle – de kunst van Incident Response – De onderzoeksfase (Deel 2)
In het vorige blog (“Tussen chaos en controle – de kunst van Incident Response (Deel 1)”) heb je misschien wel een van de meest ongebruikelijke
Tussen chaos en controle – de kunst van Incident Response – Post-incident (Deel 3)
In de vorige blogpost “Tussen chaos en controle – de kunst van Incident Response (Deel 2)” heb je kunnen lezen welke activiteiten, afwegingen en emoties
Beveiligingsincident? Maak kennis met Incident Response
Wat is de werkwijze van NFIR bij Incident Response?
- Triage: deze stap heeft als doel om de bron(nen) en getroffen apparaten en/of systemen in kaart te brengen, aan de hand daarvan prioriteiten te stellen en het plan van aanpak te bepalen voor verder onderzoek. Gelijktijdig worden gegevens op forensisch verantwoorde wijze veiliggesteld voor eventueel nader onderzoek.
- Containment: dit proces betreft het herstellen van de getroffen apparaten en/of systemen en het verifiëren van de beveiliging, zodat de normale werkzaamheden kunnen worden hervat.
- Post-incident activiteiten: wanneer het incident is opgelost, wordt een forensisch onderzoeksrapport opgemaakt. In het rapport worden oplossingen aangedragen waarmee een soortgelijke gebeurtenis in de toekomst kan worden voorkomen. Tevens kan NFIR ondersteunen en/of adviseren bij de communicatie richting de Autoriteit Persoonsgegevens, advocaat en andere betrokken partijen.
Wat is de impact van ransomware in mijn organisatie?
Het aantal ransomware-aanvallen in Nederland is groot en neemt zelfs toe. In een recent onderzoek gaf bijna driekwart van de ondervraagde Nederlandse bedrijven aan in 2021 door een ransomware aanval zijn getroffen. Slechts iets meer dan een derde gaf aan dat zij een cybersecurity strategie hadden klaarliggen. Dat terwijl de impact van een aanval met ransomware op uw bedrijf of organisatie enorm is. Uw bedrijfsvoering wordt ernstig gehinderd of zelfs onmogelijk gemaakt. Bedrijfsgeheimen (kunnen) worden doorverkocht en data wordt gelekt. Uw externe partners vertrouwen uw organisatie niet meer en nemen een afwachtende houding aan. En denkt u maar niet ‘dat gebeurt ons niet’, want het kan iedereen overkomen. Van grote bedrijven en organisaties tot mkb-ondernemingen met 20 mensen in dienst.
Lees het volledige artikel: Wat voor impact heeft een ransomware-aanval op mijn organisatie?
Kan ik altijd contact opnemen met NFIR om hulp te krijgen in het geval van een IT-Security incident?
Ja, Wij staan 24/7 klaar voor MKB-bedrijven, multinationals, overheidsorganen, onderwijsinstellingen en non-profit organisaties. Binnen drie uur staat een incident response (CERT) team op elke locatie in Nederland (Waddeneilanden uitgesloten).
NFIR is een officieel CERT maar wat houdt dat eigenlijk in?
CERT staat voor Computer Emergency Response Team. Het kenmerk wordt door Carnagie Mellon University toegekend aan bedrijven en teams die zich inzetten bij digitale beveiligingsincidenten. In Nederland zijn er een aantal officiële CERT’s van grote organisaties die zich bezighouden met het bestrijden van cyberincidenten, zoals het NCSC, de IBD, Defensie, telecom organisaties en banken.
Wat kan het Incident Response team voor mijn organisatie betekenen in het geval van een IT-Security incident?
Het doel van het incident response team is de impact van het cyber incident zo snel mogelijk tot een minimum beperken, zodat de continuïteit van uw organisatie niet meer in het geding is.
Waaruit bestaat een Incident Response team eigenlijk?
Het CERT van NFIR bestaat uit digitaal forensische onderzoekers, ethisch hackers en team leads die allemaal ervaring hebben met incident response. Na de melding van het beveiligingsincident wordt een team samengesteld dat uitrukt. Hoe groot het team is, is afhankelijk van het soort cyber incident. Uiteraard gaan alle leden van het team forensisch te werk gedurende dit traject.
Beschikt NFIR over de juiste forensische apparatuur?
Het Incident Response team wordt altijd voorzien van de juiste digitaal forensische apparatuur om op locatie de opdrachtgevers direct van dienst te zijn. NFIR investeert continu in snelle, betrouwbare en vooraanstaande apparatuur en tooling waarmee meerdere Incident Response teams tegelijkertijd kunnen opereren.
Uit welke fases bestaat een Incident Response traject?
-
- Incident melding en intake
- Veiligstellen en onderzoeken
- Rapportage en preventie
Uit welke stappen bestaat een Incident Response traject doorgaans?
- Neem contact op met het Computer Emergency Response Team van NFIR (088-133 0700)
- Het CERT komt in actie. Alle noodzakelijk apparatuur wordt ingepakt en binnen 3 uur is het CERT op locatie
- Op locatie wordt de intake uitgevoerd met alle stakeholders om alle beschikbare informatie over het incident te verzamelen
- Na het verlenen van de opdracht zal gestart worden met de triage op de getroffen systemen
- Zodra duidelijk is welke systemen getroffen zijn of verder onderzocht moeten worden zal data veilig gesteld worden volgens een digitaal forensische procedure
- In de containment fase worden de getroffen systemen hersteld en de beveiliging wordt geverifieerd om herhaling van het incident te kunnen voorkomen
- In de post-incident fase wordt de veiliggestelde data nader digitaal forensisch onderzocht. Er worden zoveel mogelijk antwoorden gegeven op de onderzoeksvragen en de toedracht van het onderzoek. Alle bevindingen en adviezen worden opgenomen in een rapportage die wordt opgeleverd ter afsluiting van het incident. Dit rapport kan voor interne en externe doeleinden (zoals toezichthouders en voor juridische procedures) worden ingezet.
Wat zijn de meest voorkomende type IT-security incidenten die NFIR tegenkomt in Incident Response trajecten?
Van alle IT-security incidenten die NFIR afhandelt zijn de meest voorkomende toedrachten gecompromitteerde (e-mail) accounts en aanvallen op kwetsbare systemen die onvoldoende weerstand boden door een gebrek aan software updates en beveiliging. Als hackers ongeautoriseerde toegang krijgen tot systemen dan leidt dat meestal tot datalekken, het plaatsen van ransomware en diverse soorten malware zoals cryptominers.
Wordt er altijd een digitaal forensisch onderzoek gedaan als onderdeel van Incident Response
Niet in alle gevallen is dat nodig maar veelal wil de opdrachtgever weten hoe groot de omvang is van het incident en stellen toezichthouders vragen die te beantwoorden zijn door het uitvoeren van een onderzoek. In alle gevallen is NFIR verplicht om een rapportage op te leveren.
Kan een organisatie vooraf afspraken maken met NFIR om er zeker van te zijn om snel geholpen te worden in het geval van een IT-Security incident?
Dat is mogelijk. NFIR biedt het Cyber Security Support Contract. Binnen dit contract zijn een aantal preventieve en reactieve diensten ondergebracht. Uw organisatie kan dan rekenen op een jaarlijkse phishing test, awareness training voor MT/Directie en wekelijkse vulnerability scanning van 2 IP adressen. Hiernaast garanderen wij binnen dat het CERT binnen 3 uur op locatie is in geval van een IT-security Incident, is 1 intake per jaar kosteloos en biedt het contract 15% korting op het pentest uurtarief en 15% korting op het Incident Response uurtarief.
Incident Response Plan
Weet wat u te wachten staat in het geval van een IT security incident. Lees verder over het Incident Response plan.
Over NFIR
Wij staan voor communiceren in duidelijke taal met onze klanten. Op die wijze rapporteren wij ook onze bevindingen. Daarnaast ambiëren wij de aanpak ‘meten is weten’, waardoor wij u, met behulp van verschillende soorten onderzoek, gericht kunnen helpen. Bij de aanpak hoort ook dat onze diensten doorontwikkeld worden. Hierdoor blijven onze diensten aansluiten bij de veranderende praktijk.
NFIR staat voor het bieden van technische én organisatorische ondersteuning, security diensten en trainingen. Met onze kennis en ervaring kunnen wij u van technisch advies voorzien en geven wij u advies omtrent de procedures en processen van informatiebeveiliging. Door NFIR in te schakelen, wordt u op meerdere vlakken geholpen de weerbaarheid van de cyber security van uw organisatie te vergroten.