Incident Response

Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek, ransomware of een cybersecurity aanval?
Dossier monitoring
Dossier monitoring

Incident Response

Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek, ransomware of een cybersecurity aanval?

Wordt u geconfronteerd met onverwachte gebeurtenissen in uw IT omgeving, zoals het blokkeren van werkplekken, inbreuk op de beveiliging, geen toegang meer tot uw data, een mogelijk datalek, ransomware of een cybersecurity aanval? Op uw verzoek komt NFIR direct in actie met een Incident Response team. 

NFIR staat 24/7 voor haar opdrachtgevers klaar om elk beveiligingsincident in kaart te brengen en op te lossen. Ons Incident Response team doet haar uiterste best om binnen drie uur bij u op locatie te zijn. Het doel van het Incident Response team is de impact van het cyber incident zo snel mogelijk tot een minimum beperken, zodat de continuïteit van uw organisatie niet meer in het geding is.

Werkwijze van NFIR bij Incident Response

Bij het uitvoeren van het onderzoek naar het beveiligingsincident, werkt NFIR volgens de Incident Response procedures van NIST en SANS om gedegen en betrouwbaar onderzoek te kunnen uitvoeren. Daarnaast staan ervaring en analytisch vermogen aan de basis van elk opgelost beveiligingsincident. Als uw organisatie reeds beschikt over Incident Response procedures, dan volgt NFIR deze procedures.

Tijdens het Incident Response proces besteedt NFIR aandacht aan de volgende drie processen:

  • Triage: deze stap heeft als doel om de bron(nen) en getroffen apparaten en/of systemen in kaart te brengen, aan de hand daarvan prioriteiten te stellen en het plan van aanpak te bepalen voor verder onderzoek. Gelijktijdig worden gegevens op forensisch verantwoorde wijze veiliggesteld voor eventueel nader onderzoek.
  • Containment: dit proces betreft het herstellen van de getroffen apparaten en/of systemen en het verifiëren van de beveiliging, zodat de normale werkzaamheden kunnen worden hervat.
  • Post-incident activiteiten: wanneer het incident is opgelost, wordt een forensisch onderzoeksrapport opgemaakt. In het rapport worden oplossingen aangedragen waarmee een soortgelijke gebeurtenis in de toekomst kan worden voorkomen. Tevens kan NFIR ondersteunen en/of adviseren bij de communicatie richting de Autoriteit Persoonsgegevens, advocaat en andere betrokken partijen.

De reeds aanwezige kennis en kunde van de opdrachtgever gebruiken wij in de Triage fase. Het Incident Response team start op locatie en maakt een plan van aanpak. Dankzij onze procedures en checklists kunnen wij snel tot actie overgaan en de negatieve effecten van het cybersecurity incident minimaliseren. Tijdens dit gehele onderzoek gaat NFIR op een forensisch verantwoorde manier te werk om later in het proces een forensische rapportage op te kunnen leveren. Als u vermoedens heeft van verwijtbaarheid of verhaalbaarheid richting een natuurlijk persoon of rechtspersoon, dan kunt u ons ook inschakelen om onderzoek uit te laten voeren. Onze rapportages zijn namelijk rechtsgeldig. U kunt de rapportage van NFIR gebruiken als bewijs in een rechtszaak of voor een melding bij de Autoriteit Persoonsgegevens (AP) in geval van een datalek.

Het Incident Response Team van NFIR

Het team van NFIR bestaat uit digitaal forensische onderzoekers, ethisch hackers en team leads die allemaal ervaring hebben met Incident Response. Na de melding van het beveiligingsincident wordt een team samengesteld dat uitrukt. Hoe groot het team is, is afhankelijk van het soort cyber incident. Uiteraard gaan alle leden van het team forensisch te werk gedurende dit traject.

Beveiligingsincidenten voorkomen is uiteraard beter dan genezen. Wij zijn ervan overtuigd dat bedrijven vooral baat hebben bij goede preventieve maatregelen op zowel technisch als awareness vlak. Om die reden voert NFIR pentesten uit, verlenen wij Security Awareness diensten en bieden wij een pakket met diverse diensten middels het Cyber Security Support Contract.

 

Incident Response Plan

Ik heb een incident, wat moet ik doen? Weet wat u te wachten staat in het geval van een IT security incident. Lees verder over het Incident Response traject. 

Beveiligingsincident? Maak kennis met Incident Response

Ons incident response team is 24/7 beschikbaar om elk cyber incident in kaart te brengen en op te lossen.
  • Triage: deze stap heeft als doel om de bron(nen) en getroffen apparaten en/of systemen in kaart te brengen, aan de hand daarvan prioriteiten te stellen en het plan van aanpak te bepalen voor verder onderzoek. Gelijktijdig worden gegevens op forensisch verantwoorde wijze veiliggesteld voor eventueel nader onderzoek.
  • Containment: dit proces betreft het herstellen van de getroffen apparaten en/of systemen en het verifiëren van de beveiliging, zodat de normale werkzaamheden kunnen worden hervat.
  • Post-incident activiteiten: wanneer het incident is opgelost, wordt een forensisch onderzoeksrapport opgemaakt. In het rapport worden oplossingen aangedragen waarmee een soortgelijke gebeurtenis in de toekomst kan worden voorkomen. Tevens kan NFIR ondersteunen en/of adviseren bij de communicatie richting de Autoriteit Persoonsgegevens, advocaat en andere betrokken partijen.

Het aantal ransomware-aanvallen in Nederland is groot en neemt zelfs toe. In een recent onderzoek gaf bijna driekwart van de ondervraagde Nederlandse bedrijven aan in 2021 door een ransomware aanval zijn getroffen. Slechts iets meer dan een derde gaf aan dat zij een cybersecurity strategie hadden klaarliggen. Dat terwijl de impact van een aanval met ransomware op uw bedrijf of organisatie enorm is. Uw bedrijfsvoering wordt ernstig gehinderd of zelfs onmogelijk gemaakt. Bedrijfsgeheimen (kunnen) worden doorverkocht en data wordt gelekt. Uw externe partners vertrouwen uw organisatie niet meer en nemen een afwachtende houding aan. En denkt u maar niet ‘dat gebeurt ons niet’, want het kan iedereen overkomen. Van grote bedrijven en organisaties tot mkb-ondernemingen met 20 mensen in dienst.

Lees het volledige artikel: Wat voor impact heeft een ransomware-aanval op mijn organisatie?

Ja, Wij staan 24/7 klaar voor MKB-bedrijven, multinationals, overheidsorganen, onderwijsinstellingen en non-profit organisaties. Binnen drie uur staat een incident response (CERT) team op elke locatie in Nederland (Waddeneilanden uitgesloten).

CERT staat voor Computer Emergency Response Team. Het kenmerk wordt door Carnagie Mellon University toegekend aan bedrijven en teams die zich inzetten bij digitale beveiligingsincidenten. In Nederland zijn er een aantal officiële CERT’s van grote organisaties die zich bezighouden met het bestrijden van cyberincidenten, zoals het NCSC, de IBD, Defensie, telecom organisaties en banken.

Het doel van het incident response team is de impact van het cyber incident zo snel mogelijk tot een minimum beperken, zodat de continuïteit van uw organisatie niet meer in het geding is.

Het CERT van NFIR bestaat uit digitaal forensische onderzoekers, ethisch hackers en team leads die allemaal ervaring hebben met incident response. Na de melding van het beveiligingsincident wordt een team samengesteld dat uitrukt. Hoe groot het team is, is afhankelijk van het soort cyber incident. Uiteraard gaan alle leden van het team forensisch te werk gedurende dit traject.

Het Incident Response team wordt altijd voorzien van de juiste digitaal forensische apparatuur om op locatie de opdrachtgevers direct van dienst te zijn. NFIR investeert continu in snelle, betrouwbare en vooraanstaande apparatuur en tooling waarmee meerdere Incident Response teams tegelijkertijd kunnen opereren.

    1. Incident melding en intake
    2. Veiligstellen en onderzoeken
    3. Rapportage en preventie
  1. Neem contact op met het Computer Emergency Response Team van NFIR (088-133 0700)
  2. Het CERT komt in actie. Alle noodzakelijk apparatuur wordt ingepakt en binnen 3 uur is het CERT op locatie
  3. Op locatie wordt de intake uitgevoerd met alle stakeholders om alle beschikbare informatie over het incident te verzamelen
  4. Na het verlenen van de opdracht zal gestart worden met de triage op de getroffen systemen
  5. Zodra duidelijk is welke systemen getroffen zijn of verder onderzocht moeten worden zal data veilig gesteld worden volgens een digitaal forensische procedure
  6. In de containment fase worden de getroffen systemen hersteld en de beveiliging wordt geverifieerd om herhaling van het incident te kunnen voorkomen
  7. In de post-incident fase wordt de veiliggestelde data nader digitaal forensisch onderzocht. Er worden zoveel mogelijk antwoorden gegeven op de onderzoeksvragen en de toedracht van het onderzoek. Alle bevindingen en adviezen worden opgenomen in een rapportage die wordt opgeleverd ter afsluiting van het incident. Dit rapport kan voor interne en externe doeleinden (zoals toezichthouders en voor juridische procedures) worden ingezet.

Van alle IT-security incidenten die NFIR afhandelt zijn de meest voorkomende toedrachten gecompromitteerde (e-mail) accounts en aanvallen op kwetsbare systemen die onvoldoende weerstand boden door een gebrek aan software updates en beveiliging. Als hackers ongeautoriseerde toegang krijgen tot systemen dan leidt dat meestal tot datalekken, het plaatsen van ransomware en diverse soorten malware zoals cryptominers.

 

Niet in alle gevallen is dat nodig maar veelal wil de opdrachtgever weten hoe groot de omvang is van het incident en stellen toezichthouders vragen die te beantwoorden zijn door het uitvoeren van een onderzoek. In alle gevallen is NFIR verplicht om een rapportage op te leveren.

Dat is mogelijk. NFIR biedt het Cyber Security Support Contract. Binnen dit contract zijn een aantal preventieve en reactieve diensten ondergebracht. Uw organisatie kan dan rekenen op een jaarlijkse phishing test, awareness training voor MT/Directie en wekelijkse vulnerability scanning van 2 IP adressen. Hiernaast garanderen wij binnen dat het CERT binnen 3 uur op locatie is in geval van een IT-security Incident, is 1 intake per jaar kosteloos en biedt het contract 15% korting op het pentest uurtarief en 15% korting op het Incident Response uurtarief.

Wij staan voor communiceren in duidelijke taal met onze klanten. Op die wijze rapporteren wij ook onze bevindingen. Daarnaast ambiëren wij de aanpak ‘meten is weten’, waardoor wij u, met behulp van verschillende soorten onderzoek, gericht kunnen helpen. Bij de aanpak hoort ook dat onze diensten doorontwikkeld worden. Hierdoor blijven onze diensten aansluiten bij de veranderende praktijk.

NFIR staat voor het bieden van technische én organisatorische ondersteuning, security diensten en trainingen. Met onze kennis en ervaring kunnen wij u van technisch advies voorzien en geven wij u advies omtrent de procedures en processen van informatiebeveiliging. Door NFIR in te schakelen, wordt u op meerdere vlakken geholpen de weerbaarheid van de cyber security van uw organisatie te vergroten.

Meer informatie