Elke organisatie, hoe klein of groot ook, krijgt er op een gegeven moment mee te maken: een digitaal cyber security incident of “hack”, zoals de meeste van onze klanten het noemen. Vaak zijn organisaties bang, of schamen ze zich tegenover hun klanten voor het feit dat een aanval heeft plaatsgevonden en speelt de vraag wat de gevolgen zijn voor klantrelaties.
In de volgende reeks blogs zal ik de spannende momenten delen die volgden op dat ene gedenkwaardige telefoongesprek. Van het eerste telefoontje tot de technische uitdagingen, de strategische beslissingen en de onvermijdelijke race tegen de klok. Ik zal de barrières die we met ons team tegenkwamen ontleden en de lessen delen die we hebben geleerd. Vandaag sta je even in de schoenen van een Incident Responder.
Dus zet je schrap voor de rit, terwijl we deze bijzondere crisis ontvouwen. Door de ogen van ons incident response team beleef je de onverwachte avonturen en cruciale momenten in “Tussen chaos en controle – de kunst van Incident Response”.
Politie op zondagavond?
Het was een rustige zondagavond; rond 23.00 uur, de meeste mensen sloten de dag af en bereidden zich voor op de naderende werkweek. Maar in de wereld van incident response ligt onvoorspelbaarheid op de loer, en de rust kan in een oogwenk worden verstoord. Sinds afgelopen vrijdag had ik al piket, daarom checkte ik even of mijn telefoon niet op stil stond en controleerde ik of mijn wekker voor maandagochtend al was gezet. Uiteraard had ik mijn koffer al in de auto liggen, het hele IR-team is klaar om uit te rukken.
Terwijl ik controleerde of mijn telefoon goed over zou gaan, hoorde ik de bekende iPhone melodie. Het was een van onze klanten. Zijn stem verraadde de angst en urgentie, het was een noodkreet. Hij begon: “De politie stond zojuist voor de deur van ons kantoor met vier politieagenten.” Dat is een zin die je verwacht in een Hollywood-film. Zeker niet in een gesprek met een klant op een late zondagavond. Ergens wist ik gelijk al dat ik vanavond niet meer ging slapen. Deze specifieke zondagavond zou alles allesbehalve rustig blijken.
Ik weet nog heel goed, vol in adrenaline vroeg ik vol ongeloof: “Politie aan de deur, op zo’n tijdstip?”. Het antwoord kon ik eigenlijk al raden, het was eigenlijk een retorische vraag. “Ja”, antwoordde onze klant. Realiteit is soms vreemder dan fictie. Ondertussen liep de klant naar de systeembeheerder, die inmiddels op zijn werkplek zat. “Ik kan niet inloggen op de interne systemen.” vertelde hij gelijk. Het was duidelijk dat er iets groots gaande was. De digitale storm was losgebarsten.
Mischa Rick van Geelen
Mischa Rick van Geelen is Technical Lead Incident Response/ Forensics bij NFIR en is dagelijks actief in het digitale werkveld om samen met collega’s organisaties in nood te helpen na een digitale aanval.
Incident Response in de praktijk
Om middernacht op locatie
Vervolgens is het CERT-team opgeroepen om op locatie te komen, vanwege het potentieel ernstige incident dat onmiddellijk aandacht vereiste. Het was inmiddels middernacht, maar als het om incident response gaat telt elke minuut, ongeacht het uur. De omliggende kantoorgebouwen waren donker, met uitzondering van een enkel gebouw: het kantoor van de klant. Na het aanbellen werd de deur opengedaan door de aanwezige beheerder. Hij keek opgelucht toen het CERT-team van NFIR zich voorstelde. “Wat fijn dat jullie er al zijn!” riep hij enthousiast.
Het dienstdoende CERT-team ging na het ophangen van de jassen en het neerzetten van de koffers van start met de intake. Een intake bij incident response is meer dan alleen het loggen van wat er is gebeurd. Het is de eerste cruciale stap in het begrijpen van de situatie, het stellen van de juiste prioriteiten en het opzetten van een geschikt actieplan.
De centrale vraag is: hoe kunnen we zo snel mogelijk de oorzaak van het incident vinden?
Het verhaal is heftig: beheerders kunnen niet meer inloggen op het gehele netwerk en inmiddels zijn ook bestanden van de aanvaller gevonden met daarin de vraag om losgeld (ransom notes).
Er was geen indicatie waar het incident begonnen was. Dit soort situaties hebben wij vaker gezien: het duurt vaak ook weken voordat de meest belangrijke systemen weer veilig online kunnen gaan. We hebben de klant ook voorbereid op het scenario dat zij wekenlang bezig kunnen zijn om naar een operationele en veilige situatie te kunnen gaan.
Tijdens de intake leggen we samen met de klant vast wat de onderzoeksvragen zijn, hoe we deze onderzoeksvragen beantwoorden en hoe het uiteindelijke eindproduct (een rapportage) op hoofdlijnen eruit gaat zien. Vervolgens gaan we, samen met de beheerder, van start om informatie veilig te stellen uit de getroffen systemen om erachter te komen wat er gebeurd is.
Naarmate we deze nacht vol uitdagingen en verrassingen verder onderzoeken, blijft het duidelijk dat de wereld van incident response vol is met onverwachte bochten en onvoorspelbare hindernissen. Het verhaal dat begon met een onverwacht bezoek van de politie op een late zondagavond bij onze klant, heeft ons meegenomen op een achtbaanrit van technische tegenslagen, snelle besluitvorming en menselijke vastberadenheid.
In onze volgende post duiken we dieper in de technische aspecten van de zaak, ontrafelen we de complexiteit van de aanval en de strategieën die we hebben gebruikt om de dreiging te beheersen. Bovendien zullen we de emotionele kant van deze zaak niet negeren, het tollen van de menselijke geest wanneer geconfronteerd met een overweldigende uitdaging.
Dus sluit deze blog niet, we zijn nog maar net begonnen. Het volgende deel van dit meeslepende verhaal, het volgende hoofdstuk in “Tussen chaos en controle – de kunst van Incident Response”, ligt slechts een klik verder. Blijf op het puntje van je stoel en kijk uit naar onze volgende post, waar we de spanning verder ingaan op deze spannende casus.
Het Incident Response Team van NFIR
Het team van NFIR bestaat uit digitaal forensische onderzoekers, ethisch hackers en team leads die allemaal ervaring hebben met Incident Response. Na de melding van het beveiligingsincident wordt een team samengesteld dat uitrukt. Hoe groot het team is, is afhankelijk van het soort cyber incident. Uiteraard gaan alle leden van het team forensisch te werk gedurende dit traject.
- 🚨 NFIR’s CERT-team wordt opgeroepen voor een potentieel ernstig incident.
- 🕛 Tijd is cruciaal in incident response, ongeacht het uur.
- 📋 De intake bij incident response is meer dan registratie; het begrijpt de situatie.
- 🔍 Het doel is snel de oorzaak van het incident vinden, waar ransomware betrokken is.
- 🧩 Gezamenlijk worden onderzoeksvragen vastgesteld en informatie uit systemen verkregen.
- 🎢 Incident response is een achtbaan van technische obstakels en menselijke vastberadenheid.
Beveiligingsincidenten voorkomen is uiteraard beter dan genezen. Wij zijn ervan overtuigd dat bedrijven vooral baat hebben bij goede preventieve maatregelen op zowel technisch als awareness vlak. Om die reden voert NFIR pentesten uit, verlenen wij Security Awareness diensten en bieden wij een pakket met diverse diensten middels het Cyber Security Support Contract.
Een beveiligingsincident, gehacked, maak kennis met incident response?
Neem direct contact met ons op.