In de vorige blogpost “Tussen chaos en controle – de kunst van Incident Response (Deel 2)” heb je kunnen lezen welke activiteiten, afwegingen en emoties er soms allemaal komen kijken bij een incident response traject. We hebben inmiddels een intake gedaan, informatie is veiliggesteld en we hebben de klant geadviseerd over een veilig herstel van de omgeving. Tijdens de laatste fase kan de klant inmiddels weer veilig aan het werk. We zijn echter nog niet klaar: nu gaan we het onderzoek en de rapportage afronden. de laatste details worden bekend en de feiten worden nogmaals gecontroleerd.
Post-incident
Tot slot hebben we de laatste fase: ‘Post-incident activiteiten‘. Na het oplossen van het incident, stellen we een gedetailleerd forensisch onderzoeksrapport op. Als het nodig is kan deze rapportage ook gebruikt worden bij eventuele juridische stappen. Dit rapport is niet alleen een terugblik op het incident, maar ook een vooruitblik: we bieden oplossingen om soortgelijke incidenten in de toekomst te voorkomen. Daarnaast bevat het rapport een samenvatting van de mitigerende maatregelen die NFIR tijdens het incident al adviseerde. Bovendien kan NFIR als sparringpartner ondersteuning bieden bij de communicatie naar de Autoriteit Persoonsgegevens, advocaten en andere betrokken partijen tijdens een incident.
Rapportage
In een incident rapportage schrijven we altijd de feitelijke waarnemingen die in het onderzoek naar voren zijn gekomen. Daarbij vormt de rapportage een overzicht van de relevante gebeurtenissen zoals:
Hoe is door de aanvallers toegang verkregen;
Welke informatie is door de aanvallers mogelijk gestolen;
Welke handelingen zijn door de aanvallers uitgevoerd.
Daarnaast adviseren wij noodzakelijke vervolgstappen en gaan we in op welke acties eventueel in de toekomst kunnen worden uitgevoerd om de omgeving nog verder te verbeteren.
Mischa Rick van Geelen
Mischa Rick van Geelen is Technical Lead Incident Response/ Forensics bij NFIR en is dagelijks actief in het digitale werkveld om samen met collega’s organisaties in nood te helpen na een digitale aanval.
Incident Response in de praktijk
Een rapportage is niet compleet zonder het gebruik van open source standaarden om informatie op uniforme wijze te kunnen documenteren. Dit zijn open standaarden zoals het MITRE ATT&CK-framework, maar ook de Unified Killchain om activiteiten van aanvallers in fases te kunnen opdelen. Binnen het MITRE ATT&CK framework worden verschillende handvatten geboden om handelingen van aanvallers te categoriseren:
| Reconnaissance | Privilege Escalation | Collection |
|---|---|---|
| Resource Development | Defense Evasion | Command and Control |
| Initial Access | Credential Access | Exfiltration |
| Execution | Discovery | Impact |
| Persistence | Lateral Movement |
Samen met de Unified Killchain geven de standaarden inzicht in de tactieken die hackers gebruiken om hun doelen te bereiken. Dit biedt een stevige basis om beschermingsstrategieën te ontwikkelen (of aan te passen) om de weerbaarheid van een organisatie naar de toekomst toe nog verder te kunnen verhogen.
De impact op een organisatie
Een van de laatste, maar (te) vaak onderbelichte kanten van een incident is de impact die het heeft op de (vaak enorm) betrokken medewerkers van een organisatie.
Het ervaren van een cybersecurity incident kan stressvol zijn, maar het kan ook een unieke gelegenheid bieden om de teamgeest en de inzet van medewerkers te zien. Wanneer een incident zich voordoet, toont het de ware kracht van een organisatie als medewerkers samenkomen, niet alleen om de bedreiging aan te pakken, maar ook om te leren en groeien door ervaring.
In tijden van crisis, zoals een cybersecurity incident, zien wij vaak medewerkers die een ongelooflijke drive hebben om te helpen waar ze kunnen. Deze betrokkenheid komt vaak voort uit een gevoel van verantwoordelijkheid. Het is indrukwekkend om te zien hoe medewerkers hun reguliere taken opzijzetten om bij te dragen aan het oplossen van het probleem. Of het nu gaat om het ondersteunen van collega’s en het CERT-team of het delen van kennis en expertise, hun betrokkenheid is van onschatbare waarde.
Er wordt vaak gezegd dat de mens de zwakste schakel is in de cybersecurity-keten, maar in tijden van crisis kunnen mensen ook de sterkste schakel worden. Hun vermogen om samen te werken, te communiceren en te leren maakt ze tot een ongelooflijk krachtig instrument bij het beheersen van cybersecurity incidenten.
Het einde van deze blogserie
Hoewel deze reeks ten einde is, markeren we dit als het begin van nieuwe mogelijkheden, nieuwe inhoud en voortgezette dialoog. Wij hopen u bij toekomstige publicaties weer te mogen verwelkomen.
Elk artikel in deze serie werd nauwgezet samengesteld met een focus op het leveren van waardevolle informatie en inzichten. Uw interesse en deelname hebben bijgedragen aan de relevantie en impact van deze inhoud.
Mogelijk heeft u tijdens het lezen nieuwe kennis opgedaan, zijn inzichten die u al had versterkt, of zijn uw standpunten misschien zelfs uitgedaagd. Uw interactie, zij het via feedback, opmerkingen, of het delen van onze berichten, heeft bijgedragen aan het bereik en de effectiviteit van onze inspanningen. Ik wil u daarom hartelijk bedanken voor uw aandacht en betrokkenheid bij het lezen van deze blogserie.
Het Incident Response Team van NFIR
Het team van NFIR bestaat uit digitaal forensische onderzoekers, ethisch hackers en team leads die allemaal ervaring hebben met Incident Response. Na de melding van het beveiligingsincident wordt een team samengesteld dat uitrukt. Hoe groot het team is, is afhankelijk van het soort cyber incident. Uiteraard gaan alle leden van het team forensisch te werk gedurende dit traject.
- 📝 Na incidentoplossing: Gedetailleerd forensisch onderzoeksrapport voor juridische stappen en toekomstige preventie.
- 🛡️ Rapport bevat: Terugblik en vooruitblik, mitigerende maatregelen en ondersteuning.
- 📑 Rapportage omvat: Aanvallers’ toegangsmechanismen, gestolen informatie, uitgevoerde handelingen.
- ⚙️ Vervolgstappen: Advies en toekomstige acties voor verbetering van beveiliging.
- 🤝 Menselijke impact: Incidenten benadrukken teamgeest en groei van medewerkers.
- 💪 Menselijke kracht: Medewerkers betrokkenheid en samenwerking in crisis is waardevol.
- 🤝 NFIR Incident Response Team: Samengesteld team van forensisch onderzoekers en ethisch hackers voor incidentrespons.
Beveiligingsincidenten voorkomen is uiteraard beter dan genezen. Wij zijn ervan overtuigd dat bedrijven vooral baat hebben bij goede preventieve maatregelen op zowel technisch als awareness vlak. Om die reden voert NFIR pentesten uit, verlenen wij Security Awareness diensten en bieden wij een pakket met diverse diensten middels het Cyber Security Support Contract.
Een beveiligingsincident, gehackt? Maak kennis met incident response!
Neem direct contact met ons op.
