Trace Id is missing
Overslaan naar hoofdinhoud
Microsoft Beveiliging

Wat is incidentreactie?

Ontdek hoe effectieve reactie op incidenten helpt om cyberaanvallen op te sporen, aan te pakken en te stoppen.

Meer informatie over Microsoft Sentinel

Incidentenreactie gedefinieerd

Voordat je een incidentreactie definieert, is het belangrijk duidelijk te hebben wat een incident is. In de IT zijn er drie termen die soms door elkaar worden gebruikt, maar verschillende dingen betekenen:

  1. Een gebeurtenis is een onschuldige actie die vaak voorkomt, zoals het aanmaken van een bestand, het verwijderen van een map of het openen van een e-mail. Op zichzelf is een gebeurtenis meestal geen aanwijzing voor een schending, maar in combinatie met andere gebeurtenissen kan het een bedreiging vormen. 
  2. Een waarschuwing is een melding die wordt veroorzaakt door een gebeurtenis, die al dan niet een bedreiging kan zijn.
  3. Een incident is een groep gecorreleerde waarschuwingen waarvan mensen of automatiseringstools het waarschijnlijk achten dat het een echte bedreiging is. Op zichzelf lijkt elke waarschuwing misschien geen grote bedreiging, maar wanneer ze worden gecombineerd, wijzen ze op een mogelijke schending.

Incidentreactie is de actie die een organisatie onderneemt als er wordt aangenomen dat er een mogelijke schending heeft plaatsgevonden van IT-systemen of gegevens. Beveiligingsprofessionals reageren bijvoorbeeld als ze bewijs zien van een onbevoegde gebruiker, malware of het falen van beveiligingsmaatregelen.

Het doel van de reactie is om een cyberaanval zo snel mogelijk te elimineren, te herstellen, eventuele klanten of overheidsinstanties op de hoogte te stellen zoals de regionale wetten voorschrijven, en te leren hoe het risico van een soortgelijke schending in de toekomst kan worden verkleind.

Hoe werkt incidentenreactie?

Incidentreactie begint meestal wanneer het beveiligingsteam een geloofwaardige waarschuwing krijgt van een SIEM-systeem (Security Information and Event Management).

Teamleden moeten controleren of de gebeurtenis kan worden gekwalificeerd als een incident en vervolgens geïnfecteerde systemen isoleren en de bedreiging verwijderen. Als het incident ernstig is of lang duurt om op te lossen, moeten organisaties misschien gegevens uit de back-up herstellen, omgaan met losgeld of klanten laten weten dat hun gegevens zijn gecompromitteerd.

Om die reden worden doorgaans ook andere mensen dan het cyberbeveiligingsteam bij de reactie betrokken. Privacydeskundigen, juristen en zakelijke beslissers helpen bepalen hoe de organisatie een incident en de gevolgen ervan aanpakt.

Soorten beveiligingsincidenten

Er zijn verschillende manieren waarop aanvallers toegang proberen te krijgen tot de gegevens van een bedrijf of anderszins hun systemen en bedrijfsvoering in gevaar te brengen. Dit zijn een aantal van de meest voorkomende manieren:

  • Phishing

    Phishing is een vorm van social engineering waarbij een aanvaller een e-mail, sms of een telefoontje gebruikt om zich voor te doen als een betrouwbaar merk of persoon. Een typische phishingaanval probeert ontvangers over te halen om malware te downloaden of hun wachtwoord te geven. Deze aanvallen maken gebruik van het vertrouwen van mensen en zetten psychologische technieken zoals angst in om mensen tot actie te bewegen. Veel van deze aanvallen hebben geen specifiek doel, ze worden op duizenden mensen gericht in de hoop dat er in ieder geval één reageert. Maar een meer geavanceerde versie, spear phishing genaamd, maakt gebruik van diepgaand onderzoek om een bericht op te stellen dat bedoeld is om één individu te overtuigen.

  • Malware

    Malware is software die is ontworpen om een computersysteem te beschadigen of gegevens te extraheren. Het komt in veel verschillende vormen voor, waaronder virussen, ransomware, spyware en Trojaanse paarden. Slechte actors installeren malware door gebruik te maken van kwetsbaarheden in hardware en software of door een werknemer over te halen dit te doen met behulp van een social engineering-techniek.

  • Ransomware

    Bij een ransomware-aanval gebruiken slechte actors malware om belangrijke gegevens en systemen te versleutelen en dreigen dan de gegevens openbaar te maken of te vernietigen als het slachtoffer geen losgeld betaalt.

  • Denial of Service

    Bij een Denial of Service-aanval (DDoS-aanval) overspoelt een bedreiger een netwerk of systeem met verkeer totdat het vertraagt of vastloopt. Meestal richten aanvallers zich op spraakmakende bedrijven zoals banken of overheden met als doel ze tijd en geld te kosten, maar organisaties van elke omvang kunnen slachtoffer worden van dit soort aanvallen.

  • De man in het midden

    Een andere methode die cybercriminelen gebruiken om persoonlijke gegevens te stelen, is om zich te mengen in een online gesprek tussen mensen die denken dat ze een privégesprek hebben. Door berichten te onderscheppen en te kopiëren of te veranderen voordat ze naar de beoogde ontvanger worden gestuurd, proberen ze een van de deelnemers te manipuleren om ze waardevolle gegevens te geven.

  • Interne bedreiging

    Hoewel de meeste aanvallen worden uitgevoerd door mensen buiten een organisatie, moeten beveiligingsteams ook alert zijn op bedreigingen van binnenuit. Werknemers en andere mensen die legitiem toegang hebben tot beperkte resources, kunnen onbedoeld of in sommige gevallen opzettelijk gevoelige gegevens lekken.

Wat is een plan voor incidentreactie?

De reactie op een incident vereist dat een team efficiënt en effectief samenwerkt om de dreiging weg te nemen en aan de vereisten te voldoen. In deze stressvolle situaties is het gemakkelijk om in de war te raken en fouten te maken. Om deze reden ontwikkelen bedrijven een plan voor incidentreactie. Het plan definieert rollen en verantwoordelijkheden, en omvat de stappen die nodig zijn om een incident op de juiste manier op te lossen, te documenteren en erover te communiceren.

Het belang van een plan voor incidentreactie

Een belangrijke aanval schaadt niet alleen de bedrijfsvoering van een organisatie, maar tast ook de reputatie van het bedrijf aan bij klanten en de community, en kan daarnaast ook juridische gevolgen hebben. Alles, inclusief hoe snel het beveiligingsteam op de aanval reageert en hoe leidinggevenden over het incident communiceren, heeft invloed op de totale kosten ervan.

Bedrijven die de schade verbergen voor klanten en overheden of die een bedreiging niet serieus genoeg nemen, kunnen in aanvaring komen met regelgeving. Dit soort fouten komt vaker voor als deelnemers geen plan hebben. Als de druk er vol op staat, bestaat het risico dat mensen uit angst overhaaste beslissingen nemen die uiteindelijk de organisatie schaden.

Een goed doordacht plan laat mensen weten wat ze in elke fase van een aanval moeten doen, zodat ze dat niet ter plekke hoeven te verzinnen. En als er na het herstel vragen komen van de buitenwacht, kan de organisatie precies laten zien hoe er is gereageerd en de klanten geruststellen dat het incident serieus wordt genomen en de nodige stappen heeft gezet om de situatie niet te laten escaleren.

Stappen voor incidentreactie

Er is meer dan één manier om incidentreactie aan te pakken, en veel organisaties vertrouwen op een organisatie die beveiligingsstandaarden aanbiedt om hun aanpak te begeleiden. SysAdmin Audit Network Security (SANS) is een particuliere organisatie die een reactieframework van zes stappen aanbiedt, dat hieronder wordt geschetst. Veel organisaties implementeren ook het framework voor incidentherstel van het National Institute of Standards and Technology (NIST).

  • Voorbereiding: voordat een incident plaatsvindt, is het belangrijk om kwetsbaarheden te verminderen en beveiligingsbeleid en -procedures vast te stellen. In de voorbereidingsfase voeren organisaties een risicobeoordeling uit om te bepalen waar ze zwakke plekken hebben en om prioriteiten te stellen. Deze fase omvat het opstellen en verfijnen van beveiligingsprocedures, het definiëren van rollen en verantwoordelijkheden, en het bijwerken van systemen om risico's te beperken. De meeste organisaties komen regelmatig terug op deze fase en brengen verbeteringen aan in beleid, procedures en systemen naarmate ze lessen leren of technologieën veranderen.
  • Identificatie van bedreigingen: op een willekeurige dag kan een beveiligingsteam duizenden waarschuwingen ontvangen die wijzen op verdachte activiteiten. Sommige daarvan zijn fout-positief of kunnen niet het niveau van een incident bereiken. Zodra een incident is vastgesteld, onderzoekt het team de aard van de schending en documenteert het de bevindingen, waaronder de bron van de schending, het type aanval en de doelen van de aanvaller. In dit stadium moet het team ook de belanghebbenden informeren en de volgende stappen meedelen.
  • Dreiging insluiten: een dreiging zo snel mogelijk insluiten is de volgende prioriteit. Hoe langer slechte actors toegang hebben, hoe groter de schade die ze kunnen aanrichten. Het beveiligingsteam werkt eraan om toepassingen of systemen die worden aangevallen snel te isoleren van de rest van de netwerken. Dit helpt voorkomen dat de aanvallers toegang krijgen tot andere delen van het bedrijf.
  • Dreiging elimineren: als de insluiting is voltooid, verwijdert het team de aanvaller en eventuele malware van de getroffen systemen en resources. Dit kan betekenen dat systemen offline moeten worden gehaald. Het team blijft ook de belanghebbenden op de hoogte houden van de voortgang.
  • Herstel: het herstel van een incident kan enkele uren duren. Als de dreiging eenmaal is geëlimineerd, herstelt het team systemen, gegevens van back-ups en bewaakt het de getroffen gebieden om er zeker van te zijn dat de aanvaller niet terugkeert.
  • Feedback en verbetering: als het incident is opgelost, bekijkt het team wat er is gebeurd en stelt het vast welke verbeteringen in het proces kunnen worden aangebracht. Leren van deze fase helpt het team de verdediging van de organisatie te verbeteren.

Wat is een incidentreactieteam?

Een incidentreactieteam, dat ook wel een Computer Security Incident Response Team (CSIRT), een Cyber Incident Response Team (CIRT) of een Computer Emergency Response Team (CERT) wordt genoemd, omvat een multifunctionele groep mensen in de organisatie die verantwoordelijk zijn voor de uitvoering van het plan voor incidentreactie. Dit omvat niet alleen de mensen die de dreiging elimineren, maar ook degenen die zakelijke of juridische beslissingen nemen in verband met een incident. Een team bestaat normaal gesproken uit de volgende leden:

  • Een incidentreactiemanager, vaak de directeur van de IT-afdeling, houdt toezicht op alle fasen van de reactie en houdt de interne belanghebbenden op de hoogte. 

  • Beveiligingsanalisten onderzoeken het incident om te proberen te begrijpen wat er gebeurt. Ze documenteren ook hun bevindingen en verzamelen forensisch bewijsmateriaal.

  • Onderzoekers van bedreigingen zoeken buiten de organisatie om inlichtingen die extra context bieden. 

  • Iemand uit het management, zoals een Chief Information Security Officer of een Chief Information Officer, geeft leiding en fungeert als verbindingspersoon met andere leidinggevenden.

  • HR-specialisten helpen bij het beheren van interne bedreigingen.

  • De bedrijfsjurist helpt het team bij aansprakelijkheidskwesties en zorgt ervoor dat forensisch bewijsmateriaal wordt verzameld.

  • Specialisten op het gebied van public relations coördineren nauwkeurige externe communicatie naar de media, klanten en andere belanghebbenden.

Een incidentreactieteam kan een onderdeel zijn van een Security Operations Center (SOC), dat zich bezighoudt met beveiligingsactiviteiten die verder gaan dan incidentreactie.

Automatisering van incidentenreactie

In de meeste organisaties genereren netwerken en beveiligingsoplossingen veel meer beveiligingswaarschuwingen dan het incidentreactieteam realistisch gezien aankan. Om het te helpen zich te concentreren op werkelijke bedreigingen, implementeren veel bedrijven automatisering van incidentreactie. Automatisering gebruikt AI en machine learning om waarschuwingen te sorteren, incidenten te identificeren en bedreigingen te elimineren door een playbook voor reacties uit te voeren op basis van programmatische scripts.

Security Orchestration, Automation and Response (SOAR) is een categorie beveiligingstools die bedrijven gebruiken om de incidentreactie te automatiseren. Deze oplossingen bieden de volgende mogelijkheden:

  • Correleer gegevens over meerdere eindpunten en beveiligingsoplossingen om incidenten te identificeren die door mensen kunnen worden opgevolgd.

  • Voer een vooraf opgesteld playbook uit om bekende incidenttypes te isoleren en aan te pakken.

  • Genereer een onderzoekstijdlijn met acties, beslissingen en forensisch bewijsmateriaal dat kan worden gebruikt voor analyse.

  • Zoek relevante externe inlichtingen voor menselijke analyse.

Een plan voor incidentreactie uitvoeren

Het ontwikkelen van een plan voor incidentreactie kan ontmoedigend lijken, maar het kan het risico dat je bedrijf onvoorbereid is tijdens een groot incident aanzienlijk verkleinen. Je kunt als volgt aan de slag:

  • Assets identificeren en prioriteren

    De eerste stap van een plan voor incidentreactie is weten wat je beschermt. Documenteer de belangrijkste gegevens van je organisatie, inclusief hun locaties en hoe belangrijk ze zijn voor het bedrijf.

  • Potentiële risico's vaststellen

    Elke organisatie heeft andere risico's. Ontdek wat de grootste kwetsbaarheden van je organisatie zijn en evalueer de manieren waarop een aanvaller ze zou kunnen uitbuiten. 

  • Reactieprocedures ontwikkelen

    Tijdens een stressvol incident zorgen duidelijke procedures ervoor dat het incident snel en effectief wordt aangepakt. Begin met het vaststellen van wat een incident is en bepaal daarna de stappen die je team moet nemen om het incident te detecteren, te isoleren en te herstellen, inclusief procedures voor het documenteren van beslissingen en het verzamelen van bewijsmateriaal.

  • Een incidentreactieteam samenstellen

    Stel een multifunctioneel team samen dat verantwoordelijk is voor het begrijpen van de reactieprocedures en de mobilisatie als er een incident is. Zorg dat je de rollen duidelijk definieert en rekening houdt met niet-technische rollen die kunnen helpen bij het nemen van beslissingen over communicatie en aansprakelijkheid. Neem iemand op in het directieteam die op de hoogste niveaus van het bedrijf pleit voor het team en de behoeften. 

  • Bepaal je communicatieplan

    Een communicatieplan zorgt ervoor dat je niet meer hoeft te gokken wanneer en hoe je anderen binnen en buiten de organisatie vertelt wat er gebeurt. Denk na over verschillende scenario's om je te helpen vast te stellen onder welke omstandigheden je leidinggevenden, de hele organisatie, klanten en de media of andere externe belanghebbenden moet informeren.

  • Werknemers trainen

    Slechte actors richten zich op werknemers op alle niveaus van de organisatie. Om die reden is het zo belangrijk dat iedereen je reactieplan begrijpt en weet wat ze moeten doen als ze vermoeden dat ze het slachtoffer zijn geworden van een aanval. Test je medewerkers regelmatig om te bevestigen dat ze phishingmails herkennen en maak het ze gemakkelijk om het incidentreactieteam op de hoogte te stellen als ze per ongeluk op een schadelijke koppeling klikken of een geïnfecteerde bijlage openen. 

Oplossingen voor incidentreactie

Voorbereid zijn op een groot incident is een belangrijk onderdeel van het beschermen van je organisatie tegen bedreigingen. Het opzetten van een intern incidentreactieteam geeft je het vertrouwen dat je er klaar voor bent als je slachtoffer wordt van een slechte actor.

Maak gebruik van SIEM- en SOAR-oplossingen, zoals Microsoft Sentinel, die automatisering gebruiken om je te helpen incidenten te identificeren en daar automatisch op te reageren. Organisaties met minder resources kunnen hun teams uitbreiden met een dienstverlener die meerdere fasen van incidentreactie kan afhandelen. Maar of je incidentreactie nu intern of extern aanpakt, zorg dat je een plan hebt.

Meer informatie over Microsoft Beveiliging

Microsoft threat protection

Identificeer incidenten in je hele organisatie en reageer erop met de nieuwste bescherming tegen bedreigingen.

Meer informatie

Microsoft Sentinel

Ontdek geavanceerde bedreigingen en reageer besluitvaardig met een krachtige SIEM-oplossing, mogelijk gemaakt door de cloud en AI.

Meer informatie

Microsoft Defender XDR

Stop aanvallen op eindpunten, e-mail, identiteiten, toepassingen en gegevens.

Meer informatie

Veelgestelde vragen

  • Incidentreactie is het geheel van activiteiten dat een organisatie onderneemt wanneer er een vermoeden is van een beveiligingsschending. Het doel is om aanvallers zo snel mogelijk te isoleren en te elimineren, te voldoen aan de regels voor gegevensprivacy en veilig te herstellen met zo min mogelijk schade voor de organisatie.

  • Een multifunctioneel team is verantwoordelijk voor incidentreactie. IT is normaal gesproken belast met het opsporen, isoleren en herstellen van bedreigingen, maar er komt meer kijken bij incidentreactie dan het vinden en elimineren van slechte actors. Afhankelijk van het type aanval moet iemand mogelijk een zakelijke beslissing nemen, zoals het betalen van losgeld. Juridisch adviseurs en specialisten op het gebied van public relations helpen ervoor te zorgen dat de organisatie zich houdt aan de wetten inzake gegevensprivacy, inclusief de juiste kennisgeving aan klanten en overheden. Als de bedreiging uitgaat van een werknemer, adviseert HR over passende maatregelen.

  • CSIRT is een andere naam voor een incidentreactieteam. Het omvat een multifunctioneel team van mensen die verantwoordelijk zijn voor het beheer van alle aspecten van incidentreactie, waaronder het opsporen, isoleren en elimineren van de bedreiging, herstel, interne en externe communicatie, documentatie en forensische analyse.

  • De meeste organisaties gebruiken een SIEM- of SOAR-oplossing om ze te helpen bij het opsporen van en reageren op bedreigingen. Deze oplossingen voegen meestal gegevens samen van meerdere systemen en gebruiken machine learning om echte bedreigingen te identificeren. Ze kunnen ook de reactie op bepaalde soorten bedreigingen automatiseren op basis van vooraf opgestelde playbooks.

  • De levenscyclus van een incident omvat zes fasen:

    1. De voorbereiding vindt plaats voordat een incident is vastgesteld en omvat een definitie van wat de organisatie als een incident beschouwt en al het beleid en de procedures die nodig zijn om een aanval te voorkomen, op te sporen, te elimineren en ervan te herstellen.
    2. De identificatie van bedreigingen is een proces dat zowel menselijke analisten als automatisering gebruikt om vast te stellen welke gebeurtenissen echte bedreigingen zijn die moeten worden aangepakt.
    3. De insluiting van bedreigingen is de actie die het team onderneemt om de bedreiging te isoleren en te voorkomen dat deze andere gebieden van het bedrijf infecteert. 
    4. De eliminatie van bedreigingen omvat stappen om malware en aanvallers uit een organisatie te verwijderen.
    5. Herstel omvat het opnieuw opstarten van systemen en machines en het herstellen van verloren gegevens. 
    6. Feedback en verbetering is het proces dat het team volgt om te leren van het incident en die lessen toe te passen op beleid en procedures. 

Microsoft volgen