Incident Response Checklist

Inleiding

Wanneer een beveiligingsincident zich voordoet, lopen de spanningen hoog op en wordt helder denken een luxe. Het verschil tussen een gecontroleerde respons en chaotisch geharrewar hangt vaak af van één ding: voorbereiding. Een goed bijgehouden checklist vervangt geen expertise, maar zorgt er wel voor dat kritieke stappen niet worden overgeslagen op het moment dat de druk het hoogst is.

Deze checklist volgt de incident response-levenscyclus zoals gedefinieerd in NIST SP 800-61 Rev. 2 (Computer Security Incident Handling Guide), aangevuld met lessen uit real-world opdrachten in uiteenlopende sectoren. Ze behandelt vijf fasen: Preparation (Voorbereiding), Detection & Analysis (Detectie en analyse), Containment (Indamming), Eradication & Recovery (Eradicatie en herstel) en Post-Incident Activity (Post-incident activiteit).

Print haar uit. Hang haar op de muur in uw SOC. Pas haar aan uw omgeving aan. Het doel is niet om haar blindelings te volgen — het gaat erom dat niets over het hoofd wordt gezien wanneer elke minuut telt.

Fase 1: Voorbereiding

Voorbereiding is de fase die u investeert vóórdat er iets misgaat. Elk uur dat hier wordt besteed, betaalt zich terug wanneer een incident zich voordoet. Het doel is ervoor te zorgen dat uw mensen, processen en technologie gereed zijn om beveiligingsincidenten te detecteren, erop te reageren en ervan te herstellen.

• Houd een actuele assetinventaris bij, inclusief hardware, software, clouddiensten en datarepositories
• Documenteer het incident response-plan en herzie het minimaal jaarlijks of na ingrijpende organisatorische wijzigingen
• Houd een actuele contactlijst bij met IR-teamleden, juridisch adviseur, directie, PR/communicatie, contacten bij rechtshandhaving, verzekeringscontacten en sleutelleveranciers
• Zorg dat forensische toolkits zijn klaargezet, getest en toegankelijk zijn — inclusief schrijfblokkeerders, forensische imaging-tools en netwerkcapture-utilities
• Verifieer de integriteit van back-ups op regelmatige basis en test volledig herstelprocedures minimaal elk kwartaal
• Stel out-of-band communicatiekanalen in (bijv. een toegewijd berichtenplatform, satelliettelefoons of vooraf geconfigureerde noodapparaten) voor het geval primaire kanalen zijn gecompromitteerd
• Bereid communicatiesjablonen voor interne meldingen, klantinformatie, regulatoire indieningen en persberichten voor
• Herzie en test het beleid voor logverzameling en -bewaring — zorg dat kritieke logs worden doorgestuurd naar een gecentraliseerde, manipulatiebestendige opslag met voldoende bewaartermijn
• Voer minimaal twee keer per jaar tabletop-oefeningen uit, met afwisselende scenario's voor ransomware, datalekken, insiderdreigingen, supply chain-compromittering en business email compromise
• Bouw en onderhoud relaties met externe IR-aanbieders zodat raamovereenkomsten en NDA's op orde zijn voordat u ze nodig heeft
• Herzie de cyberverzekeringsdekking jaarlijks — begrijp de meldingsvereisten, de lijst van goedgekeurde leveranciers, dekkingslimieten en uitsluitingen
• Documenteer netwerktopologie en datastroomdiagrammen, inclusief cloudomgevingen, koppelingen met derden en externe toegangspaden
• Bewaar inloggegevens voor kritieke systemen (domeinbeheerder, hypervisor, firewall, back-up) op een veilige offline locatie die toegankelijk is voor bevoegd IR-personeel
• Definieer incidenternstindicatoren (bijv. SEV1 tot SEV4) met duidelijke escalatiecriteria, verwachte responstijden en bevoegdheidsniveaus
• Geef vooraf toestemming voor noodacties zoals isolatie van netwerksegmenten, accountvergrendelingen en systeemafsluitingen — documenteer wie wat kan autoriseren
• Zorg voor endpoint detection and response (EDR)-dekking op alle endpoints, inclusief servers, werkstations en cloud workloads
• Houd een actuele lijst bij van kroonjuweelassets en de gegevensclassificatie van de informatie die zij bevatten
• Herzie de regelgevingsvereisten voor meldingsplichten die relevant zijn voor uw sector en jurisdicties (NIS2, AVG, sectorspecifieke regelgeving)

Fase 2: Detectie & analyse

Detectie is waar het incident response-proces werkelijk begint. De kwaliteit van uw initiële analyse bepaalt elke beslissing die daarna volgt. Handel snel, maar doe geen afbreuk aan nauwkeurigheid — een verkeerd geïdentificeerd incidenttype kan uw team volledig op het verkeerde spoor zetten.

• Valideer de melding — sluit false positives uit door te correleren over meerdere databronnen (SIEM, EDR, netwerklogs, gebruikersmeldingen)
• Bepaal de reikwijdte van het incident en wijs een initiële ernstclassificatie toe op basis van uw vooraf gedefinieerde criteria
• Identificeer alle getroffen systemen, gebruikersaccounts en datastores — ga er van uit dat de reikwijdte groter is dan het initiële bewijs suggereert
• Stel een incidenttijdlijn op vanaf de eerste bekende indicator van compromittering (IOC) tot het heden
• Documenteer initiële indicatoren van compromittering: bestandshashes, IP-adressen, domeinnamen, e-mailadressen, registersleutels en gedragspatronen
• Activeer het incident response-team en wijs duidelijke rollen toe: incident commander, technisch verantwoordelijke, communicatieverantwoordelijke, documentatieverantwoordelijke
• Open een incidentregistratieticket in uw casemanagementssysteem met een unieke incidentidentificator
• Begin een gedetailleerd incidentlog met tijdgestempelde vermeldingen voor elke actie, beslissing en bevinding
• Bepaal of de dreigingsactor nog actief is in de omgeving — dit verandert uw aanpak voor indamming fundamenteel
• Identificeer de aanvalsvector: phishing, kwetsbaarheidsexploitatie, diefstal van inloggegevens, supply chain-compromittering, insideractie of fysieke toegang
• Beoordeel het risico op gegevensblootstelling — bepaal of gereguleerde gegevens (persoonsgegevens, PHI, financieel), intellectueel eigendom of inloggegevens zijn geraadpleegd of geëxfiltreerd
• Informeer relevante belanghebbenden conform uw escalatiecriteria — wacht niet op volledige informatie voordat u begint met escaleren
• Schakel onmiddellijk juridisch adviseur in als een datalek met persoonsgegevens wordt vermoed — juridisch privilege speelt een rol
• Bewaar vluchtig bewijsmateriaal (actieve processen, netwerkverbindingen, geheugeninhoud) vóór eventuele indammingsacties die de systeemtoestand kunnen wijzigen
• Controleer threat intelligence-feeds op bekende campagnes die overeenkomen met waargenomen TTP's (Tactics, Techniques, and Procedures)

Fase 3: Indamming

Indamming gaat over het stoppen van de bloeding zonder bewijsmateriaal te vernietigen of een aanvaller die nog meekijkt te waarschuwen. Er zijn twee subfasen: kortetermijn-indamming (stop de onmiddellijke schade) en langetermijn-indamming (handhaaf een stabiele toestand terwijl u zich voorbereidt op eradicatie). De balans tussen snelheid en voorzichtigheid hangt af van de vraag of de aanvaller nog actief is.

Kortetermijn-indamming

• Isoleer getroffen systemen van het netwerk — gebruik EDR-netwerkisolatie, VLAN-wijzigingen of fysieke verbreking afhankelijk van de urgentie
• Blokkeer geïdentificeerde IOC's (kwaadaardige IP's, domeinen, bestandshashes) op de firewall, proxy, DNS-resolver en e-mailgateway
• Schakel gecompromitteerde gebruikersaccounts uit en trek actieve sessies in, inclusief OAuth-tokens en API-sleutels
• Maak forensische images van getroffen systemen vóór elke sanering — dit is uw bewijs en u kunt het later niet opnieuw aanmaken
• Verzamel en bewaar relevante logs van SIEM, EDR, firewalls, proxies, DNS, authenticatiesystemen en cloudauditlogs
• Als e-mail gecompromitteerd is, stel onmiddellijk een schoon communicatiekanaal in — bespreek responsplannen niet via een gecompromitteerd medium

Langetermijn-indamming

• Reset inloggegevens voor getroffen en mogelijk getroffen accounts — kies bij twijfel voor bredere resets
• Leid DNS om voor gecompromitteerde domeinen of implementeer DNS-sinkholing voor C2-communicatiekanalen
• Implementeer uitgebreide monitoring op aangrenzende systemen en netwerksegmenten om laterale bewegingspogingen te detecteren
• Pas tijdelijke toegangscontrolemechanismen toe om blootstelling te beperken terwijl essentiële bedrijfsactiviteiten worden voortgezet
• Documenteer alle indammingsacties met nauwkeurige tijdstempels en de motivatie achter elke beslissing
• Beoordeel voortdurend of indammingsmaatregelen standhouden — monitor op nieuwe IOC's of pogingen om de indamming te omzeilen
• Evalueer of activering van het bedrijfscontinuïteitsplan nodig is en communiceer dienovereenkomstig met bedrijfsbelanghebbenden
• Zorg dat de bewijsketen (chain of custody) wordt gehandhaafd voor systemen die betrokken kunnen zijn bij juridische procedures

Fase 4: Eradicatie & herstel

Eradicatie verwijdert de dreiging uit uw omgeving. Herstel herstelt de normale werking. Beide moeten grondig worden uitgevoerd — een overhaaste eradicatie nodigt uit tot hercompromittering, en een overhaast herstel brengt opnieuw risico's met zich mee. Geduld hier is geen luxe; het is een discipline.

• Identificeer en verwijder alle malware, backdoors, webshells en persistentiemechanismen (geplande taken, registerrunsleutels, opstartitems, cron-jobs, WMI-abonnementen)
• Patch de misbruikte kwetsbaarheden die initiële toegang mogelijk maakten — als er geen patch beschikbaar is, implementeer dan compenserende maatregelen
• Herbouw gecompromitteerde systemen vanuit betrouwbare images of installatiemedia — probeer nooit een systeem te "schoonmaken" dat u niet volledig vertrouwt
• Reset alle inloggegevens binnen de getroffen scope, niet alleen de inloggegevens waarvan bekend is dat ze gecompromitteerd zijn — omvat serviceaccounts, API-sleutels en machine-inloggegevens
• Als Active Directory is gecompromitteerd, reset het KRBTGT-accountwachtwoord twee keer (met het juiste interval) en controleer alle bevoorrechte groepslidmaatschappen
• Verifieer de integriteit van herstelde systemen met behulp van bestandsintegriteitsmonitoring, vertrouwde hashes en gedragsanalyse vóór herverbinding met productie
• Implementeer aanvullende beveiligingsmaatregelen die tijdens het onderzoek zijn geïdentificeerd om herhaling van dezelfde of vergelijkbare aanval te voorkomen
• Herstel systemen in prioriteitsvolgorde op basis van bedrijfskritikaliteit en afhankelijkheidsoverzicht — begin met authenticatie-infrastructuur
• Monitor herstelde systemen nauwlettend gedurende ten minste 72 uur op tekenen van hercompromittering, resterende malware of beacon-activiteit
• Valideer dat uw detectiemogelijkheden (SIEM-regels, EDR-signatures, netwerkdetectie) de specifieke aanvalsmethoden die zijn gebruikt nu kunnen identificeren
• Update firewallregels, IDS/IPS-signatures en e-mailfilterregels op basis van alle IOC's en TTP's die tijdens het onderzoek zijn ontdekt
• Herstel stapsgewijs de netwerkverbinding tussen segmenten en monitor verkeerspatronen in elke fase
• Bevestig met alle relevante belanghebbenden — IT-activiteiten, bedrijfseigenaars, juridisch en management — voordat het incident formeel als opgelost wordt verklaard

Fase 5: Post-incident activiteit

De post-incidentfase is waar goede teams uitgroeien tot uitstekende teams. Elk incident is een leermogelijkheid, maar alleen als u de lessen vastlegt en ernaar handelt. Deze fase is niet optioneel — het is waar u het institutioneel geheugen opbouwt dat de volgende respons sneller en doeltreffender maakt.

• Voer binnen 5 werkdagen een post-incident evaluatie (schuldenvrije retrospectieve) uit terwijl de details nog vers zijn — betrek alle deelnemers, niet alleen het IR-team
• Stel een uitgebreid eindincidentrapport op met: volledige tijdlijn, oorzaakanalyse, beoordeling van bedrijfsimpact, genomen responsacties, wat werkte, wat niet werkte en specifieke aanbevelingen
• Update het incident response-plan op basis van geleerde lessen — sluit de cirkel tussen wat er is gebeurd en wat u de volgende keer anders doet
• Dien regelgevingsmeldingen in binnen de vereiste termijnen — NIS2 vereist een vroegtijdige waarschuwing binnen 24 uur en een volledige melding binnen 72 uur bij de bevoegde autoriteit
• Informeer getroffen personen als persoonsgegevens zijn gecompromitteerd, conform de criteria van AVG Artikel 34 en eventuele sectorspecifieke vereisten
• Dien een cyberverzekeringsclaim in indien van toepassing — verstrek de verzekeraar de incidenttijdlijn, impactbeoordeling en saneringkosten
• Informeer de directie over het incident, de effectiviteit van de respons, het resterende risico en de aanbevolen beveiligingsinvesteringen
• Update detectieregels, monitoringdashboards en threat hunting-queries op basis van alle bevindingen uit het onderzoek
• Plan een vervolgbeoordeling (30-60 dagen na het incident) om te verifiëren dat alle saneringacties zijn voltooid en effectief zijn
• Archiveer alle incidentdocumentatie — logs, forensische images, communicaties, beslissingen en het eindrapport — in een beveiligde, toegangsgecontroleerde repository met een passende bewaarperiode

Deze checklist aanpassen

Deze checklist is een startpunt, geen afgerond product. Elke organisatie heeft unieke infrastructuur, regulatoire verplichtingen, risicotolerantie en teamstructuren. Neem dit kader en pas het aan:

• Voeg omgevingsspecifieke items toe — als u OT/ICS-systemen beheert, voeg items toe voor het veilig isoleren van operationele technologie zonder fysieke processen te verstoren
• Wijs toe aan uw tools — vervang generieke verwijzingen ("SIEM", "EDR") door de specifieke producten die uw team gebruikt en voeg snelle referentieopdrachten toe
• Ken eigenaars toe — koppel een verantwoordelijke rol of persoon aan elk checklistitem zodat er geen onduidelijkheid is tijdens een incident
• Versiebeheer — behandel uw IR-checklist als code. Houd wijzigingen bij, beoordeel updates en zorg dat iedereen met de actuele versie werkt
• Test hem — voer tabletop-oefeningen uit met deze checklist om leemtes te ontdekken vóórdat een echt incident dat doet