Incidentrespons Quick Reference

Standaardiseren Zonder Stroperigheid

Dit onderwerp werkt het best als praktisch kader: helder genoeg voor besluitvorming en concreet genoeg voor uitvoering.

In Incidentrespons Quick Reference is het doel keuzes vastleggen die teams consistent en herhaalbaar kunnen uitvoeren.

Daarmee blijft dit hoofdstuk geen theorie, maar een bruikbaar kompas voor consistente uitvoering.

Directe maatregelen (15 minuten)

• Gebruik deze pagina om maatregelen te prioriteren en in backlog om te zetten.
• Koppel elke maatregel aan eigenaar, deadline en aantoonbaar bewijs.
• Herhaal periodiek op basis van risico, wijzigingen en incidentlessen.

Waarom dit telt

De kern van Incidentrespons Quick Reference is risicoreductie in de praktijk. Technische context ondersteunt de maatregelkeuze, maar implementatie en borging staan centraal.

Webincidenten

SQL Injection gedetecteerd

Detectie: - WAF-alerts op SQL-patronen (UNION SELECT, OR 1=1, '; DROP) - Ongebruikelijke databasefouten in applicatielogs (syntax errors, type mismatches) - Verdachte strings in URL-parameters of POST-bodies in access logs - Onverwachte database-queries in slow query logs - Data die niet overeenkomt met verwachte applicatielogica

Eerste respons: 1. Isoleer de kwetsbare applicatie – zet deze achter een strikte WAF-regel of neem hem offline 2. Analyseer webserver access logs en WAF-logs om het exacte injection-punt en alle verzoeken van de aanvaller te identificeren 3. Controleer of er data is geexfiltreerd – audit database query logs, controleer op INTO OUTFILE, LOAD_FILE(), of gestapelde queries 4. Patch de kwetsbaarheid – vervang string-concatenatie door parameterized queries op het geidentificeerde injection-punt 5. Voer een volledige audit uit op de database-inhoud om te bepalen of data is gewijzigd, verwijderd of geexfiltreerd

Referentie: Web 01 (SQL Injection preventie), Web 12 (Invoer-uitvoer validatie)

XSS payload gevonden

Detectie: - Opgeslagen <script>-tags of event handlers in database-records die gebruikersinvoer bevatten - Content Security Policy (CSP) violation reports in je logging - Gebruikersrapportages over onverwacht gedrag (redirects, pop-ups) - Onbekende JavaScript in DOM-inspecties - Verdachte outbound requests vanuit de browser naar onbekende domeinen

Eerste respons: 1. Verwijder de kwaadaardige payload onmiddellijk uit de database of het opslagmedium 2. Bepaal de scope – welke pagina’s, gebruikers en sessies zijn geraakt? Controleer CSP-reports en access logs 3. Implementeer of verscherp Content Security Policy headers (script-src zonder unsafe-inline) 4. Audit alle invoervelden in de applicatie op dezelfde kwetsbaarheid – als een veld kwetsbaar is, zijn anderen dat waarschijnlijk ook 5. Invalideer actieve sessies van mogelijk getroffen gebruikers en informeer hen over het incident

Referentie: Web 02 (XSS preventie), Web 11 (Security headers), Web 12 (Invoer-uitvoer validatie)

Gecompromitteerde credentials

Detectie: - Impossible travel alerts – dezelfde gebruiker logt in vanaf geografisch onmogelijke locaties binnen korte tijd - Plotselinge piek in mislukte inlogpogingen gevolgd door een succesvolle login - Credentials gevonden op paste sites, dark web monitoring alerts, of Have I Been Pwned-meldingen - Inlogactiviteit op ongebruikelijke tijdstippen of vanaf onbekende IP-adressen - MFA-bypass pogingen of ongebruikelijke MFA-enrollments

Eerste respons: 1. Forceer onmiddellijk een wachtwoordreset voor het getroffen account en alle accounts met hetzelfde of vergelijkbaar wachtwoord 2. Revoke alle actieve sessies en tokens – OAuth tokens, API keys, refresh tokens 3. Schakel MFA in als dat nog niet actief was, of herregistreer MFA als de aanvaller het mogelijk heeft gemanipuleerd 4. Audit alle acties die het account heeft uitgevoerd sinds de vermoedelijke compromise-datum – bestanden, e-mails, rechtenwijzigingen 5. Controleer of het account is gebruikt om laterale beweging uit te voeren of persistentie in te richten

Referentie: Web 10 (Authenticatie hardening), Netwerk 07 (Credential bescherming)

Netwerk- en AD-incidenten

Ransomware / malware detectie

Detectie: - Antivirus- of EDR-alerts op bekende malware-signatures of verdacht gedrag - Bestanden met onbekende extensies of versleutelde bestanden die niet door de gebruiker zijn gemaakt - Ransom notes op het bestandssysteem of als achtergrondafbeelding - Command-and-control (C2) verkeer naar bekende malicious IP-adressen of domeinen - Ongebruikelijk hoog CPU- of schijfgebruik (encryptieproces)

Eerste respons: 1. Isoleer het getroffen systeem onmiddellijk van het netwerk – kabel eruit, Wi-Fi uit, maar schakel het systeem NIET uit (bewijs in geheugen) 2. Preserveer forensisch bewijs – maak een memory dump en een disk image voordat je iets wijzigt 3. Controleer de status van backups – zijn ze intact, offline, en niet ook versleuteld? Test een restore op een geisoleerd systeem 4. Bepaal de scope – welke andere systemen communiceerden met het geinfecteerde systeem? Controleer EDR-telemetrie en netwerklogs 5. Identificeer de malware-variant en het initieel toegangspunt om verdere verspreiding te stoppen en de juiste decryptie-opties te onderzoeken

Referentie: Netwerk 01 (Initiele toegang voorkomen), Netwerk 02 (Detectie en evasion), Netwerk 09 (Persistentie detecteren)

Ongewenste netwerkbeweging gedetecteerd

Detectie: - Ongebruikelijk gebruik van admin tools (PsExec, WMI, WinRM) vanaf niet-admin werkstations - Event logs met onverwachte type 3 (netwerk) of type 10 (RemoteInteractive) logons - Authenticatiepatronen die afwijken van het normale gedrag – accounts die inloggen op systemen waar ze normaal niet komen - SMB-verkeer tussen werkstations onderling (peer-to-peer, niet via servers) - Nieuwe services of scheduled tasks aangemaakt op remote systemen

Eerste respons: 1. Isoleer alle bevestigde en verdachte gecompromitteerde systemen van het netwerk 2. Beoordeel of het KRBTGT-account is gecompromitteerd – bij vermoeden, plan een dubbele KRBTGT-wachtwoordrotatie 3. Roteer credentials van alle accounts die op de getroffen systemen zijn gebruikt – inclusief service accounts en lokale admin accounts 4. Implementeer noodmatige netwerksegmentatie om verdere laterale beweging te blokkeren (isoleer kritieke systemen en domain controllers) 5. Analyseer het incidentpad – bepaal startaccount, geraakte systemen en benodigde herstelmaatregelen (identity- en rechtenpad reconstrueren)

Referentie: Netwerk 06 (Laterale beweging stoppen), Netwerk 07 (Credential bescherming), Netwerk 15 (Netwerksegmentatie)

ADCS-afwijking gedetecteerd

Detectie: - Ongebruikelijke certificate enrollment requests – vooral templates die ENROLLEE_SUPPLIES_SUBJECT toestaan - Wijzigingen aan certificaat-templates die niet via change management zijn gegaan - Certificaatverzoeken van onverwachte accounts of voor onverwachte principals - ESC-patronen in audit logs (Event ID 4886, 4887) – bulk-enrollments of aanvragen met SAN-attributen - Ongeautoriseerde CA-configuratiewijzigingen

Eerste respons: 1. Revoke onmiddellijk alle verdachte certificaten die na het vermoedelijke compromistijdstip zijn uitgegeven 2. Audit alle certificaat-templates op misconfiguraties – focus op ESC1 t/m ESC16 patronen en beperk ENROLLEE_SUPPLIES_SUBJECT 3. Controleer de integriteit van de CA zelf – is de CA private key mogelijk geexfiltreerd? Zijn er ongeautoriseerde issuing CA’s toegevoegd? 4. Verscherp enrollment-permissies – verwijder onnodige enrollment rechten en vereis CA manager approval op gevoelige templates 5. Schakel certificaat-audit logging in als dat nog niet actief was (Event ID 4886/4887/4898/4899) en monitor actief op nieuwe afwijkingen

Referentie: Netwerk 08 (ADCS hardening)

Phishing-incident (bevestigd)

Detectie: - Gebruiker rapporteert dat hij/zij op een verdachte link heeft geklikt of credentials heeft ingevuld - E-mail gateway alerts op verdachte bijlagen of URL’s die na levering zijn gedetecteerd - Verdachte inlogactiviteit kort na een phishing-campagne (nieuwe locatie, nieuw device) - Mail flow rules of forwarding rules die onverwacht zijn aangemaakt - OAuth app consent grants die niet door de gebruiker zijn geinitieerd

Eerste respons: 1. Quarantaine de phishing-mail in alle mailboxen – gebruik message trace om alle ontvangers te identificeren en de mail organisatiebreed te verwijderen 2. Bepaal wie op de link heeft geklikt of de bijlage heeft geopend – correleer met proxy logs, mail gateway clicks, en endpoint telemetrie 3. Forceer wachtwoordreset en sessie-revocatie voor alle gebruikers die credentials hebben ingevoerd of op de link hebben geklikt 4. Scan endpoints van getroffen gebruikers op malware, verdachte processen, en ongeautoriseerde persistentiemechanismen 5. Controleer op post-compromise activiteit – inbox rules, OAuth grants, forwarding rules, en ongeautoriseerde toegang tot gevoelige data

Referentie: Netwerk 01 (Initiele toegang voorkomen), Netwerk 13 (Email en DNS hardening)

DNS-integriteitsincident

Detectie: - Gebruikers worden omgeleid naar verkeerde websites of zien certificaatwaarschuwingen - DNSSEC-validatiefouten in resolver logs - Onverwachte wijzigingen in NS-records, A-records, of MX-records die niet via change management zijn gegaan - DNS query logs tonen antwoorden met onverwachte IP-adressen - Monitoring alerts op domain registrar wijzigingen

Eerste respons: 1. Verifieer de integriteit van je DNS-records rechtstreeks bij de registrar – log in en controleer NS, DS, en contact-gegevens 2. Controleer alle DNS-records (A, AAAA, MX, CNAME, NS) op ongeautoriseerde wijzigingen en herstel naar bekende goede waarden 3. Flush DNS-caches op alle interne resolvers en instrueer gebruikers om lokale DNS-caches te flushen 4. Schakel DNSSEC in als dat nog niet actief was, of verifieer de DS/DNSKEY-keten als DNSSEC al actief is 5. Activeer registrar lock (clientTransferProhibited, clientUpdateProhibited) en schakel MFA in op het registrar-account

Referentie: Netwerk 13 (Email en DNS hardening)

Data-exfiltratie gedetecteerd

Detectie: - Ongebruikelijk groot volume aan uitgaand verkeer, vooral naar externe IP-adressen of cloud storage - DNS tunneling patronen – hoog volume aan TXT-queries of lange subdomain labels naar onbekende domeinen - Grote uploads naar file sharing diensten of onbekende endpoints buiten kantooruren - DLP-alerts op gevoelige data die het netwerk verlaat - Onverklaarbare toename in bandbreedte op specifieke endpoints

Eerste respons: 1. Blokkeer de geidentificeerde egress-kanalen onmiddellijk – firewall rules, proxy blocks, DNS sinkholing 2. Identificeer de scope – welke data, hoeveel, vanaf welke systemen, naar welke bestemmingen, en over welke tijdsperiode 3. Preserveer netwerk-captures en logs als forensisch bewijs – PCAP, flow data, proxy logs, DNS logs 4. Beoordeel of er een wettelijke meldplicht geldt (AVG: 72 uur bij persoonsgegevens) en start de juridische procedure 5. Onderzoek het initieel compromispunt – data-exfiltratie is bijna altijd een laat stadium in een breder incident

Referentie: Netwerk 10 (Tunneling voorkomen), Netwerk 15 (Netwerksegmentatie en firewalling)

Cloud-incidenten

Cloud credential gelekt (AWS/Azure/GCP)

Detectie: - GitHub secret scanning alert of vergelijkbare tooling die credentials in code heeft gedetecteerd - Ongebruikelijke API-aanroepen in CloudTrail, Azure Activity Log, of GCP Audit Log – vooral vanuit onbekende IP-adressen - Onverwachte kostenpieken of billing anomalieen (cryptomining, resource provisioning) - Nieuwe IAM-gebruikers, rollen, of policies die niet via IaC of change management zijn aangemaakt - API-calls vanuit regio’s waar de organisatie normaal niet opereert

Eerste respons: 1. Revoke of deactiveer de gelekte key of credential onmiddellijk – niet alleen roteren, maar de huidige key permanent intrekken 2. Audit de volledige activiteitenlog (CloudTrail/Activity Log/Audit Log) vanaf het moment dat de credential is aangemaakt of gelekt 3. Controleer op persistentiemechanismen die de aanvaller heeft achtergelaten – nieuwe IAM-users, backdoor-rollen, Lambda triggers, extra access keys 4. Roteer ALLE secrets die de gecompromitteerde principal kon benaderen – niet alleen de gelekte key, maar alles waar het account toegang toe had 5. Implementeer preventieve maatregelen – verwijder de credential uit de code/repository, schakel over op kortstondige credentials (IAM roles, workload identity)

Referentie: Cloud 02/03/04 (AWS/Azure/GCP hardening), Cloud 13 (Secrets management)

Container breakout / Kubernetes compromis

Detectie: - Onverwachte processen op host-niveau die vanuit een container context zijn gestart - Verdachte Kubernetes API server calls – privilege escalation, secrets lezen, pod creatie in kube-system namespace - Containers die draaien met privileged: true, hostPID, of hostNetwork die niet in de verwachte configuratie staan - Onverklaarbare wijzigingen in RBAC-configuratie of nieuwe ClusterRoleBindings - Admission controller logs die afwijkende pod-specificaties tonen

Eerste respons: 1. Isoleer de getroffen node – cordon en drain de node in Kubernetes, blokkeer netwerktoegang op infrastructuurniveau 2. Audit de RBAC-configuratie – controleer ClusterRoleBindings en RoleBindings op ongeautoriseerde privilege escalatie 3. Inspecteer alle draaiende pods op de getroffen node en in het cluster – kijk naar images, security contexts, volume mounts, en service account tokens 4. Review admission controller en audit logs voor het volledige tijdvenster van de vermoedelijke compromise 5. Controleer of de aanvaller toegang heeft gekregen tot Kubernetes secrets, service account tokens, of de etcd datastore

Referentie: Cloud 05 (Container hardening), Cloud 11 (Kubernetes hardening)

Supply chain / CI/CD compromis

Detectie: - Onverwachte pipeline-runs of pipeline-configuratiewijzigingen die niet door teamleden zijn geinitieerd - Build artifacts die niet overeenkomen met de verwachte checksums of signatures - Onbekende of gewijzigde dependencies in lock files (package-lock.json, Pipfile.lock, go.sum) - Verdachte commits in build-configuratiebestanden (Jenkinsfile, .github/workflows, .gitlab-ci.yml) - Secret scanning alerts in CI/CD omgevingen of onverwachte outbound verbindingen tijdens builds

Eerste respons: 1. Halt alle deployments onmiddellijk – geen code meer naar productie totdat de integriteit is geverifieerd 2. Audit alle pipeline-configuraties en recent gewijzigde build-bestanden op ongeautoriseerde wijzigingen 3. Verifieer de integriteit van alle build artifacts – vergelijk checksums, controleer signatures, en rebuild vanuit bekende goede broncode 4. Review alle toegangsrechten tot de CI/CD-omgeving – service accounts, deploy keys, webhook secrets, en integratie-tokens 5. Controleer of gecompromitteerde artifacts al zijn gedeployed en plan een rollback naar een bekende goede versie

Referentie: Cloud 06 (CI/CD pipeline hardening), Cloud 12 (Infrastructure as Code security)

Communicatie-checklist

Bij elk security-incident moet de communicatieketen direct worden geactiveerd. Gebruik deze checklist om niets over het hoofd te zien:

• Intern: CISO / management informeren
• Juridisch: Privacy officer / DPO raadplegen
• Extern: Autoriteit Persoonsgegevens melden binnen 72 uur bij betrokkenheid van persoonsgegevens
• Extern: NCSC informeren bij vitale infrastructuur of significante impact
• Documentatie: tijdlijn bijhouden vanaf het moment van detectie – wie, wat, wanneer, welke acties
• Communicatie: bepaal of en wanneer getroffen gebruikers of klanten worden geinformeerd
• Preservatie: zorg dat forensisch bewijs veilig is gesteld voordat systemen worden hersteld

← Vorige Implementatieprioriteitenmatrix Volgende → Compliance & Governance