Overslaan naar inhoud

Incident Response-diensten

Wanneer een inbreuk plaatsvindt, bepalen de eerste 72 uur alles.
Snelle inperking, digitale forensiek en herstel — beschikbaar op retainer of noodinzet.

De uitdaging

Een beveiligingsincident is een crisis waarvoor de meeste organisaties niet zijn voorbereid. Niet omdat ze er niet over hebben nagedacht — de meeste hebben een vorm van incident response-plan. Maar de realiteit van een incident om 3 uur 's nachts op een zaterdag is fundamenteel anders dan de tafeloefening in een vergaderruimte op een woensdagmiddag.

Wat er daadwerkelijk gebeurt bij een incident:

  • Paniek leidt tot bewijsvernietiging. Goedbedoelende IT-medewerkers herstarten servers, herinstalleren werkstations of herstellen vanuit backups — en vernietigen daarbij het forensisch bewijs. Eenmaal vernietigd bewijs kan niet worden hersteld.
  • Trage respons versterkt de schade. Bij een ransomware-incident zorgt elk uur vertraging ervoor dat versleuteling zich naar extra systemen verspreidt. Bij een data-exfiltratie-incident betekent elk uur meer gegevens die het netwerk verlaten. De kosten van een incident schalen direct met de responstijd.
  • Communicatiefouten verergeren de crisis. Wie moet worden geïnformeerd? Wanneer? Wat kunt u publiekelijk zeggen? Wat zijn uw wettelijke verplichtingen onder POPIA (72-uurs melding aan de Informatie Regulator)? Wat vertelt u klanten? Medewerkers? Het bestuur? Zonder communicatieplan zeggen organisaties te veel (juridische aansprakelijkheid), te weinig (verlies van vertrouwen) of helemaal niets (schending van regelgevende verplichtingen).
  • Onvolledige remediatie leidt tot hercompromittering. De aanvaller wordt van de zichtbare systemen verwijderd, verslagen verklaard, en iedereen gaat terug naar normaal. Maar de aanvaller handhaafde persistentie via een secundaire achterdeur of gecompromitteerde inloggegevens. Binnen weken zijn ze terug.

De meeste organisaties hebben niet de forensische capaciteit, de containment-playbooks, de juridische coördinatie-ervaring of de crisiscommunicatievaardigheden om een incident goed af te handelen. Dit zijn gespecialiseerde competenties die oefening vereisen — en oefening betekent blootstelling aan echte incidenten, niet jaarlijkse tafeloefeningen.

De Layer7-aanpak

Het incident response-team van Layer7 biedt end-to-end reactie op incidenten — van initiële containment via forensisch onderzoek, remediatie, herstel tot post-incident hardening. Wij zijn beschikbaar op retainerbasis (gegarandeerde responstijden) of als noodgeval-engagement (best-effort).

Snelle Inperking

De eerste prioriteit bij elk incident is het stoppen van de bloeding. Ons IR-team implementeert containmentmaatregelen binnen uren na engagement:

  • Netwerkisolatie van gecompromitteerde segmenten
  • Endpoint-isolatie via EDR (CrowdStrike, Defender, SentinelOne)
  • Accountvergrendeling en credential-rotatie voor gecompromitteerde identiteiten
  • Blokkering van bekende aanvallersinfrastructuur (C2-domeinen, IP's, URL's)
  • Bewaring van vluchtig bewijs (geheugendumps, draaiende processen, netwerkverbindingen) voordat inperkingsacties de toestand wijzigen

Digitale Forensiek en Onderzoek

Zodra de inperking is gevestigd, voeren we een grondig onderzoek uit om de kritieke vragen te beantwoorden:

  • Hoe is de aanvaller binnengekomen? Initiële toegangsvector — phishing, misbruikte kwetsbaarheid, gecompromitteerde inloggegevens, supply chain-compromittering, interne dreiging.
  • Wat hebben ze gedaan? Tijdlijn van aanvallersactiviteit — laterale beweging, privilege-escalatie, gegevenstoegang, persistentiemechanismen, staging en exfiltratie.
  • Wat was de impact? Systemen die zijn benaderd, gegevens blootgesteld of geëxfiltreerd, accounts gecompromitteerd, wijzigingen aan infrastructuur.
  • Zijn ze er nog? Identificatie van alle persistentiemechanismen — geplande taken, registry-wijzigingen, geïmplanteerde achterdeuren, gecompromitteerde serviceaccounts, gewijzigde authenticatieconfiguraties.

Ons forensisch proces volgt chain-of-custody-procedures die ervoor zorgen dat bewijs toelaatbaar is in juridische procedures — strafvervolging, civiele rechtszaken, verzekeringsclaims of regelgevend onderzoek.

Malware-Analyse

Wanneer malware betrokken is — ransomware, remote access trojans, informatiedieven, wipers — voert ons team analyse uit om de mogelijkheden van de malware, communicatiekanalen en persistentiemethoden te begrijpen. Deze analyse informeert direct containment en remediatie: je kunt niet uitroeien wat je niet begrijpt.

Herstel en Verharding

Wij verklaren geen overwinning bij containment. Herstel omvat:

  • Geverifieerde uitroeiing van alle aanvallerspersistentie
  • Systeemherstel vanuit bekende goede backups (na verificatie van backup-integriteit)
  • Rotatie van inloggegevens over getroffen accounts en serviceaccounts
  • Verharding van beveiligingscontroles gebaseerd op aanvalspadanalyse
  • Versterkte monitoring op indicatoren van hercompromittering

Post-Incident Review

Elk incident is een kans om te verbeteren. Onze evaluatie na het incident omvat analyse van de hoofdoorzaak, evaluatie van de reactie-effectiviteit, tijdens het incident geïdentificeerde hiaten en specifieke aanbevelingen om herhaling te voorkomen. Dit is geen schuldoefening — het is een gestructureerd verbeteringsproces dat uw organisatie weerbaarder maakt.

Wat u krijgt

  • Noodrespons — retainer- en ad-hoc-engagementmodellen
  • Snelle inperking en dreigingsuitroeiing
  • Digitale forensiek met chain-of-custody-bewijsbehandeling
  • Malware-analyse en reverse engineering
  • Systeemherstel en integriteitsverificatie
  • Post-incident hardening-aanbevelingen
  • Gedetailleerd incidentrapport met tijdlijn en oorzaakanalyse
  • Post-incident review en geleerde lessen
  • Ondersteuning bij crisiscommunicatie
  • Ondersteuning bij regelgevende melding (POPIA, SARB)

Retainer vs. noodgeval-engagement

IR-Retainer

  • Gegarandeerde responstijd (4 uur of minder)
  • Vooraf vastgestelde toegang en documentatie
  • Jaarlijkse IR-gereedheidsbeoordeling
  • Tafeloefening inbegrepen
  • Prioriteitsplanning boven ad-hoc engagementen
  • Vast jaarlijks retainertarief met vooraf afgesproken tarieven

Noodgeval-engagement

  • Best-effort responstijd
  • Beschikbaar wanneer retainer-klanten geen capaciteit verbruiken
  • Hogere uurtarieven dan retainer-klanten
  • Onboardingtijd vereist (toegang, documentatie, context)
  • Geen vooraf vastgestelde basislijn of gereedheidsbeoordeling

Het retainermodel wordt sterk aanbevolen. Toegang instellen, uw omgeving documenteren en een gereedheidsbeoordeling uitvoeren vóór een incident bespaart kritieke uren tijdens een daadwerkelijk evenement. De kosten van de retainer zijn een fractie van de kosten van die verloren uren tijdens een incident.

Veelgestelde Vragen

Een retainer wordt aanbevolen maar is niet verplicht. Retainer-klanten ontvangen gegarandeerde SLA's, prioriteitsrespons en vooraf onderhandelde tarieven — cruciale voordelen wanneer elke minuut telt.

Wij voeren onmiddellijke triage uit, containmentstrategie, bewijsbewaring, stakeholder-notificatie en starten de initiële forensische analyse — alles binnen de eerste 60 minuten.

Ja — wij ondersteunen POPIA Informatie Regulator-melding, communicatie met getroffen partijen en coördinatie met juridisch adviseurs gedurende het gehele regelgevende proces.

Retainer-klanten ontvangen 24/7/365 beschikbaarheid met gegarandeerde responstijden. Noodgeval-engagementen worden op best-effort basis afgehandeld.

Wees Voorbereid Voordat Het Gebeurt

Sluit nu een IR-retainer af. Wanneer het telefoontje om 3 uur 's nachts komt, zult u blij zijn dat u het heeft gedaan.

IR-Retainer Opties Bespreken