Incident Response-diensten
Wanneer een inbreuk plaatsvindt, bepalen de eerste 72 uur alles.
Snelle inperking, digitale forensiek en herstel — beschikbaar op retainer of noodinzet.
De uitdaging
Een beveiligingsincident is een crisis waarvoor de meeste organisaties niet zijn voorbereid. Niet omdat ze er niet over hebben nagedacht — de meeste hebben een vorm van incident response-plan. Maar de realiteit van een incident om 3 uur 's nachts op een zaterdag is fundamenteel anders dan de tafeloefening in een vergaderruimte op een woensdagmiddag.
Wat er daadwerkelijk gebeurt bij een incident:
- Paniek leidt tot bewijsvernietiging. Goedbedoelende IT-medewerkers herstarten servers, herinstalleren werkstations of herstellen vanuit backups — en vernietigen daarbij het forensisch bewijs. Eenmaal vernietigd bewijs kan niet worden hersteld.
- Trage respons versterkt de schade. Bij een ransomware-incident zorgt elk uur vertraging ervoor dat versleuteling zich naar extra systemen verspreidt. Bij een data-exfiltratie-incident betekent elk uur meer gegevens die het netwerk verlaten. De kosten van een incident schalen direct met de responstijd.
- Communicatiefouten verergeren de crisis. Wie moet worden geïnformeerd? Wanneer? Wat kunt u publiekelijk zeggen? Wat zijn uw wettelijke verplichtingen onder POPIA (72-uurs melding aan de Informatie Regulator)? Wat vertelt u klanten? Medewerkers? Het bestuur? Zonder communicatieplan zeggen organisaties te veel (juridische aansprakelijkheid), te weinig (verlies van vertrouwen) of helemaal niets (schending van regelgevende verplichtingen).
- Onvolledige remediatie leidt tot hercompromittering. De aanvaller wordt van de zichtbare systemen verwijderd, verslagen verklaard, en iedereen gaat terug naar normaal. Maar de aanvaller handhaafde persistentie via een secundaire achterdeur of gecompromitteerde inloggegevens. Binnen weken zijn ze terug.
De meeste organisaties hebben niet de forensische capaciteit, de containment-playbooks, de juridische coördinatie-ervaring of de crisiscommunicatievaardigheden om een incident goed af te handelen. Dit zijn gespecialiseerde competenties die oefening vereisen — en oefening betekent blootstelling aan echte incidenten, niet jaarlijkse tafeloefeningen.
De Layer7-aanpak
Het incident response-team van Layer7 biedt end-to-end reactie op incidenten — van initiële containment via forensisch onderzoek, remediatie, herstel tot post-incident hardening. Wij zijn beschikbaar op retainerbasis (gegarandeerde responstijden) of als noodgeval-engagement (best-effort).
Snelle Inperking
De eerste prioriteit bij elk incident is het stoppen van de bloeding. Ons IR-team implementeert containmentmaatregelen binnen uren na engagement:
- Netwerkisolatie van gecompromitteerde segmenten
- Endpoint-isolatie via EDR (CrowdStrike, Defender, SentinelOne)
- Accountvergrendeling en credential-rotatie voor gecompromitteerde identiteiten
- Blokkering van bekende aanvallersinfrastructuur (C2-domeinen, IP's, URL's)
- Bewaring van vluchtig bewijs (geheugendumps, draaiende processen, netwerkverbindingen) voordat inperkingsacties de toestand wijzigen
Digitale Forensiek en Onderzoek
Zodra de inperking is gevestigd, voeren we een grondig onderzoek uit om de kritieke vragen te beantwoorden:
- Hoe is de aanvaller binnengekomen? Initiële toegangsvector — phishing, misbruikte kwetsbaarheid, gecompromitteerde inloggegevens, supply chain-compromittering, interne dreiging.
- Wat hebben ze gedaan? Tijdlijn van aanvallersactiviteit — laterale beweging, privilege-escalatie, gegevenstoegang, persistentiemechanismen, staging en exfiltratie.
- Wat was de impact? Systemen die zijn benaderd, gegevens blootgesteld of geëxfiltreerd, accounts gecompromitteerd, wijzigingen aan infrastructuur.
- Zijn ze er nog? Identificatie van alle persistentiemechanismen — geplande taken, registry-wijzigingen, geïmplanteerde achterdeuren, gecompromitteerde serviceaccounts, gewijzigde authenticatieconfiguraties.
Ons forensisch proces volgt chain-of-custody-procedures die ervoor zorgen dat bewijs toelaatbaar is in juridische procedures — strafvervolging, civiele rechtszaken, verzekeringsclaims of regelgevend onderzoek.
Malware-Analyse
Wanneer malware betrokken is — ransomware, remote access trojans, informatiedieven, wipers — voert ons team analyse uit om de mogelijkheden van de malware, communicatiekanalen en persistentiemethoden te begrijpen. Deze analyse informeert direct containment en remediatie: je kunt niet uitroeien wat je niet begrijpt.
Herstel en Verharding
Wij verklaren geen overwinning bij containment. Herstel omvat:
- Geverifieerde uitroeiing van alle aanvallerspersistentie
- Systeemherstel vanuit bekende goede backups (na verificatie van backup-integriteit)
- Rotatie van inloggegevens over getroffen accounts en serviceaccounts
- Verharding van beveiligingscontroles gebaseerd op aanvalspadanalyse
- Versterkte monitoring op indicatoren van hercompromittering
Post-Incident Review
Elk incident is een kans om te verbeteren. Onze evaluatie na het incident omvat analyse van de hoofdoorzaak, evaluatie van de reactie-effectiviteit, tijdens het incident geïdentificeerde hiaten en specifieke aanbevelingen om herhaling te voorkomen. Dit is geen schuldoefening — het is een gestructureerd verbeteringsproces dat uw organisatie weerbaarder maakt.
Wat u krijgt
- Noodrespons — retainer- en ad-hoc-engagementmodellen
- Snelle inperking en dreigingsuitroeiing
- Digitale forensiek met chain-of-custody-bewijsbehandeling
- Malware-analyse en reverse engineering
- Systeemherstel en integriteitsverificatie
- Post-incident hardening-aanbevelingen
- Gedetailleerd incidentrapport met tijdlijn en oorzaakanalyse
- Post-incident review en geleerde lessen
- Ondersteuning bij crisiscommunicatie
- Ondersteuning bij regelgevende melding (POPIA, SARB)
Retainer vs. noodgeval-engagement
IR-Retainer
- Gegarandeerde responstijd (4 uur of minder)
- Vooraf vastgestelde toegang en documentatie
- Jaarlijkse IR-gereedheidsbeoordeling
- Tafeloefening inbegrepen
- Prioriteitsplanning boven ad-hoc engagementen
- Vast jaarlijks retainertarief met vooraf afgesproken tarieven
Noodgeval-engagement
- Best-effort responstijd
- Beschikbaar wanneer retainer-klanten geen capaciteit verbruiken
- Hogere uurtarieven dan retainer-klanten
- Onboardingtijd vereist (toegang, documentatie, context)
- Geen vooraf vastgestelde basislijn of gereedheidsbeoordeling
Het retainermodel wordt sterk aanbevolen. Toegang instellen, uw omgeving documenteren en een gereedheidsbeoordeling uitvoeren vóór een incident bespaart kritieke uren tijdens een daadwerkelijk evenement. De kosten van de retainer zijn een fractie van de kosten van die verloren uren tijdens een incident.
Veelgestelde Vragen
Wees Voorbereid Voordat Het Gebeurt
Sluit nu een IR-retainer af. Wanneer het telefoontje om 3 uur 's nachts komt, zult u blij zijn dat u het heeft gedaan.
IR-Retainer Opties Bespreken