This is the Trace Id: 1da0777af86e453b9149ba4122405924
Overslaan naar hoofdinhoud Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Alle producten weergeven Cyberbeveiliging, mogelijk gemaakt met AI Cloudbeveiliging Gegevensbeveiliging en governance Toegang tot identiteit en netwerk Privacy- en risicobeheer Beveiliging voor AI Klein en middelgroot bedrijf Uniforme beveiligingsbewerkingen Zero Trust Prijsstelling Services Partners Waarom Microsoft Beveiliging Bewustwording over cyberbeveiliging Verhalen van klanten Beveiliging 101 Proefversie van product Erkenning in de sector Microsoft Security Insider Microsoft Digital Defense-rapport Security Response Center Microsoft Security-blog Microsoft-beveiligingsevenementen Microsoft Tech Community Documentatie Technische Inhoudsbibliotheek Training & certificeringen Complianceprogramma voor Microsoft Cloud Microsoft Vertrouwenscentrum Service Trust Portal Microsoft Secure Future Initiative Business Solutions Hub Contact opnemen met Verkoop Start gratis proefversie Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Microsoft AI Azure Space Mixed reality Microsoft HoloLens Microsoft Viva Quantumcomputing Duurzaamheid Onderwijs Auto's Financiële dienstverlening Overheid Gezondheidszorg Productiebedrijven Detailhandel Een partner zoeken Een partner worden Partnernetwerk Microsoft Marketplace Blog Microsoft Advertising Ontwikkelaarscentrum Documentatie Evenementen Licenties Microsoft Learn Microsoft Research Bekijk het siteoverzicht
persoon die met een groot aanraakscherm werkt

Wat is incidentreactie?

Ontdek hoe effectieve incidentreactie helpt om cyberaanvallen op te sporen, aan te pakken en te stoppen.
Meer informatie over Microsoft Sentinel

Incidentreactie gedefinieerd

Voordat je een incidentreactie definieert, is het belangrijk duidelijk te hebben wat een incident is. In de IT zijn er drie termen die soms door elkaar worden gebruikt, maar verschillende dingen betekenen:
 

  1. Een gebeurtenis is een onschuldige actie die vaak voorkomt, zoals het aanmaken van een bestand, het verwijderen van een map of het openen van een e-mail. Op zichzelf is een gebeurtenis meestal geen aanwijzing voor een schending, maar in combinatie met andere gebeurtenissen kan het op een bedreiging wijzen. 
  2. Een waarschuwing is een melding die wordt veroorzaakt door een gebeurtenis, die al dan niet een bedreiging kan zijn.
  3. Een incident is een groep gecorreleerde waarschuwingen waarvan mensen of automatiseringstools het waarschijnlijk achten dat het een echte bedreiging is. Op zichzelf lijkt elke waarschuwing misschien geen grote bedreiging, maar wanneer ze worden gecombineerd, wijzen ze op een mogelijke schending.

Incidentreactie is de actie die een organisatie onderneemt als er wordt aangenomen dat er een mogelijke schending heeft plaatsgevonden van IT-systemen of gegevens. Beveiligingsprofessionals reageren bijvoorbeeld als ze bewijs zien van een onbevoegde gebruiker, malware of het falen van beveiligingsmaatregelen.

Het doel van de reactie is om een cyberaanval zo snel mogelijk te elimineren, te herstellen, eventuele klanten of overheidsinstanties op de hoogte te stellen zoals de regionale wetten voorschrijven, en te leren hoe het risico van een soortgelijke schending in de toekomst kan worden verkleind.

Hoe werkt incidentenreactie?

Incidentreactie begint meestal wanneer het beveiligingsteam een geloofwaardige waarschuwing krijgt van een Security Information and Event Management (SIEM)-systeem.

Teamleden moeten controleren of de gebeurtenis kan worden gekwalificeerd als een incident en vervolgens geïnfecteerde systemen isoleren en de bedreiging verwijderen. Als het incident ernstig is of lang duurt om op te lossen, moeten organisaties misschien gegevens uit de back-up herstellen, omgaan met losgeld of klanten laten weten dat hun gegevens zijn gecompromitteerd.

Daarom zijn ook mensen buiten het cyberbeveiligingsteam meestal betrokken bij de reactie. Privacydeskundigen, juristen en zakelijke besluitvormers helpen bepalen hoe de organisatie een incident en de gevolgen ervan aanpakt.

Soorten beveiligingsincidenten

Er zijn verschillende manieren waarop aanvallers toegang proberen te krijgen tot de gegevens van een bedrijf of anderszins hun systemen en bedrijfsvoering in gevaar te brengen. Dit zijn een aantal van de meest voorkomende manieren:

Phishing

Phishing is een vorm van social engineering waarbij een aanvaller een e-mail, sms of een telefoontje gebruikt om zich voor te doen als een betrouwbaar merk of persoon. Een typische phishingaanval probeert ontvangers over te halen om malware te downloaden of hun wachtwoord te geven. Deze aanvallen maken gebruik van het vertrouwen van mensen en zetten psychologische technieken zoals angst in om mensen tot actie te bewegen. Veel van deze aanvallen hebben geen specifiek doel, ze worden op duizenden mensen gericht in de hoop dat er in ieder geval één reageert. Een geavanceerdere variant, spear phishing, gebruikt uitgebreid onderzoek om een bericht te maken dat bedoeld is om één persoon te overtuigen.

Malware

Malware is software die is ontworpen om een computersysteem te beschadigen of gegevens in handen te krijgen. Het komt in veel verschillende vormen voor, waaronder virussen, ransomware, spyware en Trojaanse paarden. Aanvallers installeren malware door gebruik te maken van hardware- en softwarekwetsbaarheden of door een medewerker te overtuigen om dat te doen met een socialengineeringtechniek.

Ransomware

Bij een ransomware-aanval gebruiken aanvallers malware om belangrijke gegevens en systemen te versleutelen en dreigen dan de gegevens openbaar te maken of te vernietigen als het slachtoffer geen losgeld betaalt.

Denial of Service

Bij een Denial of Service-aanval (DDoS-aanval) overspoelt een bedreigingsactor een netwerk of systeem met verkeer totdat het vertraagt of vastloopt. Meestal richten aanvallers zich op spraakmakende bedrijven zoals banken of overheden met als doel ze tijd en geld te kosten, maar organisaties van elke omvang kunnen slachtoffer worden van dit soort aanvallen.

De man in het midden

Een andere methode die cybercriminelen gebruiken om persoonlijke gegevens te stelen, is om zich te mengen in een online gesprek tussen mensen die denken dat ze een privégesprek hebben. Door berichten te onderscheppen en te kopiëren of te veranderen voordat ze naar de beoogde ontvanger worden gestuurd, proberen ze een van de deelnemers te manipuleren om ze waardevolle gegevens te geven.

Interne bedreiging

Hoewel de meeste aanvallen worden uitgevoerd door mensen buiten een organisatie, moeten beveiligingsteams ook alert zijn op bedreigingen van binnenuit. Werknemers en andere mensen die legitiem toegang hebben tot beperkte resources, kunnen onbedoeld of in sommige gevallen opzettelijk gevoelige gegevens lekken.

Ongeoorloofde toegang

Veel beveiligingsschendingen beginnen met gestolen accountgegevens. Of aanvallers wachtwoorden verkrijgen via een phishingcampagne of door een algemeen wachtwoord te raden, als ze eenmaal toegang hebben tot een systeem, kunnen ze malware installeren, netwerken verkennen of hun privileges escaleren zodat ze toegang krijgen tot meer gevoelige systemen en gegevens.

Wat is een plan voor incidentreactie?

De reactie op een incident vereist dat een team efficiënt en effectief samenwerkt om de dreiging weg te nemen en aan de vereisten te voldoen. In deze stressvolle situaties is het gemakkelijk om in de war te raken en fouten te maken. Om deze reden ontwikkelen bedrijven een plan voor incidentreactie. Het plan definieert rollen en verantwoordelijkheden, en omvat de stappen die nodig zijn om een incident op de juiste manier op te lossen, te documenteren en erover te communiceren.

Het belang van een plan voor incidentreactie

Een aanzienlijke aanval schaadt niet alleen de activiteiten van een organisatie, maar heeft ook gevolgen voor de reputatie van het bedrijf bij klanten en in de gemeenschap, en kan ook juridische gevolgen hebben. Alles, inclusief hoe snel het beveiligingsteam op de aanval reageert en hoe leidinggevenden over het incident communiceren, heeft invloed op de totale kosten ervan.

Bedrijven die de schade verbergen voor klanten en overheden of die een bedreiging niet serieus genoeg nemen, kunnen in aanvaring komen met regelgeving. Dit soort fouten komt vaker voor als deelnemers geen plan hebben. Als de druk er vol op staat, bestaat het risico dat mensen uit angst overhaaste beslissingen nemen die uiteindelijk de organisatie schaden.

Een goed doordacht plan laat mensen weten wat ze in elke fase van een aanval moeten doen, zodat ze dat niet ter plekke hoeven te verzinnen. En als er na het herstel vragen komen van de buitenwacht, kan de organisatie precies laten zien hoe er is gereageerd en de klanten geruststellen dat het incident serieus wordt genomen en de nodige stappen zijn gezet om de situatie niet te laten escaleren.

Stappen voor incidentreactie

Er is meer dan één manier om incidentreactie aan te pakken, en veel organisaties vertrouwen op een organisatie die beveiligingsstandaarden aanbiedt om hun aanpak te begeleiden. SysAdmin Audit Network Security (SANS) is een particuliere organisatie die een reactieframework van zes stappen aanbiedt, dat hieronder wordt geschetst. Veel organisaties implementeren ook het (NIST)-framework voor incidentherstel van het National Institute of Standards and Technology.
 
  • Voorbereiding: voordat een incident plaatsvindt, is het belangrijk om kwetsbaarheden te verminderen en beveiligingsbeleid en -procedures vast te stellen. In de voorbereidingsfase voeren organisaties een risicobeoordeling uit om te bepalen waar ze zwakke plekken hebben en om prioriteiten te stellen. Deze fase omvat het opstellen en verfijnen van beveiligingsprocedures, het definiëren van rollen en verantwoordelijkheden, en het bijwerken van systemen om risico's te beperken. De meeste organisaties komen regelmatig terug op deze fase en brengen verbeteringen aan in beleid, procedures en systemen naarmate ze lessen leren of technologieën veranderen.
  • Identificatie van bedreigingen: op een willekeurige dag kan een beveiligingsteam duizenden waarschuwingen ontvangen die wijzen op verdachte activiteiten. Sommige daarvan zijn fout-positief of kunnen niet het niveau van een incident bereiken. Zodra een incident is vastgesteld, onderzoekt het team de aard van de schending en documenteert het de bevindingen, waaronder de bron van de schending, het type aanval en de doelen van de aanvaller. In dit stadium moet het team ook de belanghebbenden informeren en de volgende stappen meedelen.
  • Dreiging insluiten: een dreiging zo snel mogelijk insluiten is de volgende prioriteit. Hoe langer aanvallers toegang hebben, hoe groter de schade die ze kunnen aanrichten. Het beveiligingsteam werkt eraan om toepassingen of systemen die worden aangevallen snel te isoleren van de rest van de netwerken. Dit helpt voorkomen dat de aanvallers toegang krijgen tot andere delen van het bedrijf.
  • Dreiging elimineren: als de insluiting is voltooid, verwijdert het team de aanvaller en eventuele malware van de getroffen systemen en resources. Dit kan betekenen dat systemen offline moeten worden gehaald. Het team blijft ook de belanghebbenden op de hoogte houden van de voortgang.
  • Herstel: het herstel van een incident kan enkele uren duren. Als de dreiging eenmaal is geëlimineerd, herstelt het team systemen, gegevens van back-ups en bewaakt het de getroffen gebieden om er zeker van te zijn dat de aanvaller niet terugkeert.
  • Feedback en verbetering: als het incident is opgelost, bekijkt het team wat er is gebeurd en stelt het vast welke verbeteringen in het proces kunnen worden aangebracht. Leren van deze fase helpt het team de verdediging van de organisatie te verbeteren.

Wat is een incidentreactieteam?

Een incidentreactieteam, dat ook wel een Computer Security Incident Response Team (CSIRT), een Cyber Incident Response Team (CIRT) of een Computer Emergency Response Team (CERT) wordt genoemd, omvat een multifunctionele groep mensen in de organisatie die verantwoordelijk zijn voor de uitvoering van het plan voor incidentreactie. Dit omvat niet alleen de mensen die de dreiging elimineren, maar ook degenen die zakelijke of juridische beslissingen nemen in verband met een incident. Een team bestaat normaal gesproken uit de volgende leden:
 
  • Een incidentreactiemanager, vaak de directeur van de IT-afdeling, houdt toezicht op alle fasen van de reactie en houdt de interne belanghebbenden op de hoogte. 
     
  • Beveiligingsanalisten onderzoeken het incident om te proberen te begrijpen wat er gebeurt. Ze documenteren ook hun bevindingen en verzamelen forensisch bewijsmateriaal.
     
  • Onderzoekers van bedreigingen zoeken buiten de organisatie om inlichtingen die extra context bieden. 
     
  • Iemand uit het management, zoals een Chief Information Security Officer of een Chief Information Officer, geeft leiding en fungeert als verbindingspersoon met andere leidinggevenden.
     
  • HR-specialisten helpen bij het beheren van interne bedreigingen.
     
  • De bedrijfsjurist helpt het team bij aansprakelijkheidskwesties en zorgt ervoor dat forensisch bewijsmateriaal wordt verzameld.
     
  • Specialisten op het gebied van public relations coördineren nauwkeurige externe communicatie naar de media, klanten en andere belanghebbenden.
Een incidentreactieteam kan een onderdeel zijn van een Beveiligingscentrum (SOC), dat zich bezighoudt met beveiligingsactiviteiten die verder gaan dan incidentreactie.



Automatisering van incidentenreactie

In de meeste organisaties genereren netwerken en beveiligingsoplossingen veel meer beveiligingswaarschuwingen dan het incidentreactieteam realistisch gezien aankan. Om het te helpen zich te concentreren op werkelijke bedreigingen, implementeren veel bedrijven automatisering van incidentreactie. Automatisering gebruikt AI en machine learning om waarschuwingen te sorteren, incidenten te identificeren en bedreigingen te elimineren door een playbook voor reacties uit te voeren op basis van programmatische scripts.

Automatisering en reactie van beveiligingsindelingen (SOAR) is een categorie beveiligingstools die bedrijven gebruiken om de incidentreactie te automatiseren. Deze oplossingen bieden de volgende mogelijkheden:
 
  • Correleer gegevens over meerdere eindpunten en beveiligingsoplossingen om incidenten te identificeren die door mensen kunnen worden opgevolgd.
     
  • Voer een vooraf opgesteld playbook uit om bekende incidenttypes te isoleren en aan te pakken.
     
  • Genereer een onderzoekstijdlijn met acties, beslissingen en forensisch bewijsmateriaal dat kan worden gebruikt voor analyse.
     
  • Zoek relevante externe inlichtingen voor menselijke analyse.



Een plan voor incidentreactie uitvoeren

Het ontwikkelen van een plan voor incidentreactie kan ontmoedigend lijken, maar het kan het risico dat je bedrijf onvoorbereid is tijdens een groot incident aanzienlijk verkleinen. Je kunt als volgt aan de slag:

Assets identificeren en prioriteren

De eerste stap van een plan voor incidentreactie is weten wat je beschermt. Documenteer de belangrijkste gegevens van je organisatie, inclusief hun locaties en hoe belangrijk ze zijn voor het bedrijf.

Potentiële risico's vaststellen

Elke organisatie heeft andere risico's. Ontdek wat de grootste kwetsbaarheden van je organisatie zijn en evalueer de manieren waarop een aanvaller ze zou kunnen uitbuiten. 

Reactieprocedures ontwikkelen

Tijdens een stressvol incident zorgen duidelijke procedures ervoor dat het incident snel en effectief wordt aangepakt. Begin met het vaststellen van wat een incident is en bepaal daarna de stappen die je team moet nemen om het incident te detecteren, te isoleren en te herstellen, inclusief procedures voor het documenteren van beslissingen en het verzamelen van bewijsmateriaal.

Een incidentreactieteam samenstellen

Stel een multifunctioneel team samen dat verantwoordelijk is voor het begrijpen van de reactieprocedures en de mobilisatie als er een incident is. Zorg dat je de rollen duidelijk definieert en rekening houdt met niet-technische rollen die kunnen helpen bij het nemen van beslissingen over communicatie en aansprakelijkheid. Neem iemand op in het directieteam die op de hoogste niveaus van het bedrijf pleit voor het team en de behoeften. 

Bepaal je communicatieplan

Een communicatieplan zorgt ervoor dat je niet meer hoeft te raden wanneer en hoe je anderen binnen en buiten de organisatie vertelt wat er gebeurt. Denk na over verschillende scenario's om je te helpen vast te stellen onder welke omstandigheden je leidinggevenden, de hele organisatie, klanten en de media of andere externe belanghebbenden moet informeren.

Werknemers trainen

Aanvallers richten zich op werknemers op alle niveaus van de organisatie. Om die reden is het zo belangrijk dat iedereen je reactieplan begrijpt en weet wat ze moeten doen als ze vermoeden dat ze het slachtoffer zijn geworden van een aanval. Test je medewerkers regelmatig om te bevestigen dat ze phishingmails herkennen en maak het ze gemakkelijk om het incidentreactieteam op de hoogte te stellen als ze per ongeluk op een schadelijke koppeling klikken of een geïnfecteerde bijlage openen.

Oplossingen voor incidentreactie

Voorbereid zijn op een groot incident is een belangrijk onderdeel van het beschermen van je organisatie tegen bedreigingen. Het opzetten van een intern incidentreactieteam geeft je het vertrouwen dat je er klaar voor bent als je slachtoffer wordt van een slechte actor.

Maak gebruik van SIEM- en SOAR-oplossingen, zoals Microsoft Sentinel, die automatisering gebruiken om je te helpen incidenten te identificeren en daar automatisch op te reageren. Organisaties met minder resources kunnen hun teams uitbreiden met een dienstverlener die meerdere fasen van incidentreactie kan afhandelen. Maar of je incidentreactie nu intern of extern aanpakt, zorg dat je een plan hebt.



Persoon die op een laptop werkt met beeldschermen met code

Microsoft bedreigingsbeveiliging

Identificeer incidenten in je hele organisatie en reageer erop met de nieuwste bescherming tegen bedreigingen.
Verkennen
Twee personen die computers in een kantoor gebruiken

Microsoft Incidentreactie

Krijg hulp voor, tijdens en na een cyberincident met end-to-end proactieve en reactieve incidentresponsservices.
Verkennen
met smartphone naast laptop aan bureau

Microsoft Sentinel

Breng beveiligingsgegevens en context samen tot een krachtige agentische verdediging met SIEM en AI-gericht platform.
Verkennen
twee collega's die gegevens controleren op een laptop aan een tafel.

Microsoft Defender XDR

Stop aanvallen op eindpunten, e-mail, identiteiten, toepassingen en gegevens.
Verkennen
Terug naar sectie Gerelateerde producten
Veelgestelde vragen

Veelgestelde vragen

  • Incidentreactie is het geheel van activiteiten dat een organisatie onderneemt wanneer er een vermoeden is van een beveiligingsschending. Het doel is om aanvallers zo snel mogelijk te isoleren en te elimineren, te voldoen aan de regels voor gegevensprivacy en veilig te herstellen met zo min mogelijk schade voor de organisatie.
  • Een multifunctioneel team is verantwoordelijk voor incidentreactie. IT is normaal gesproken belast met het opsporen, isoleren en herstellen van bedreigingen, maar er komt meer kijken bij incidentreactie dan het vinden en elimineren van slechte actors. Afhankelijk van het type aanval moet iemand mogelijk een zakelijke beslissing nemen, zoals het betalen van losgeld. Juridisch adviseurs en specialisten op het gebied van public relations helpen ervoor te zorgen dat de organisatie zich houdt aan de wetten inzake gegevensprivacy, inclusief de juiste kennisgeving aan klanten en overheden. Als de bedreiging uitgaat van een werknemer, adviseert HR over passende maatregelen.
  • CSIRT is een andere naam voor een incidentreactieteam. Het omvat een multifunctioneel team van mensen die verantwoordelijk zijn voor het beheer van alle aspecten van incidentreactie, waaronder het opsporen, isoleren en elimineren van de bedreiging, herstel, interne en externe communicatie, documentatie en forensische analyse.
  • De meeste organisaties gebruiken een SIEM of SOAR-oplossing om ze te helpen bij het opsporen van en reageren op bedreigingen. Deze oplossingen voegen meestal gegevens samen van meerdere systemen en gebruiken machine learning om echte bedreigingen te identificeren. Ze kunnen ook de reactie op bepaalde soorten bedreigingen automatiseren op basis van vooraf opgestelde draaiboeken.
  • De levenscyclus van een incidentreactie omvat zes fasen:
     
    1. De voorbereiding vindt plaats voordat een incident is vastgesteld en omvat een definitie van wat de organisatie als een incident beschouwt en al het beleid en de procedures die nodig zijn om een aanval te voorkomen, op te sporen, te elimineren en ervan te herstellen.
    2. De identificatie van bedreigingen is een proces dat zowel menselijke analisten als automatisering gebruikt om vast te stellen welke gebeurtenissen echte bedreigingen zijn die moeten worden aangepakt.
    3. De insluiting van bedreigingen is de actie die het team onderneemt om de bedreiging te isoleren en te voorkomen dat deze andere gebieden van het bedrijf infecteert. 
    4. De eliminatie van bedreigingen omvat stappen om malware en aanvallers uit een organisatie te verwijderen.
    5. Herstel omvat het opnieuw opstarten van systemen en machines en het herstellen van verloren gegevens. 
    6. Feedback en verbetering is het proces dat het team volgt om te leren van het incident en die lessen toe te passen op beleid en procedures. 

Volg Microsoft Beveiliging

Surface Pro Surface Laptop Copilot voor organisaties Copilot voor persoonlijk gebruik Microsoft 365 Bekijk Microsoft-producten Windows 11-apps Accountprofiel Downloadcentrum Ondersteuning Microsoft Store Terugzendingen Bestelling traceren Recyclage Commerciële garanties Microsoft Education Apparaten voor het onderwijs Microsoft Teams for Education Microsoft 365 Education Office Education Educator-training en -ontwikkeling Aanbiedingen voor studenten en ouders Azure voor studenten
Microsoft AI Microsoft Beveiliging Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Midden- en kleinbedrijf Microsoft-ontwikkelaar Microsoft Learn Ondersteuning voor AI-marketplace-apps Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Softwarebedrijven Visual Studio Vacatures Privacy bij Microsoft Investeerders
Nederlands (Nederland) Privacy van consumentenstatus Contact opnemen met Microsoft Privacy Cookies beheren Gebruiksvoorwaarden Handelsmerken Over onze advertenties EU Compliance DoCs