Het detecteren van een cyberaanval kan op meerdere manieren gebeuren. In het best mogelijke scenario is er automatische monitoring voorhanden die bij bepaalde gebeurtenissen, zoals een plotse toename van dataverkeer op bepaalde plaatsen in het netwerk, de beheerders verwittigt zodat deze informatie verder onderzocht kan worden.
Het kan echter ook voorvallen dat eindgebruikers abnormaal gedrag ondervinden bij het bedienen van systemen, zoals een toepassing die veel langer over een opzoeking of bewerking doet dan men zou mogen verwachten. Tenslotte is de kans ook reëel dat de boosdoeners er doelbewust voor kiezen om te melden dat zij uw organisatie hebben aangevallen hebben, en geld eisen om u naar uw normale werking terug te laten keren.
Tijdens de eerste fase van een cyberaanval zal de focus voornamelijk liggen op het onderzoeken van een melding of storing, en het alarmeren van de interne en externe eerstelijnscontacten. Daarnaast dienen de eerste stappen gezet te worden om een verspreiding van de besmetting of aanval te voorkomen en bewijsmateriaal veilig te stellen.
In deze fase behandelen we de volgende onderwerpen:
1.1 Vooralarm
1.2 Onderzoek de melding
1.3 Beeldvorming en opstart forensisch onderzoek
1.4 Neem de nodige voorzorgen inzake back-ups
1.5 Effectief alarm
1.6 Zet een initiële crisismeeting op voor verdere beeldvorming
1.7 Meld het incident bij de lokale politie en het CERT
1.8 Leg een logboek aan voor crisisbeheer
1.9 Leg een register aan voor potentiële datalekken
1.10 Schakel externe hulp in waar nodig
1.11 Maximaliseer de inzet en neem initiatief