Document toolboxDocument toolbox


Cyber Response Team


3.7 Keur systemen goed voor heropstart

Je kan gebruik maken van verschillende herstelmethodes voor de heropstart van systemen, maar tijdens dit proces is het belangrijk om de nodige controles uit te voeren en voorzorgen te nemen om nieuwe incidenten uit te sluiten. Vooraleer systemen terug in dienst worden genomen, moeten dan ook enkele relevante acties uitgevoerd worden: 

  • Controleer de gehanteerde back-ups: Vooraleer hersteld wordt vanaf een back-up, dien je te controleren op virussen, rootkits en achterpoortjes. Indien geen betrouwbare back-up gevonden kan worden, moet het systeem opnieuw geïnstalleerd worden, inclusief het besturingssysteem. 

  • Installeer de nodige patches: Het gaat hier zowel over patches op het niveau van het besturingssysteem, als op het niveau van de applicaties.

  • Wijzig de wachtwoorden

  • Wijzig de accounts

  • Verhoog de beveiliging van de netwerkperimeter: Je kan hiervoor o.a. de firewall wijzigen en de controlelijsten voor routertoegang opnieuw programmeren

  • Diensten vergrendelen 

Hou ook steeds in het achterhoofd dat zodra een systeem of toepassing met succes aangevallen werd, de kans reëel is dat een nieuwe aanval zal plaatsvinden. Of dat hackers een gelijkaardige methodiek zullen toepassen om schade te berokkenen aan andere systemen en toepassingen. Dit houdt natuurlijk ook in dat de verdediging waar mogelijk opgeschaald zal moeten worden, dit kan je bijvoorbeeld doen via: 

  • Introductie systeemlogging

  • Netwerktoezicht op een hoger niveau

  • Bijkomende toegangsbeveiliging (zoals multifactorauthenticatie) 

Als laatste stap in het proces moeten systemen ook formeel goedgekeurd worden voor heropstart, vooraleer deze opnieuw online geplaatst worden. Het is belangrijk om hierbij duidelijk af te spreken wie deze goedkeuring kan geven en tijdens het goedkeuringsproces niet alleen IT-veiligheidsexperts te betrekken, maar ook profielen die zicht hebben op de werking van de concrete toepassingen en systemen. Het systeem kan dan wel veilig verklaard worden voor heropstart, maar het is ook belangrijk dat alles naar behoren functioneert. Wat beveiliging betreft is het aanbevolen om nog een laatste scan uit te voeren op systemen en toepassingen in de goedkeuringsfase, zodat gecontroleerd kan worden op overblijvende kwetsbaarheden.

 

Verdieping: Wat met servers?

Naar analogie van de voorbeeldafschakelprocedure in fase 2, voer je de heropstart van servers best gefaseerd uit, één voor één. Je gebruikt hierbij logischerwijze de omgekeerde volgorde van de afschakeling.

Om dit proces vlot en veilig te laten verlopen, kan je als volgt te werk gaan:

  1. Je neemt eerst een snapshot van de 'oude' (vermoedelijk geïnfecteerde) machine

  2. Je start de server op

  3. Je neemt als administrator controle over de computer

  4. Je maakt gebruik van detectietools om mogelijke sporen van een besmetting terug te vinden

  5. Je inventariseert de gevonden sporen in kader van de bewijsvergadering

  6. Je kijkt na op indicatoren die kunnen wijzen op gegevensverlies of datalekken

  7. Je maakt gebruik van opschoonsoftware om de server te reinigen, mits akkoord van betrokken partijen (DPO, politie, externe experten, ...)

  8. Indien je niet zeker bent of alles gewist is, dan wel of de machine naar behoren functioneert, kan je overwegen om een eerdere back-up terug te zetten indien je zicht hebt op de tijd van de besmetting

  9. Verklaar de machine terug in dienst, met de een melding of deze 100% operationeel is, of er bijzonderheden zijn zoals dataverlies

Dit is een document voor publiek gebruik.