2.5 Neem bijkomende technische maatregelen

In de eerste fase van de crisissituatie tracht je een verdere verspreiding van het incident te vermijden door getroffen systemen onmiddellijk los te koppelen en geïmpacteerde of kwetsbare functionaliteit stil te leggen. Het forensisch onderzoek brengt in de tussentijd meer duidelijkheid met betrekking tot de getroffen systemen en toepassingen. De kans is reëel dat bijkomende acties nodig zijn om de situatie onder controle te krijgen en de gewone werking te hervatten, belangrijk hierbij is dat deze maatregelen ook een impact op de interne werking met zich (kunnen) meebrengen. 

Volgende stappen kunnen gezet worden om het incident te bestrijden en mogelijke schade zoveel mogelijk in te dammen: 

1. Het afsluiten van de werksessies van de gebruikers: Ingelogde gebruikers vormen een belangrijke vector voor aanvallers om binnen te dringen in de IT-omgeving. Alles wat maakt dat gebruikersprofielen actief kunnen zijn - hierbij dient zeker gedacht te worden aan de mogelijkheid tot telewerk en dus toegang van buitenaf - moet worden onderbroken en stopgezet. Er zijn technische oplossingen om het afmelden van gebruikers op te volgen, maar natuurlijk dient dit eerst ook expliciet gevraagd worden aan alle gebruikers via de voorziene interne communicatiekanalen. Verstuur daarom een e-mailbericht of flashmededeling naar alle interne medewerkers met de vraag om hun huidig werk op te slaan en zo snel mogelijk af te melden, zowel intern als van thuis uit.
    

2. Aansluitend op het vorige punt: Binnen het gebruikersbeheer valt het aan te bevelen om de volgende twee stappen in de aangegeven volgorde te doorlopen:
    

   1. Voor IT-administratoren of systeembeheerders: Een onmiddellijke en onvoorwaardelijke reset van wachtwoorden doorvoeren, ook wanneer reeds gewerkt wordt met meervoudige authenticatie (MFA).

   2. Voor alle overige gebruikers: De toegang dient tot nader order integraal gedeactiveerd worden. Dit proces kan je enigszins voorbereiden door een speciale gebruikersgroep in het leven te roepen zonder rechten, waarbij alles initieel dichtstaat. Bij een afschakeling kan je dan eenvoudig alle gebruikers in deze bijzondere groep opdelen.
       

3. Vervang de wachtwoorden op alle toestellen: Alle wachtwoorden die gebruikt werden op de server worden best aangepast. Denk hierbij aan de wachtwoorden van e-mail, control panels, content management systemen en andere. Doe hetzelfde voor alle toestellen die toegang hadden tot de gehackte website of server bij aanvallen van een grotere omvang. Het is ook aangeraden om de overige apparaten te controleren, en dan zeker die waarop mogelijk gevoelige gegevens staan.
    

4. Schakel netwerksegmenten die risico lopen zoveel mogelijk uit: Hierbij gaat het bijvoorbeeld over gastentoegangen via het wifinetwerk en VPN-verbindingen voor toegang van buitenaf. 
    

5. Verhoog de monitoring en controle op de firewalls:  Het is aangewezen om de toegangsregels aan te passen, met whitelisting van toegestane verbindingen en blacklisting van verdachte verbindingen.
    

6. Scan de DMZ-omgeving: Voer een security scan uit op de externe IP-adressen van je lokaal bestuur door middel van een kwetsbaarhedenscan en controle op openstaande services en netwerkpoorten.
    

7. Leg de mailfunctionaliteit stil: Door de servers die instaan voor mailfunctionaliteit uit te schakelen kan vermeden worden dat via deze weg besmettingen (verder) verspreid worden.

Er kan bewust voor gekozen worden om bepaalde functionaliteit intact te laten, denk aan mogelijk vitale functies zoals website en telefonie, op voorwaarde dat er een duidelijke afscheiding is van de andere voorzieningen voor hardware en software. Toepassingen als virusscanners en firewalls worden best maximaal operationeel gehouden, aangezien zij inzage geven in de actuele toestand en het recente verleden van de cyberaanval.