Fase 1: Detectie en analyse

Het detecteren van een cyberaanval kan op meerdere manieren gebeuren. In het best mogelijke scenario is er automatische monitoring voorhanden die bij bepaalde gebeurtenissen, zoals een plotse toename van dataverkeer op bepaalde plaatsen in het netwerk, de beheerders verwittigt zodat deze informatie verder onderzocht kan worden. 

Het kan ook voorvallen dat eindgebruikers abnormaal gedrag ondervinden bij het bedienen van systemen, zoals een toepassing die veel langer over een opzoeking of bewerking doet dan men zou mogen verwachten. Tenslotte is de kans ook reëel dat de boosdoeners er doelbewust voor kiezen om te melden dat zij uw organisatie hebben aangevallen hebben en geld eisen in ruil voor de normale werking.

Tijdens de eerste fase van een cyberaanval zal de focus voornamelijk liggen op het onderzoeken van een melding of storing, en het alarmeren van de interne en externe eerstelijnscontacten. Daarnaast dienen de eerste stappen gezet te worden om een verspreiding van de besmetting of aanval te voorkomen en bewijsmateriaal veilig te stellen. 

In deze fase behandelen we de volgende onderwerpen: