Skip to main content

Het dilemma tussen forensisch onderzoek en snel herstel tijdens een cyberaanval

3 maart 2025

Inleiding

Het gebeurt op het slechtst denkbare moment: systemen vallen uit, klanten kunnen niet meer inloggen en het bestuur kijkt je vragend aan. Moeten we direct herstellen of eerst onderzoeken? Dit is het dilemma dat organisaties treft tijdens een cyberaanval.

  • Grondig (forensisch) onderzoek – Het zorgvuldig analyseren van het incident om te begrijpen hoe de aanval is uitgevoerd, welke kwetsbaarheden zijn misbruikt en of de aanvaller nog aanwezig is.
  • Snel herstel – Het zo snel mogelijk herstellen van systemen en diensten om de impact op de bedrijfsvoering en klanten te minimaliseren.

Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder

In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder

In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder

Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder

Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder

Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder

Wat is belangrijker in cyber recovery: een waterdicht noodplan of ruimte voor improvisatie bij een onvoorspelbare cyberaanval? Lees verder

Direct herstellen om de schade te beperken, of eerst forensisch onderzoek doen om te achterhalen wat er is gebeurd bij een cyberaanval? Lees verder

Waarom is dit een dilemma?

Een cyberaanval brengt enorme druk met zich mee, vooral op management- en bestuursniveau. Operationele teams willen de systemen weer online krijgen, terwijl securityteams en externe forensische specialisten willen achterhalen hoe de aanval heeft plaatsgevonden en of de dreiging volledig is geëlimineerd.

Te snel herstel kan betekenen dat je een aanvaller per ongeluk laat ontsnappen of dat je niet goed begrijpt hoe de aanval heeft plaatsgevonden. Aan de andere kant kan een langdurig onderzoek de bedrijfsvoering ernstig verstoren en imagoschade vergroten.

De voor- en nadelen bij de keuzes

Voordelen van uitgebreid forensisch onderzoek:

  • Inzicht in aanvalspad – Begrijpen hoe de aanvaller binnenkwam en zich lateraal bewoog binnen de organisatie.
  • Detectie van achterdeurtjes – Voorkomen dat een aanvaller ongezien terugkeert.
  • Verbetering van toekomstige verdediging – Kennis gebruiken om preventieve maatregelen te versterken.
  • Juridische en compliance-verplichtingen – Voldoen aan regelgeving zoals de AVG, DORA of NIS2.

Nadelen van uitgebreid forensisch onderzoek:

  • Verlengde downtime – Systemen blijven langer offline, wat operationele en financiële schade oplevert, waar klanten en partners ook last van (kunnen) hebben.
  • Imagoschade – De organisatie komt negatief in het daglicht, omdat bekend wordt dat er een cyberaanval heeft plaatsgevonden.
  • Kosten – Externe forensische specialisten en de impact van downtime kunnen flink in de papieren lopen.

Voordelen van snel herstel:

  • Minimalisatie van operationele schade – Organisatie kan sneller weer functioneren.
  • Beperkte klantimpact – Klanten ondervinden minder hinder van verstoringen.
  • Beheerste kosten – Minder tijd en middelen nodig voor langdurige analyses.

Nadelen van snel herstel:

  • Onvolledig onderzoek – Mogelijk missen van sporen of actieve dreigingen.
  • Risico op herinfectie – Als de achterliggende oorzaak niet goed wordt begrepen, kan de aanvaller terugkomen.
  • Mogelijke compliance-risico’s – Wettelijke rapportageverplichtingen kunnen worden bemoeilijkt zonder goed onderzoek.

Hoe dit geen groot dilemma hoeft te zijn

Het goede nieuws: met de juiste voorbereiding en strategie kunnen organisaties het conflict tussen onderzoek en herstel grotendeels oplossen. Een veelgebruikte oplossing is het maken van een forensische kopie van getroffen systemen voordat herstel plaatsvindt. Hierdoor kunnen analisten achteraf een diepgaand onderzoek uitvoeren zonder dat dit de hersteloperatie vertraagt.

Om te voorkomen dat herstel overhaast of juist te traag verloopt, moeten organisaties vooraf de juiste maatregelen nemen. Dit zijn de belangrijkste stappen:

1. Real-time logging en monitoring inrichten

Goed ingerichte logging en detectie zorgen ervoor dat je direct inzicht hebt in een aanval. Dit kan niet alleen de schade beperken, maar versnelt ook het forensisch onderzoek en herstel. Echter, omdat aanvallen snel kunnen worden uitgevoerd, vaak sneller dan de verdediging op gang komt – iets wat met hulp van AI verbeterd kan worden – wil er wel eens een aanval tussendoor glippen. Het hebben van de juiste (en betrouwbare) logging kan dan helpen het forensisch onderzoek te versnellen en tegelijkertijd zorgen voor een beter gefundeerd herstelplan.

2. De processtappen voor forensisch onderzoek vooraf gereed hebben

Hoe eerder je kunt starten met forensisch onderzoek, hoe eerder je kunt herstellen. De volgende factoren spelen daarbij een rol:

  • Werk, nog voordat er sprake is van een (cyber)incident / tijdens de “business as usual,” samen met gekwalificeerde forensische experts en stel vooraf vast welke certificeringen en competenties nodig zijn om effectief onderzoek te kunnen doen. Een gekwalificeerde forensisch expert beschikt idealiter over certificeringen zoals GCFA (GIAC Certified Forensic Analyst) of CHFI (Computer Hacking Forensic Investigator). Een helder contract met SLA’s en duidelijke verwachtingen en een gemakkelijk (ook niet-digitaal) te raadplegen contactenboekje met daarin de gegevens van de forensisch expert kan ervoor zorgen dat de expert direct en efficiënt kan handelen bij een incident.
  • Zorg voor vooraf gedefinieerde forensische procedures, zodat duidelijk is welke systemen, logs en metadata veiliggesteld moeten worden. Bepaal daarbij vooraf welke kritieke assets bij een aanval altijd moeten worden gekopieerd, zodat er geen tijd verloren gaat aan discussie.
  • Gebruik geautomatiseerde tooling voor forensische kopieën en logging, zodat dit proces snel en gestandaardiseerd verloopt.

3. Scheiding tussen onderzoek en herstelacties

Terwijl forensische kopieën worden geanalyseerd, kunnen al bepaalde herstelstappen worden ingezet. Welke stappen parallel kunnen worden ingezet is echter situatieafhankelijk en (soms) al dan niet deels afhankelijk van de eerste resultaten vanuit het forensisch onderzoek. Als incidenten de cyclus “Analyse – Inperking (containment) – Opschoning (eradication) – Herstel” doorlopen, is het in de fase van (parallel) herstel wel handig om alvast wat richting te krijgen vanuit analyses. Frequente communicatie tussen forensisch onderzoekers en herstelteams is dan ook cruciaal.

Desalniettemin kan in voorkomende gevallen – al is dat soms ten overvloede – alvast gestart worden met de voorbereiding op herstel gedurende het onderzoek. Om goed te kunnen herstellen moet vaak niet simpelweg op een knop gedrukt worden. Er zijn verschillende handelingen noodzakelijk, al helemaal naar mate de cyberaanval grootschaliger is.

  • Zijn herstelteams al (technisch) in staat met elkaar te communiceren?
  • Kunnen herstelprocedures (technisch) al in gang worden gezet?

Indien het antwoord op een van deze vragen “nee” is, kan daar in ieder geval aan gewerkt worden.

In feite kan dus alles parallel aan het forensisch onderzoek worden voorbereid om – zodra het bestuur/management vindt dat er voldoende onderzoek is gedaan – direct aan de slag te gaan met herstel; te beginnen met opschoning (eradication), gevolgd door het daadwerkelijk herstel.

Let wel, uit het onderzoek kan blijken dat de inhoud van back-ups ook opgeschoond moet worden. Mede daarom is het niet verstandig klakkeloos back-ups te herstellen.

4. Oefenen met tabletop-exercises

Organisaties die vooraf crisisscenario’s oefenen, zijn beter voorbereid op de balans tussen onderzoek en herstel en wanneer de balans welke kant op wijst. Simulaties kunnen helpen om de juiste afwegingen voor te bereiden onder tijdsdruk.

5. Oefenen (back-up) restore testen

In deze blog staat tijdsdruk en het dilemma tussen langer onderzoek versus sneller herstel centraal. “Sneller herstellen” betekent echter niet dat direct na het besluit te kunnen gaan herstellen een IT-omgeving (of deel ervan) gelijk hersteld is. Ook herstel kost tijd. Daarom is het goed om als input voor de afwegingen die hierboven genoemd zijn (bij de tabletop-exercises) te weten hoe lang je daadwerkelijk doet over herstel. De enige manier om daar een serieuze inschatting van te maken, is door het herstel te oefenen. Daarbij geldt daarnaast dat hoe vaker iets geoefend is hoe sneller het proces gaat, technische beperkingen daargelaten.

6. Communicatie en stakeholdermanagement

Heldere communicatie met interne en externe stakeholders helpt de verwachtingen te managen en voorkomt paniekbeslissingen. Een cybercrisiscommunicatieplan voorkomt onnodige druk om systemen te snel online te brengen.

Conclusie

Het conflict tussen forensisch onderzoek en snel herstel is een klassieke uitdaging binnen incident response. Toch kan dit dilemma grotendeels worden weggenomen door vooraf goed na te denken over responsstrategieën. Door snel en efficiënt forensische kopieën te maken, parallelle herstelstappen te nemen, kunnen organisaties zowel snel herstellen als waardevolle inzichten uit het forensisch onderzoek behouden. Zoals vaak met (ogenschijnlijke) dilemma’s: het gaat om het vinden van de juiste balans.

Hoe gaat jouw organisatie om het vinden van die balans en hoe valt de balans uit: staat snelheid of zorgvuldigheid bij jullie voorop?

Neem contact op Vorige blog