Security10 min leestijd
Incident Response Draaiboek
Procedures voor security incident handling
Incident Response Draaiboek
Overzicht
Dit draaiboek beschrijft de stappen voor het detecteren, beheersen en herstellen van security incidenten op het Noveu platform.
Incident Taxonomie
Categorieën
| Categorie | Voorbeelden | Typische Severity |
|---|---|---|
| Malware | Ransomware, trojans, virussen | Sev1-2 |
| Unauthorized Access | Credential theft, privilege escalation | Sev1-2 |
| Data Breach | Exfiltratie, ongeautoriseerde disclosure | Sev1 |
| DDoS | Volumetric, application layer | Sev2-3 |
| Phishing | Credential harvesting, BEC | Sev2-3 |
| Insider Threat | Data theft, sabotage | Sev1-2 |
| Misconfiguration | Exposed data, weak controls | Sev2-3 |
Severity Bepaling
┌─────────────────────────────┐
│ IMPACT ASSESSMENT │
└─────────────────────────────┘
│
┌────────────────────────┼────────────────────────┐
▼ ▼ ▼
┌───────────┐ ┌───────────┐ ┌───────────┐
│ Hoeveel │ │ Welke │ │ Reputatie │
│ systemen? │ │ data? │ │ schade? │
└───────────┘ └───────────┘ └───────────┘
│ │ │
▼ ▼ ▼
Alle: Sev1 Gevoelig: Sev1 Publiek: Sev1
Meerdere: Sev2 Intern: Sev2 Beperkt: Sev2
Enkel: Sev3 Publiek: Sev3 Geen: Sev3
Response Fasen
Fase 1: Detectie en Analyse (0-30 min)
Doel: Incident valideren en scope bepalen
Stappen
-
Alert triage
- Alert ontvangen van monitoring/SIEM
- False positive uitsluiten
- Severity bepalen
-
Initiële analyse
- Getroffen systemen identificeren
- Attack vector bepalen
- Timeline reconstrueren
- IOCs verzamelen
-
Communicatie
- Incident Commander aanwijzen
- War room openen (virtueel/fysiek)
- Stakeholders notificeren
Documentatie
## Incident Report - [INCIDENT-ID]
**Gedetecteerd**: [timestamp]
**Gerapporteerd door**: [naam/systeem]
**Severity**: [1-4]
**Status**: [Open/In Progress/Resolved]
### Beschrijving
[Korte beschrijving van het incident]
### Getroffen Systemen
- [System 1]
- [System 2]
### Initiele IOCs
- IP: [...]
- Hash: [...]
- Domain: [...]
Fase 2: Inperking (30 min - 2 uur)
Doel: Verdere schade voorkomen
Korte termijn inperking
| Actie | Wanneer | Risico |
|---|---|---|
| Account lockout | Compromised credentials | Gebruiker impact |
| Network isolation | Active breach | Service impact |
| Process kill | Malware actief | Data verlies |
| Block IOCs | Ongoing attack | False positives |
Lange termijn inperking
| Actie | Beschrijving |
|---|---|
| Segment network | Isoleer getroffen segment |
| Revoke credentials | Alle potentieel gecompromitteerde |
| Increase logging | Meer detail op verdachte systemen |
| Enable additional controls | MFA, DLP, etc. |
Beslissingsboom
Is de aanval nog actief?
├── JA → Onmiddellijke isolatie
│ ├── Kritiek systeem? → Failover eerst
│ └── Niet-kritiek? → Direct isoleren
└── NEE → Gecontroleerde inperking
├── Identificeer alle entry points
└── Sluit één voor één
Fase 3: Uitroeiing (2-24 uur)
Doel: Dreiging volledig verwijderen
Cleanup Stappen
-
Systeem remediatie
- Malware verwijderen
- Backdoors sluiten
- Vulnerabilities patchen
- Configuratie herstellen
-
Credential hygiene
- Wachtwoord resets afdwingen
- API keys roteren
- Certificaten heruitgeven
- MFA re-enrollen
-
Evidence preservation
- Forensic images maken
- Logs exporteren
- Chain of custody documenteren
Fase 4: Herstel (24 uur - 1 week)
Doel: Veilige terugkeer naar normale operatie
Herstelplan
| Stap | Actie | Verificatie |
|---|---|---|
| 1 | Systeem rebuild/restore | Integrity check |
| 2 | Security controls valideren | Config review |
| 3 | Monitoring verhogen | Alert thresholds |
| 4 | Gefaseerde reactivatie | Smoke tests |
| 5 | Gebruikerstoegang herstellen | Access audit |
Go-Live Checklist
- Alle IOCs geblokkeerd
- Vulnerabilities gepatched
- Credentials geroteerd
- Monitoring actief
- Backup gevalideerd
- Stakeholders geïnformeerd
Fase 5: Post-Incident (1-4 weken)
Doel: Leren en verbeteren
Post-Mortem
## Post-Incident Review
**Incident**: [ID]
**Datum review**: [...]
**Deelnemers**: [...]
### Timeline
[Chronologische reconstructie]
### Root Cause
[Technische en procesoorzaak]
### What Went Well
- [...]
### What Could Improve
- [...]
### Action Items
| Item | Owner | Deadline | Status |
|------|-------|----------|--------|
| [...] | [...] | [...] | [...] |
Meldplicht
Interne Melding
| Ernst | Wie | Wanneer |
|---|---|---|
| Sev1 | Management + Security + Legal | Onmiddellijk |
| Sev2 | Security + Account team | < 2 uur |
| Sev3 | Security | < 4 uur |
| Sev4 | Ticket systeem | < 1 werkdag |
Externe Melding
Autoriteiten (indien datalek)
| Autoriteit | Termijn | Criterium |
|---|---|---|
| Autoriteit Persoonsgegevens | 72 uur | Persoonsgegevens gelekt |
| NIS2 autoriteit | 24 uur | Significant incident |
| Politie | Z.s.m. | Bij criminaliteit |
Klanten
| Ernst | Notificatie |
|---|---|
| Sev1 met klant impact | Onmiddellijk |
| Sev2 met klant data | < 24 uur |
| Sev3 relevant | Post-incident rapport |
Template Klantnotificatie
Onderwerp: Security Incident Notificatie - [Korte beschrijving]
Geachte [Klant],
Op [datum] hebben wij een security incident gedetecteerd dat [impact beschrijving].
Wat is er gebeurd:
[Beschrijving]
Welke maatregelen zijn genomen:
[Acties]
Wat betekent dit voor u:
[Impact en aanbevelingen]
Volgende stappen:
[Wat we gaan doen]
Voor vragen kunt u contact opnemen met [contact].
Met vriendelijke groet,
Noveu Security Team
Contacten
Intern
| Rol | Contact | Bereikbaarheid |
|---|---|---|
| Security Lead | [naam] | 24x7 |
| CTO | [naam] | Escalatie |
| Legal | [naam] | Werkdagen |
Extern
| Partij | Type | Contact |
|---|---|---|
| Autoriteit Persoonsgegevens | Toezichthouder | meldplicht@autoriteitpersoonsgegevens.nl |
| NCSC | Security | cert@ncsc.nl |
| Forensic Partner | Onderzoek | [partner] |
| Legal Counsel | Juridisch | [advocaat] |
Laatste update: Januari 2026
Review: Jaarlijks of na major incident
Vragen over dit document?
Neem contact op voor implementatie advies of een persoonlijke demo.