Opsporen van infecties binnen instellingen

Onderwijs- en onderzoeksinstellingen ontvangen regelmatig meldingen van malware of verdachte netwerkactiviteiten. Deze meldingen komen vaak voort uit analyses van netwerkverkeer, zoals data van botnets, sinkholes of honeypots. Omdat de bron van een infectie vaak wordt herleid tot een publiek IP-adres van de instelling, kan het lastig zijn om het daadwerkelijke geïnfecteerde systeem binnen het netwerk te vinden. Vooral in Bring Your Own Device (BYOD)-omgevingen is dit een uitdaging, doordat apparaten dynamisch aan en af worden gemeld.

Om instellingen te helpen bij het onderzoeken en opsporen van infecties, hebben we de handreiking 'Identificeren Infecties' ontwikkeld. Deze handreiking biedt een overzicht van methoden en hulpmiddelen om meldingen effectief te onderzoeken en geïnfecteerde systemen te lokaliseren.

Wat biedt deze handreiking?

De handreiking richt zich op meldingen die voortkomen uit netwerkverkeeranalyse en behandelt:

  • Benodigde informatie: Welke gegevens (zoals bron-IP, doel-IP en tijdstip) nodig zijn voor effectief onderzoek.
  • Startpunten: Hoe meldingen met bron-IP's een uitgangspunt vormen voor verder onderzoek.
  • Inzet van logbronnen: Het gebruik van firewall-, DNS-, EDR- en DHCP-logs om verdacht gedrag te analyseren.
  • Voorbeeldqueries: Queries in SPL (Splunk) en KQL (Sentinel) om specifieke datapunten op te sporen.
  • Traceren van gebruikers: Hoe authenticatielogs kunnen bijdragen aan het identificeren van betrokken gebruikers.

De handreiking sluit aan bij bestaande kaders en frameworks zoals de SURF Security Baseline en het SURFaudit toetsingskader. Hiermee biedt het een solide basis voor instellingen om meldingen effectief te verwerken en de weerbaarheid tegen cyberdreigingen te vergroten.

Direct aan de slag

Wil je direct aan de slag met het opsporen van infecties en het verbeteren van je incidentrespons? Download dan de handreiking 'Identificeren Infecties' en volg de stappen om meldingen effectief te onderzoeken en geïnfecteerde systemen snel te lokaliseren.

Download hier de handreiking

Gerelateerde artikelen

Cyberweerbaarheid en SURF-diensten

Hoe zorg je voor een veilige digitale werk- en leeromgeving? SURF helpt – onder andere – door diensten aan te bieden die jouw instelling veilig houden. Per SURF-dienst is aangegeven...

Een norm voor de vorm?

Wat dragen normen bij aan de informatiebeveiliging in onze sector? Hoe kijken we naar deze normen? Moeten er meer regels bij of is er juist behoefte aan iets anders? In...