Veel mislukkingen bij de respons op incidenten zijn niet het gevolg van een gebrek aan hulpmiddelen, intelligentie of technische vaardigheden. Ze komen voort uit wat er onmiddellijk na detectie gebeurt, wanneer de druk hoog is en de informatie onvolledig is.
Ik heb IR-teams zien herstellen van geavanceerde inbraken met beperkte telemetrie. Ik heb ook gezien dat teams de controle verloren over onderzoeken die ze hadden moeten kunnen afhandelen. Het verschil verschijnt meestal vroeg. Niet uren later, wanneer tijdlijnen worden gemaakt of rapporten worden geschreven, maar in de eerste momenten nadat een hulpverlener zich realiseert dat er iets mis is.
Die vroege momenten worden vaak omschreven als de eerste 90 seconden. Maar al te letterlijk genomen mist deze framing het punt. Het gaat er niet om sneller te reageren dan een aanvaller of overhaast tot actie over te gaan. Het gaat erom richting te geven voordat aannames verharden en opties verdwijnen.
Hulpverleners nemen meteen stille beslissingen, zoals waar ze eerst naar moeten kijken, wat ze moeten behouden en of ze het probleem moeten behandelen als een enkel systeemprobleem of als het begin van een groter patroon. Zodra die vroege beslissingen zijn genomen, bepalen ze alles wat volgt. Om te begrijpen waarom die keuzes ertoe doen (en ze goed te krijgen) moet je opnieuw nadenken over wat de ‘eerste 90 seconden’ van een echt onderzoek vertegenwoordigen.
De eerste 90 seconden zijn een patroon, geen moment
Een van de meest voorkomende fouten die ik zie is het behandelen van de openingsfase van een onderzoek als één enkele, dramatische gebeurtenis. Het alarm gaat af, de klok start en de hulpverleners gaan er goed mee om of niet. Dat is niet hoe echte incidenten zich ontvouwen.
De “eerste 90 seconden” vinden plaats telkens wanneer de omvang van een inbraak verandert.
U wordt op de hoogte gesteld van een systeem dat mogelijk betrokken is bij een inbraak. Je hebt er toegang toe. Jij beslist wat belangrijk is, wat je wilt behouden en wat dit systeem kan onthullen over de rest van het milieu. Datzelfde beslissingsvenster wordt opnieuw geopend wanneer u een tweede systeem identificeert en vervolgens een derde. Ieder zet de klok terug.
Dit is waar teams zich vaak overweldigd voelen. Ze kijken naar de omvang van hun omgeving en gaan ervan uit dat ze met honderden of duizenden machines tegelijk te maken hebben. In werkelijkheid worden ze geconfronteerd met een veel kleiner aantal systemen tegelijk. De reikwijdte groeit stapsgewijs. De ene machine leidt naar de andere, en dan naar de andere, totdat er een patroon begint te ontstaan.
Sterke hulpverleners vinden hun aanpak niet elke keer opnieuw uit als dat gebeurt. Elke keer dat ze met een nieuw systeem in aanraking komen, passen ze dezelfde vroege discipline toe. Wat werd hier geëxecuteerd? Wanneer is het uitgevoerd? Wat gebeurde er omheen? Wie of wat heeft er mee te maken gehad? Die consistentie zorgt ervoor dat de ruimte kan groeien zonder dat de controle verloren gaat.
Dit is ook de reden waarom vroege beslissingen zo belangrijk zijn. Als hulpverleners het eerste getroffen systeem als een op zichzelf staand probleem beschouwen en het haastig ‘repareren’, sluiten ze een ticket in plaats van een inbraak te onderzoeken. Als ze er niet in slagen de juiste artefacten vroegtijdig te bewaren, besteden ze de rest van het onderzoek aan gissen. Deze fouten kunnen groter worden naarmate de reikwijdte groter wordt.
Hoe onderzoeken worden belemmerd
Wanneer vroege onderzoeken mislukken, is het verleidelijk om training, aarzeling of slechte communicatie de schuld te geven. Deze problemen komen wel naar voren, maar het zijn meestal symptomen en geen hoofdoorzaken. Het meest consistente falen is dat teams hun eigen omgeving niet goed genoeg begrijpen wanneer het incident begint.
Hulpverleners worden onder druk gedwongen basisvragen te beantwoorden. Waar verlaat de data het netwerk? Welke logboekregistratie bestaat er op kritieke systemen? Hoe ver teruggaan de gegevens? Is het bewaard gebleven of overschreven? Die vragen zouden al antwoorden moeten hebben. Als ze dat niet doen, leren hulpverleners uiteindelijk de cruciale componenten van hun omgeving kennen nadat het te laat is.
Dit is de reden waarom het loggen dat na een detectie begint, zo schadelijk is. Voorwaartse zichtbaarheid zonder achterwaartse context beperkt wat kan worden bewezen. Je kunt nog steeds delen van de aanval reconstrueren, maar elke conclusie wordt zwakker. Hiaten veranderen in aannames, en aannames veranderen in fouten.
Een andere veel voorkomende fout is het prioriteren van bewijsmateriaal. In het begin voelt alles belangrijk, dus teams springen tussen artefacten zonder een duidelijk anker. Dat schept activiteit zonder vooruitgang. Bij de meeste onderzoeken is de snelste manier om duidelijkheid te krijgen, het focussen op de situatie bewijs van executie. Er gebeurt niets zinvols op een systeem zonder dat er iets actief is. Malware wordt uitgevoerd. PowerShell wordt uitgevoerd. Native tools worden misbruikt. Het leven van het land laat nog steeds sporen na. Als u begrijpt wat er is uitgevoerd en wanneer, kunt u de intentie, toegang en beweging gaan begrijpen.
Vanaf daar is de context van belang. Dat zou kunnen betekenen welk systeem er rond die tijd werd gebruikt, wie er verbinding had gemaakt met het systeem of waar de activiteit vervolgens naartoe ging. Deze antwoorden bestaan niet op zichzelf. Ze vormen een keten, en die keten wijst naar buiten, de omgeving in.
De laatste mislukking is voortijdige sluiting. In het belang van de tijd vernieuwen teams vaak een systeem, herstellen ze de services en gaan ze verder. Behalve dat onvolledige onderzoeken kleine, onopgemerkte stukjes toegang kunnen achterlaten. Secundaire implantaten. Alternatieve referenties. Stille volharding. Een subtiele indicatie van een compromis komt niet altijd onmiddellijk weer tot leven, waardoor de illusie van succes ontstaat. Als het toch weer de kop opsteekt, voelt het incident nieuw aan, terwijl dat in werkelijkheid niet het geval is. Het is dezelfde die nooit volledig is hersteld.
Bezoek ons op SANS DC Metro 2026
Teams die de openingsmomenten goed kunnen regelen, zorgen ervoor dat lastige onderzoeken beter beheersbaar worden. Effectieve reactie op incidenten gaat over discipline onder onzekerheid, die op dezelfde manier wordt toegepast telkens wanneer een nieuwe inbreuk binnen bereik komt. Het is echter belangrijk om jezelf genade te schenken. Niemand begint hier goed in. Elke hulpverlener die u vandaag vertrouwt, heeft geleerd door fouten te maken en vervolgens te leren hoe u deze de volgende keer niet kunt herhalen.
Het doel is niet om incidenten geheel te vermijden. Dat is onrealistisch. Het doel is om onder stress repetitieve fouten te voorkomen. Dat gebeurt alleen als teams voorbereid zijn voordat een incident het probleem oplegt. Want als ze hun omgeving begrijpen, kunnen ze oefenen met het identificeren van de uitvoering, het bewaren van bewijsmateriaal en het doelbewust uitbreiden van de reikwijdte, terwijl de inzet nog laag is.
Wanneer onderzoeken met dat niveau van discipline worden afgehandeld, voelen de eerste negentig seconden eerder vertrouwd dan hectisch. Er worden dezelfde vragen gesteld en dezelfde prioriteiten zijn leidend bij het werk. Die consistentie zorgt ervoor dat teams later sneller kunnen handelen, met vertrouwen in plaats van met giswerk.
Voor hulpverleners die deze uitdagingen ervaren in hun eigen onderzoeken, is dit precies de mentaliteit en methodologie die wordt onderwezen in onze SANS FOR508: Advanced Incident Response, Threat Hunting en Digital Forensics-les. Ik ga FOR508 lesgeven op SANS DC Metro op 2-7 maart 2026, voor teams die deze discipline willen beoefenen en inzichten in actie willen omzetten.
Opmerking: dit artikel is vakkundig geschreven en bijgedragen door Eric Zimmerman, hoofdinstructeur bij het SANS Institute.
