INCIDENT RESPONSE LAB

// Wat is PICERL?

PICERL is een wereldwijd gebruikt incident-response model met 6 fasen. Je doorloopt ze in volgorde. Overslaan leidt bijna altijd tot terugkerende incidenten.

• Preparation: playbooks, backups, training, tooling vóór er iets misgaat.
• Identification: vaststellen dat er iets aan de hand is en hoe groot het is.
• Containment: het lek dichtenisolatie via VLAN-quarantine, NAC, of fysiek loskoppelen zodat de schade niet groter wordt.
• Eradication: de oorzaak en alle resten verwijderen (malware, backdoors, persistence).
• Recovery: gecontroleerd terug in productie, met extra monitoring.
• Lessons Learned: wat ging goed, wat moet beter, playbook bijwerken.

// Eerste 24 uur: wat ECHT belangrijk is

• Niet uitzetten van geïnfecteerde machines, je verliest bewijs in het geheugenvolatile memory / RAM-artifacts incl. encryptiesleutels.
• Wel isoleren (netwerkkabel eruit, Wi-Fi uit, of VLAN-quarantine).
• Begin meteen een tijdlijn: tijd, host, actie, wie deed het.
• Schakel offline backups in. Verbreek de verbinding zodat ransomware ze niet meeneemt.
• Reset wachtwoorden van beheerdersprivileged accounts: Domain Admin, service accounts, KRBTGT (2x).
• Verzamel Indicators of Compromise (IoC's): IP's, hashes, bestandsnamen.

// Wie informeer je?

• Intern: management, IT, juridisch, communicatie, HR.
• DPO (Data Protection Officer): als er persoonsgegevens betrokken zijn.
• Autoriteit Persoonsgegevens (AP): binnen 72 uur bij datalek (AVG).
• Klanten / betrokkenen: als hun gegevens zijn geraakt.
• Politie (Team High Tech Crime) en eventueel NCSC.
• Cyberverzekeraar: vaak verplicht om dekking te behouden.
• Géén losgeld betalen zonder overleg met juridisch, verzekeraar en opsporing.