Incident Response

Incident response (hændelseshåndtering) er den systematiske tilgang til at forberede sig på, detektere, inddæmme, eliminere og genoprette efter cybersikkerhedshændelser. En velplanlagt incident response-proces kan reducere skaden markant og forkorte genoprettelsestiden.

De seks faser (NIST SP 800-61)

1. Forberedelse

Den vigtigste fase, som sker inden hændelsen:

• Opret et Incident Response Team (IRT) med klare roller
• Udvikl og dokumenter en incident response-plan
• Implementer overvågning og logning
• Gennemfør tabletop-øvelser og simulationer
• Etabler kommunikationskanaler og eskaleringsprocedurer

2. Detektion og analyse

Identificer at en hændelse er under opsejling:

• Korrelér alarmer fra SIEM, IDS/IPS og EDR
• Vurder hændelsens alvorlighed og omfang
• Dokumenter alt fra start (tidslinje, beviser, handlinger)
• Klassificer hændelsen (ransomware, databrud, DDoS, osv.)

3. Inddæmning

Begræns skadens omfang:

• Kortsigtet: Isoler berørte systemer, bloker ondsindede IP'er
• Langsigtet: Implementer midlertidige løsninger der tillader drift
• Bevar digitale beviser til efterfølgende forensisk analyse

4. Eliminering

Fjern truslen fuldstændigt:

• Identificer og fjern malware
• Luk de sårbarheder, der blev udnyttet
• Opdater adgangskoder og certifikater
• Patch og hærd berørte systemer

5. Genopretning

Gendan normal drift:

• Gendan systemer fra verificerede backups
• Overvåg intensivt for tegn på fornyet aktivitet
• Bekræft at alle systemer fungerer korrekt
• Kommuniker status til interessenter

6. Lessons Learned

Lær af hændelsen:

• Gennemfør post-mortem inden 14 dage
• Dokumenter hvad der gik godt og hvad der skal forbedres
• Opdater incident response-planen
• Del relevante indicators of compromise (IoC) med branchen

NIS2-indberetningskrav

Under NIS2-direktivet skal væsentlige hændelser indberettes til den relevante myndighed:

• Inden 24 timer: Tidlig advarsel
• Inden 72 timer: Hændelsesnotifikation med vurdering
• Inden 1 måned: Endelig rapport med detaljeret analyse