In het geval van een incident of sterk vermoeden van een incident, raden wij u aan de volgende acties te uit voeren:
- Isoleer of ontkoppel het apparaat van het netwerk. Hiermee voorkomt u verdere verspreiding van malware of aanvallen door uw netwerk.
- Indien u forensisch IT-onderzoek wil laten uitvoeren na een incident en daar zelf onvoldoende in thuis bent, neem dan vooraf contact op met een organisatie die daarin gespecialiseerd is. Vraag hen hoe te handelen bij een incident en op welke manier digitale sporen veilig gesteld moeten worden. Richt daar uw incidentprocedure op in.
- Op een gevirtualiseerde omgeving kunt u het getroffen systeem klonen en pauzeren om het geheugen van het getroffen systeem veilig te stellen. Vergeet daarbij niet het hostsysteem te isoleren.
- Stel logbestanden veilig die het onderzoek verder kunnen helpen. Denk hierbij aan: netwerk- en systeemlogs. Log de handelingen die u op het getroffen systeem hebt uitgevoerd.
- Noteer alle waarnemingen, verrichte handelingen en acties in een logboek.
- Reset wachtwoorden en andere vormen van authenticatie voor administrator en andere systeem- of services-accounts.