Cyber Crisis Management

Weet of er al iemand
in je omgeving zit.

Je weet niet altijd of je gehackt bent. De gemiddelde tijd tussen compromittatie en detectie is maanden. Een Compromise Assessment onderzoekt of er nu, of in het recente verleden, ongeautoriseerde toegang was.

Vraag een Compromise Assessment aan 24/7 Incident Hotline

Wat is een Compromise Assessment?

Een Compromise Assessment is een gericht forensisch onderzoek naar indicatoren van compromittatie in je omgeving. Het team zoekt naar verdachte bestanden, onbekende processen, ongebruikelijke netwerkverbindingen, manipulatie van logs, laterale beweging en persistentiemechanismen. Geautomatiseerde scanning en handmatige threat hunting worden gecombineerd. Het beantwoordt de vraag: "Is er al iemand binnen geweest?"

De Dienst

Zoeken naar sporen van aanvallers

Het team zoekt gericht naar indicatoren van compromittatie: verdachte bestanden, onbekende processen, ongebruikelijke netwerkverbindingen, manipulatie van logs, laterale beweging en persistentiemechanismen. Dit gaat verder dan een vulnerability scan: het zoekt naar bewijs van daadwerkelijke aanvallersactiviteit.

Een Compromise Assessment is relevant na een fusie of overname (is de omgeving die je integreert schoon?), na een incident bij een leverancier (zijn wij ook geraakt?), of als periodieke gezondheidscheck voor je omgeving. Ook bij het starten van een nieuw securityprogramma geeft het een objectieve nulmeting.

Het team combineert geautomatiseerde scanning met handmatige threat hunting. Geautomatiseerde tools scannen breed op bekende indicatoren. Handmatige analyse zoekt naar subtielere sporen die tools missen: de geavanceerde aanvaller die zijn sporen netjes opruimt.

Waarom het ertoe doet

Ongedetecteerde compromittatie kost maanden

Aanvallers verblijven gemiddeld maanden onopgemerkt

De gemiddelde verblijftijd van een aanvaller in een omgeving is tientallen dagen tot maanden. In die tijd verkennen ze het netwerk, stelen data en bouwen persistentie op, terwijl standaard detectie niets registreert.
Fusies brengen gecompromitteerde omgevingen mee

Bij fusies en overnames integreer je mogelijk een omgeving die al gecompromitteerd is. Zonder assessment importeer je de dreiging rechtstreeks in je eigen netwerk.
Leveranciersincidenten raken jou indirect

Als een leverancier met toegang tot jouw omgeving een incident heeft, is de kans aanwezig dat aanvallers ook jouw systemen hebben bereikt via die verbinding. Verificatie is noodzakelijk.

Scope

Wat we onderzoeken

Endpoint analyse (malware, backdoors, persistentie)

Netwerkverkeersanalyse (C2-communicatie, data-exfiltratie)

Loganalyse (authenticatie, privilegegebruik, anomalieën)

Active Directory analyse (golden ticket, DCSync, ongeautoriseerde accounts)

Cloud en identity analyse

Dark web check (gelekte credentials, vermeldingen)

Historische IoC-sweep

Malware analyse en reverse engineering

Werkwijze

Hoe een Compromise Assessment verloopt

Scopebepaling

Omgeving, tijdsperiode, aanleiding en prioriteiten. Welke systemen en bronnen worden onderzocht?

Data-verzameling

Deployment van forensische tooling, log-extractie, netwerkmonitoring. Lichte footprint, minimale operationele impact.

Geautomatiseerde analyse

Brede scan op bekende IoC's, bekende malware-signatures en anomalieën in logdata en systeemconfiguraties.

Handmatige threat hunting

Gerichte zoektocht naar subtiele indicatoren die tools missen. Geavanceerde aanvallers laten subtiele maar identificeerbare sporen na.

Rapportage

Bevindingen met risicoclassificatie. Als er iets gevonden wordt: direct incident response activering. Als de omgeving schoon is: gecertificeerde schone status.

Wat Je Ontvangt

Deliverables

Compromise Assessment rapport met bevindingen
Bevindingen met risicoclassificatie (indien van toepassing)
Indicatoren van compromittatie gedocumenteerd
Aanbevelingen voor remediatie en monitoring
Executive samenvatting voor bestuur en directie
Dark web monitoring resultaten
Aanbevelingen voor verbetering van detectiecapaciteit

Voor Wie

Wanneer een Compromise Assessment relevant is

Na een fusie of overname

Je integreert een nieuwe omgeving en wilt zeker weten dat je geen gecompromitteerde systemen meeneemt.

Na een leveranciers- of partnerincident

Een toeleverancier heeft een incident gemeld. Je wilt weten of jouw omgeving ook is geraakt via die verbinding.

Als periodieke gezondheidscheck

Voor organisaties met een hoog risicoprofiel is een jaarlijkse Compromise Assessment een verstandige nulmeting.

Bij de start van een nieuw securityprogramma

Voordat je investeert in nieuwe maatregelen, wil je weten wat de huidige status is. Een objectieve nulmeting.

Veelgestelde Vragen

FAQ

Hoe verschilt een Compromise Assessment van een pentest?

Een pentest zoekt naar kwetsbaarheden die uitgebuit kunnen worden. Een Compromise Assessment zoekt naar bewijs dat kwetsbaarheden al zijn uitgebuit. Het is het verschil tussen "kun je binnenkomen?" en "is er al iemand binnen?" Beide zijn waardevol maar beantwoorden fundamenteel andere vragen.

Hoe lang duurt een Compromise Assessment?

Doorgaans 1 tot 3 weken, afhankelijk van de omvang van de omgeving en de gewenste diepgang. Grotere omgevingen met meer endpoints, clouddiensten en logbronnen vereisen meer tijd voor grondige analyse.

Wat als er iets gevonden wordt tijdens het onderzoek?

Dan wordt direct het incident response proces geactiveerd. Het team schakelt over naar containment en uitgebreid forensisch onderzoek. Je wordt onmiddellijk geïnformeerd. Het assessment kan naadloos overgaan in een volledige Incident Response Service.

Is een Compromise Assessment verstorend voor onze operatie?

Minimaal. De forensische tooling heeft een lichte footprint en de netwerkmonitoring is passief. Medewerkers merken er doorgaans niets van. Het team werkt zorgvuldig om operationele impact te minimaliseren.

Hoe vaak moet een Compromise Assessment worden uitgevoerd?

Bij specifieke triggers (fusie of overname, leveranciersincident, verdacht gedrag, nieuw securityprogramma) altijd. Als periodieke check: jaarlijks voor organisaties met een hoog risicoprofiel. Veel organisaties voeren het uit als nulmeting bij de start van een nieuw securityprogramma.

Incident Response Service

Meer informatie →

Digital Forensics

Meer informatie →

Incident Response Retainer

Meer informatie →

Incident Response Readiness

Meer informatie →