Gemiddeld zijn aanvallers 140 dagen aanwezig in een netwerk voordat ze worden opgemerkt. In zestig procent van de gevallen is volgens Microsoft de inbraak te herleiden naar buitgemaakte credentials. De meeste aanvallen gaan in zes stappen, hoewel het belangrijk is in het achterhoofd te houden dat deze niet chronologisch worden uitgevoerd, maar gelijktijdig.

Aanvallen die over meerdere facetten worden uitgevoerd komen veel voor, dus al je een robuust reactieplan hebt, moet dat rekening houden met al deze stappen. Je dient vooral te vermijden om te vlug conclusies te trekken. Het gaat niet alleen om het implementeren van de nieuwste middelen en tools, bewustwording is essentieel: cybersecurity is maar zo sterk als de zwakste schakel en dat is vaak de eindgebruiker.

1. Onderzoeksfase

Iedere aanval begint met een verkenningsmissie waarin je tegenstander informatie over je verzamelt, maar deze fase loopt door gedurende de hele looptijd van de aanval. Hoe meer gegevens ze verzamelen over hoe je netwerk in elkaar steekt en wat de zwakke plekken daarom zijn, hoe groter de kans is dat ze met succes binnenkomen.

In veel gevallen gaat dat in eerste instantie om social engineering; zeg maar gerust oplichting waarbij informatie wordt ontfutseld van je werknemers. Bijvoorbeeld als iemand zich voordoet als een werknemer met informatie gekregen via een openbare bron als LinkedIn en de servicedesk belt om subtiel informatie te vergaren over welke software of hardware wordt gebruikt.

Een hoop van de gegevens die verder worden gebruikt, bijvoorbeeld wat voor servers en databases in bedrijf zijn en hoe ze gekoppeld zijn, vinden ze als ze eenmaal binnen zijn op het netwerk. Dus een deel van de onderzoeksfase wordt later nog uitgevoerd. Deze stap is dan ook een duidelijk voorbeeld van een aspect dat doorloopt gedurende de hele aanval.