Wat is Forensics?
Forensics (digitale forensische analyse) is het proces waarbij gegevens uit systemen worden verzameld, onderzocht en geanalyseerd om de oorzaak, omvang en impact van een cyberincident vast te stellen.
In OT-omgevingen helpt forensics bij het reconstrueren van aanvallen, foutanalyses en sabotageonderzoek, vaak in productieomgevingen waar beschikbaarheid cruciaal is.
🧠 Hoe werkt Forensics?
- Data-acquisitie – veilig kopiëren van relevante systemen, geheugen, netwerksessies of logbestanden zonder de originele data te wijzigen
- Analyse – zoeken naar sporen van:
- Malware of onbekende processen
- Verdachte netwerkactiviteit (bijv. ARP-poisoning, command-and-control)
- Logins buiten werktijden, configuratiewijzigingen, code-updates
- Correlatie – verbanden leggen tussen gebeurtenissen op meerdere systemen of lagen (IT ↔ OT)
- Rapportage – overzicht maken van de aanval, wie/waar/wanneer/hoe, en aanbevelingen doen voor herstel
Forensics maakt gebruik van tooling zoals Wireshark, FTK, EnCase, Volatility, en SIEM-logs.
🏭 Toepassing van Forensics in industriële netwerken
- Analyse van sabotage of foutieve downloads naar PLC of HMI
- Onderzoek naar ongewenste codewijzigingen op een Engineering Station
- Uitlezen van netwerkverkeer tussen OT-componenten tijdens een incident
- Detectie van persistentie door backdoors in SCADA-systemen
- Vastleggen van forensisch bewijs na ransomware in de OT-zone
In OT moet forensisch onderzoek non-invasief zijn om productie niet te verstoren.
🔍 Forensics vs. Incident Response
| Aspect | Forensics | Incident Response |
|---|---|---|
| Doel | Analyseren, reconstrueren, bewijsgaring | Stoppen van aanval, beperken schade, herstel |
| Timing | Vaak na het incident | Tijdens en kort na incident |
| Output | Gedetailleerd rapport, mogelijk juridisch bruikbaar | Operationele aanbevelingen, lessons learned |
| Toepassing in OT | Analyse van oorzaak zonder operatie te beïnvloeden | Onderdrukking van verdere verstoring |
🔐 Beveiligingsaspecten
- Behoud van integriteit en chain of custody is cruciaal (juridisch bewijs)
- OT-forensics vereist kennis van industriële protocollen (zoals Modbus, OPC UA, GOOSE)
- Combineer met Threat Intelligence, TTP’s en MITRE ATT&CK for ICS voor context
- Integreer met SIEM, SOAR, en Incident Response-processen
- Tools moeten read-only of passief werken in OT-netwerken
Forensics in OT vereist nauwe samenwerking tussen IT, OT en beveiligingsteams.
📌 Samengevat
Forensics is essentieel voor het reconstrueren en begrijpen van Cyberincidenten in OT-omgevingen, en vormt de basis voor verbeteringen in je beveiligingsstrategie. Door forensische technieken slim toe te passen, ontdek je root causes, vermijd je herhaling en versterk je je verdediging.