Militaire cyber-incidentrespons opereert onder omstandigheden die geen equivalent hebben in commercieel IR. Vereisten voor classificatiebeheer betekenen dat elk artefact dat tijdens het onderzoek wordt gegenereerd — geheugenduмps, logexports, netwerkopnames, analistennotities — als geclassificeerd materiaal moet worden behandeld als het afkomstig is van een geclassificeerd netwerk. Vereisten voor operationele continuïteit betekenen dat de standaard commerciële IR-actie "onmiddellijk isoleren" vaak niet beschikbaar is: een gecompromitteerd systeem dat actief een missie ondersteunt, kan niet zomaar offline worden gehaald. En vereisten voor rapportage in de commandoketen betekenen dat het incident via gedefinieerde militaire kanalen binnen gedefinieerde tijdlijnen moet worden geëscaleerd.

Dit artikel biedt een volledig IR-playbook voor militaire en defensieomgevingen — van alerttriage en initiële indamming tot forensische verzameling, dreigingsattributie, herstel en verplichte rapportage.

Militaire IR-beperkingen: classificatie, continuïteit en commandoketen

Classificatiebeheer betekent dat forensische artefacten van een geclassificeerd netwerk geclassificeerd zijn op het niveau van het bronsysteem. Een geheugeндump van een SECRET-werkstation is een SECRET-artefact. Het moet worden opgeslagen op SECRET-geaccrediteerde media, geanalyseerd op een SECRET-geaccrediteerd werkstation, alleen via goedgekeurde SECRET-kanalen worden verzonden en worden vernietigd overeenkomstig classificatievernietigingsvereisten.

Operationele continuïteit betekent dat het IR-team niet eenzijdig kan beslissen om systemen offline te halen. Het commandogezag moet deel uitmaken van de indammingsbeslissing. De rol van het IR-team is technische opties presenteren met eerlijke risicobeoordeling en elke beslissing die het commandogezag neemt ondersteunen.

Detectie: SIEM-alerttriage voor militaire netwerken

Effectieve detectie in militaire netwerkomgevingen hangt af van afgestemde SIEM-correlatieregels die rekening houden met de specifieke verkeerspatronen van militaire systemen — en die OT/ICS-protocolanomalieën als eerste klasse-indicatoren behandelen naast IT-inbraaksignalen.

Hoog-betrouwbaarheidsinbraaksindicatoren voor militaire IT-netwerken omvatten: laterale bewegingshandtekeningen (Pass-the-Hash, Kerberoasting met ongewoon hoog aantal Event ID 4769-gebeurtenissen met coderingstype 0x17), beaconingpatronen in proxy- en DNS-logs, privilegeëscalatie via servicecreatieonderdeel (Event ID 7045).

Initiële respons: isolatie zonder verstoring van missie-kritieke systemen

Indammingsopties voor missie-kritieke systemen die niet offline kunnen worden gehaald omvatten: VLAN-hertoewijzing, firewallACL-wijzigingen die al het verkeer behalve missievereiste stromen blokkeren, en traffic shaping. Voor OT/ICS-systemen kunnen unidirectionele beveiligingsgateways (datadio's) eenrichtingsgegevensstromen afdwingen.

Dreigingsattributie: APT-TTP's en MITRE ATT&CK voor ICS

De drie voor verdedigers van militaire netwerken meest relevante APT-groepen zijn APT28 (Fancy Bear, Russische GRU), APT29 (Cozy Bear, Russische SVR) en APT41. APT28 wordt gekenmerkt door spearphishing met credential-harvesting documenten en living-off-the-land uitvoering via PowerShell en WMI. APT29 staat bekend om supply-chain compromittering (SolarWinds-stijl), low-and-slow persistentie via legitieme clouddiensten en stealthy LDAP-verkenning. APT41 combineert staatsspionage met financieel gemotiveerde inbraken en staat bekend om firmware-persistentie op netwerkapparaten.

MITRE ATT&CK voor ICS dekt OT-omgevingsspecifieke technieken: Inhibit Response Function (T0838), Manipulate Control (T0831), Damage to Property (T0879) en Loss of Safety (T0880) — gevolgen zonder equivalent in IT-incidentrespons.

Indammingsstrategieën: segmentatie, credential-rotatie, firmware-reflash

Noodcredential-rotatie is vereist wanneer bewijs aangeeft dat credentials zijn gestolen. De volgorde: het krbtgt-accountwachtwoord twee keer resetten (met vertraging tussen resets), alle service- en bevoorrechte accountwachtwoorden roteren, alle actieve sessies ongeldig maken en herverificatie van alle gebruikers afdwingen.

Herstel en hardening: schone reimaging en STIG-hervalidatie

Na reimaging van een geverifieerde basisafbeelding wordt STIG-naleving hervalideerd met DISA's SCAP Compliance Checker (SCC) of een equivalent goedgekeurd hulpmiddel. Alle bevindingen moeten worden verholpen en gedocumenteerd voordat het systeem wordt teruggebracht naar productie. Post-incident STIG-hervalidatie activeert doorgaans ook een nieuwe ATO-beoordeling.

Rapportage: CISA, NAVO NCIRC en publieke openbaarmaking

US DoD-aannemers zijn verplicht cyberincidenten te melden aan DC3 binnen 72 uur na ontdekking onder DFARS 252.204-7012. Amerikaanse federale agentschappen rapporteren aan CISA onder FISMA en CIRCIA. NAVO-incidenten die NAVO-CIS betreffen, worden gemeld aan NCIRC onder het NAVO CIS Incident Management Policy.

Kernbevinding: De meest voorkomende kloof in militaire cyber-incidentrespons is niet de beschikbaarheid van tools — het is het beoefende proces. De afweging tussen indamming en continuïteit, het rapportagritme in de commandoketen en de geclassificeerde forensische verwerkingsprocedures vereisen vooraf vastgestelde overeenkomsten en geoefende workflows. Een gedocumenteerd en beoefend IR-playbook — jaarlijks getest op realistische scenario's — is de investering met de hoogste ROI in cyber-incidentresponsiecapaciteit.