SpySecure® | Kennisbank

Case: EDR voorkomt datalek bij zorginstelling na verdachte netwerkactiviteit

Geschreven door Security Operations Center | Mar 21, 2025 4:00:00 PM

Sommige cyberaanvallen verlopen ongemerkt — tot het te laat is. Dankzij een actieve EDR-oplossing werd bij een zorginstelling een aanval in een vroeg stadium ontdekt en gestopt. In deze case beschrijven we wat er gebeurde, hoe EDR het verschil maakte en welke lessen hieruit te trekken zijn voor andere organisaties in de zorg.

Wat gebeurde er?

Bij een middelgrote zorginstelling kreeg een IT-beheerder via het EDR-dashboard een automatische melding: een werkstation probeerde buiten werktijd verbinding te maken met een onbekende server in het buitenland. Dit gebeurde via een ongebruikelijke poort die normaal niet wordt gebruikt in de organisatie.


De aanval: onzichtbaar en stil

De werkplek was op het eerste gezicht schoon: geen antivirusmelding, geen klachten van gebruikers. Toch bleek via EDR dat er op de achtergrond een PowerShell-script draaide dat opdrachten uitvoerde vanaf een externe command & control-server.

Waarschijnlijk was er eerder via een phishingmail toegang verkregen. De aanvallers hadden nog geen encryptie gestart, maar verzamelden rustig systeem- en gebruikersinformatie — een klassieke ‘reconnaissance-fase’ van een grotere aanval.


Waarom werd dit niet eerder gezien?

  • Antivirussoftware gaf geen waarschuwing: het gedrag was technisch legitiem
  • Er was geen SIEM of netwerkbewaking actief op deze specifieke werkplek
  • Het proces draaide buiten kantooruren, zonder zichtbare symptomen
  • Er was geen limiet op uitgaande connecties naar onbekende IP’s


Hoe is dit opgelost?

De EDR-oplossing sloeg automatisch alarm en onderbrak de verbinding. Vervolgens hebben we samen met de klant het incident onderzocht en verdere schade voorkomen.

  • Betreffend apparaat direct geïsoleerd van het netwerk
  • Volledige forensische analyse uitgevoerd via de EDR-logs
  • Vergelijkbare signalen gecheckt op andere endpoints 
  • Gebruikersrechten aangepast volgens het least privilege-principe
  • Netwerksegmentatie aangescherpt om laterale beweging te beperken
  • Medewerkers op betreffende afdeling opnieuw getraind in phishing herkenning en anti-phishing service ingesteld
  • Nieuwe meldingsprocedures en interne communicatieprotocollen ingevoerd

🛡️ Wat is EDR, MDR en CDR?

  • EDR (Endpoint Detection & Response) detecteert en analyseert afwijkend gedrag op apparaten zoals laptops en servers.
  • MDR (Managed Detection & Response) is een dienst waarbij onze specialisten continu meekijken en reageren op verdachte signalen.
  • CDR (Cloud Detection & Response) doet hetzelfde voor cloudomgevingen, zoals Microsoft 365 of Google Workspace, en bewaakt logins, sessies en data-activiteit.

In combinatie bieden deze oplossingen zicht én grip op moderne cyberaanvallen — vaak vóórdat er schade is.


Wat kunt u hiervan leren?

Deze aanval was subtiel, technisch slim en werd niet door traditionele beveiliging opgemerkt. Zonder EDR had de aanval waarschijnlijk kunnen uitgroeien tot een ransomware-incident of datalek — met alle gevolgen voor patiëntgegevens en bedrijfscontinuïteit van dien.

Voorkom dit met moderne detectiemiddelen:
  • Gebruik EDR op alle endpoints — niet alleen servers
  • Laat signalen actief monitoren door een Security Operations Center (SOC) - ofwel MDR
  • Zorg voor segmentatie en toegang op basis van noodzaak (least privilege)
  • Train medewerkers periodiek in herkenning van phishing
  • Gebruik email spam-en phishing filtering
  • Combineer techniek, bewustwording en responsplan tot één geheel


Conclusie

EDR is geen luxe — het is noodzaak voor organisaties die digitale veiligheid serieus nemen. Deze case laat zien hoe vroegtijdige detectie het verschil kan maken tussen een incident en een crisis. Neem gerust contact met ons op als u wilt weten hoe dit ook bij uw organisatie ingericht kan worden.
Volledig bericht weergeven