Quarantaine
VerdedigingSituatie waarin een apparaat of documenten worden geïsoleerd van andere apparaten of documenten. Dit kan bijvoorbeeld doordat een firewall een apparaat netwerktoegang ontzegt, of doordat security tooling op een apparaat geïnstrueerd wordt om de netwerktoegang van dat apparaat uit te schakelen of te beperken. Quarantaine wordt toegepast wanneer bijvoorbeeld een malware-dreiging met risico op verspreiding wordt aangetroffen op een apparaat: in afwachting van onderzoek wordt het apparaat in quarantaine geplaatst om verspreiding van de dreiging te voorkomen.
Quarantaine in cybersecurity is het isoleren van verdachte of besmette bestanden, processen of systemen om te voorkomen dat een dreiging zich verder verspreidt. Net als in de medische wereld gaat het om het afzonderen van iets potentieel gevaarlijks totdat je hebt vastgesteld of het daadwerkelijk kwaadaardig is. Antivirussoftware verplaatst verdachte bestanden naar een afgesloten quarantainemap waar ze niet kunnen worden uitgevoerd. Op netwerkniveau betekent quarantaine dat een besmet systeem wordt losgekoppeld van het bedrijfsnetwerk om laterale verspreiding van malware te stoppen.
Het concept quarantaine is fundamenteel voor een effectieve beveiligingsstrategie. Het overbrugt de tijd tussen detectie en analyse: je neutraliseert de dreiging onmiddellijk zonder deze definitief te verwijderen. Dat geeft je beveiligingsteam de mogelijkheid om te onderzoeken wat er precies is gedetecteerd, of het een daadwerkelijke dreiging of een vals positief betreft en welke vervolgacties nodig zijn. In een wereld waar snelheid van response het verschil maakt tussen een beperkt incident en een volledige breach, is effectieve quarantaine onmisbaar.
Hoe werkt quarantaine?
Quarantaine werkt op meerdere niveaus binnen je beveiligingsarchitectuur. Op bestandsniveau detecteert antivirussoftware of een EDR-oplossing een verdacht bestand via signature-matching, heuristische analyse of gedragsdetectie. In plaats van het bestand direct te verwijderen, verplaatst de software het naar een beveiligde quarantainemap. Het bestand wordt versleuteld opgeslagen en de bestandspermissies worden zo ingesteld dat het niet per ongeluk kan worden geopend of uitgevoerd. De oorspronkelijke locatie en metadata worden bewaard zodat het bestand kan worden hersteld als het een vals positief blijkt.
Op eindpuntniveau kan een EDR-systeem een volledig werkstation in quarantaine plaatsen. Dit heet network containment of host isolation. Het apparaat behoudt zijn netwerkverbinding naar de EDR-managementconsole voor remote analyse en remediatie, maar alle overige netwerktoegang wordt geblokkeerd. De gebruiker kan niet meer bij internet, interne applicaties of gedeelde schijven. Dit stelt analisten in staat om het incident te onderzoeken terwijl de dreiging geisoleerd blijft en zich niet kan verspreiden naar andere systemen.
Op netwerkniveau werken Network Access Control (NAC)-systemen met quarantaine-VLAN's. Een apparaat dat niet voldoet aan het beveiligingsbeleid, bijvoorbeeld door ontbrekende patches, verlopen antivirusdefinities of het ontbreken van vereiste beveiligingssoftware, wordt automatisch in een apart VLAN geplaatst met beperkte toegang. In dit quarantaine-VLAN heeft het apparaat alleen toegang tot updateservers en het beveiligingsplatform. Pas na remediatie en een succesvolle hercontrole krijgt het apparaat weer volledige netwerktoegang.
E-mailbeveiligingsoplossingen gebruiken quarantaine voor verdachte berichten. E-mails met potentieel kwaadaardige bijlagen, verdachte links of kenmerken van phishing worden vastgehouden in een quarantainewachtrij. Een beheerder, of in sommige configuraties de eindgebruiker zelf, kan berichten reviewen en vrijgeven of definitief verwijderen. Dit voorkomt dat kwaadaardige content de inbox bereikt zonder dat legitieme e-mails verloren gaan.
Hoe implementeer je quarantaine?
Effectieve quarantaine vereist geintegreerde tooling en duidelijke procedures. Zorg dat je endpoint security-oplossing automatische quarantaine ondersteunt en configureer de drempels: bij welke detectiezekerheid wordt een bestand automatisch gequarantaineerd en wanneer is handmatige beoordeling nodig? Te lage drempels leiden tot veel vals positieven en gebruiksfrustratie, te hoge drempels laten echte dreigingen door.
Richt quarantaine-VLAN's in voor netwerkniveau-isolatie. Definieer welke minimale connectiviteit een gequarantaineerd systeem behoudt. Documenteer het quarantaineproces als onderdeel van je incident response-plan, inclusief escalatiepaden en communicatieprotocollen. Zorg dat het quarantainebeleid aansluit op je bredere beveiligingsarchitectuur en dat quarantaine-acties centraal worden gelogd in je SIEM.
Train je SOC-team en IT-helpdesk in het quarantaineproces. Wie mag een systeem in quarantaine plaatsen? Wat zijn de stappen om een vals positief te beoordelen en een bestand of systeem vrij te geven? Hoe communiceer je met de getroffen gebruiker? Snelheid is kritiek: hoe sneller je isoleert, hoe kleiner de mogelijke schade. Maar zorgvuldigheid is ook belangrijk: een onterecht gequarantaineerd systeem kan bedrijfsprocessen verstoren.
Integreer quarantaine met je SOAR-platform (Security Orchestration, Automation and Response) voor geautomatiseerde workflows. Bij detectie van een bekende ransomware-variant kan het SOAR-platform automatisch het getroffen eindpunt isoleren, het SOC-team alarmeren en forensische data verzamelen, alles binnen seconden en zonder menselijke tussenkomst.
Best practices voor quarantaine
Automatiseer quarantaine-acties voor bekende dreigingen met hoge betrouwbaarheid. Als je EDR een bevestigde ransomware-variant detecteert, moet isolatie binnen seconden plaatsvinden zonder te wachten op handmatige goedkeuring. Voor minder zekere detecties hanteer je een getrapte aanpak met menselijke beoordeling om vals positieven te minimaliseren.
Bewaar gequarantaineerde bestanden voor een vastgestelde periode voor forensisch onderzoek. Verwijder ze niet direct, want ze kunnen waardevolle informatie bevatten over de aanvalsvector, de gebruikte technieken en mogelijke indicators of compromise (IOC's). Log alle quarantaine-acties centraal in je SIEM voor auditdoeleinden en compliance-rapportages.
Test je quarantaineprocedures regelmatig. Simuleer scenario's waarbij een werkstation geisoleerd moet worden en meet de responstijd van detectie tot isolatie. Evalueer of de communicatie naar de getroffen gebruiker helder en tijdig is. Zorg dat er een fallback-procedure bestaat voor situaties waarin automatische quarantaine faalt, bijvoorbeeld bij een niet-reagerend eindpunt of een netwerkconfiguratiefout.
Houd rekening met de gebruikerservaring. Een gequarantaineerd werkstation betekent dat een medewerker niet kan werken. Zorg voor snelle analyse en vrijgave van vals positieven, en bied indien mogelijk een vervangend werkstation aan. Communiceer transparant over wat er is gedetecteerd en welke stappen worden ondernomen. Goede communicatie voorkomt dat gebruikers quarantainemaatregelen gaan omzeilen.
Documenteer de resultaten van quarantaine-analyses in een kennisdatabase. Welke bestandstypes worden het vaakst gequarantaineerd? Welk percentage blijkt vals positief? Welke detectieregels genereren de meeste onnodige quarantaine-acties? Deze data helpt bij het finetunen van detectiedrempels. De evolutie van quarantainetechnologie gaat richting geautomatiseerde detonatie: verdachte bestanden worden automatisch in een sandbox uitgevoerd om hun gedrag te analyseren voordat een definitief quarantaine-verdict wordt geveld, wat de nauwkeurigheid van de detectie verhoogt.
Veelgestelde vragen over quarantaine
Wat is het verschil tussen quarantaine en verwijderen?
Bij quarantaine wordt een bestand geisoleerd maar bewaard voor analyse en mogelijk herstel. Bij verwijderen is het bestand definitief weg. Quarantaine is veiliger omdat je vals positieven kunt herstellen en forensisch onderzoek kunt uitvoeren op het geisoleerde bestand.
Kan een gequarantaineerd bestand nog schade aanrichten?
Nee, een correct gequarantaineerd bestand is versleuteld en kan niet worden uitgevoerd of geopend door gebruikers of processen. Het is effectief geneutraliseerd zolang het in quarantaine blijft. Pas bij handmatige vrijgave door een beheerder wordt het weer actief.
Hoe lang bewaar je bestanden in quarantaine?
De meeste organisaties hanteren een bewaartermijn van 30 tot 90 dagen. Na die periode worden gequarantaineerde bestanden automatisch verwijderd. Voor forensisch waardevolle bestanden of lopende incidentonderzoeken kun je een langere bewaartermijn instellen.
Wat is network containment?
Network containment is het isoleren van een volledig eindpunt op netwerkniveau via je EDR-platform. Het apparaat verliest alle netwerkconnectiviteit behalve naar de beveiligingsmanagementconsole. Dit stopt laterale verspreiding terwijl remote analyse en remediatie mogelijk blijven.
Werkt quarantaine ook voor e-mail?
Ja, e-mailbeveiligingsoplossingen plaatsen verdachte berichten in een quarantainewachtrij. Beheerders of eindgebruikers kunnen berichten reviewen en vrijgeven of verwijderen. Dit voorkomt dat kwaadaardige bijlagen of phishing-links de inbox bereiken zonder dat legitieme mail verloren gaat.
Implementeer snelle isolatie bij dreigingen. Vergelijk Endpoint Detection & Response (EDR) aanbieders op IBgidsNL.