Duw op enter om te zoeken

Hoe back-ups je kunnen beschermen tegen Ransomware

Author Avatar
Dirk Slechten
Executive System Engineer, EASI

Cybercriminaliteit komt nu steeds vaker voor. Net als bij COVID-19 moeten we leren leven met cybercriminaliteit, de nodige voorzorgsmaatregelen nemen en onszelf zo goed mogelijk beschermen.

We hebben al veel maatregelen genomen: vaccinatie, het dragen van een mondmasker en een afstand van 1,5 meter bewaren. Maar deze maatregelen werken het best wanneer ze worden gecombineerd.

Wat is de enige maatregel die op korte termijn een verschil zal maken? De snelste en eenvoudigste manier om het virus te bestrijden lijkt, statistisch gezien, vaccinatie te zijn.

Je denkt nu vast al: "Kunnen we ons ook immuun maken tegen cybercriminaliteit?" Misschien kunnen we dat...

Eerste verdedigingslinie

Bedrijven moeten hun back-upplatforms en -processen evalueren. Op die manier kunnen ze ervoor zorgen dat ze in staat zijn om te herstellen van een ransomware-aanval.

Back-ups zijn niet de enige aanpak om je bedrijf te verdedigen tegen ransomware-aanvallen. Maar ze zijn wel een essentieel onderdeel van het herstelproces. In feite zijn ze de laatste verdedigingslinie.

De eerste verdedigingslinie is het vroegtijdig detecteren van verdacht gedrag. Dit wordt meestal gedaan door antivirus en malware end-point agents. Bewustmaking van de gebruiker, zoals het dragen van een mondmasker en 1,5 m afstand houden van anderen om besmetting met COVID-19 te voorkomen, is hier een ander voorbeeld van.

Net als een virus dat muteert, is ransomware geraffineerder geworden. Recente ontwikkelingen in ransomware omvatten het slechts gedeeltelijk versleutelen van bestanden om veiligheidsmaatregelen te omzeilen. Het versleutelt niet het begin van het bestand; in plaats daarvan verandert het elke 16 bytes.

Back-up als snelle overwinning tegen cybercriminaliteit

Het aantal succesvolle ransomware-aanvallen blijft toenemen. Het is dan ook duidelijk dat alleen vertrouwen op detectie niet genoeg is om uw bedrijf veilig te houden.

Een "oorlogsschip" is een andere metafoor die we kunnen gebruiken. Back-ups zijn vergelijkbaar met de reddingsboot van een schip. En micro-segmentatie is vergelijkbaar met de compartimentering van een schip.

Als een schip maar één compartiment heeft, is het bijna zeker dat het zinkt. Wanneer een gecompartimenteerd schip schade oploopt, kan het meestal een haven bereiken voor reparatie.

Om ervoor te zorgen dat herstel onmogelijk is, worden back-ups het primaire doelwit van ransomware. Het enige alternatief is het betalen van het losgeld.

Een goed ontwerp is noodzakelijk om ervoor te zorgen dat je back-ups beschermd en bruikbaar zijn.

De reddingsboot (lees Disaster Recovery Plan) van een bedrijf moet snel zijn, grondig worden getest en zo snel mogelijk kunnen worden hersteld om de schade te beperken. Hoe langer een bedrijf offline is, hoe meer geld, consumenten, reputatie en andere activa het verliest.

Wat je in gedachten moet houden voor de implementatie

Bij het ontwikkelen van een back-up- en herstelplan moet je rekening houden met het volgende.

  • Wanneer je opslag gebruikt voor back-up, zorg er dan voor dat je geen network sharing methodes gebruikt zoals CIFS - NFS
  • Vermijd ook DAS (Direct Attached Storage) als back-upopslag
  • Compartimenteer de omgeving zo veel mogelijk
  • Test de back-ups en restores regelmatig
  • Creëer een geïsoleerde back-upomgeving om de back-ups en het systeem te beschermen
  • Creëer een disaster recovery strategie met gedefinieerde RTO/RPO voor elke applicatie.
  • Configureer 2FA voor back-upbeheerders
  • Meervoudige geautoriseerde workflows (Vier ogen-principe)
  • Scan back-upgegevens op anomalieën
  • Bouw een relatie op met een betrouwbare back-upservice van derden. Op die manier kan je offsite externalisatie automatiseren en de back-ups ook volledig offline bewaren
  • Zorg voor onveranderlijkheid van back-ups
  • Maak en bewaar meerdere kopieën van de back-ups
  • De mogelijkheid hebben om in een cleanroom te werken voor gegevensherstel en -analyse

Snel, veilig herstel

Malware kan op elk moment in back-upgegevens worden ingesloten, dus je kunt er nooit zeker van zijn dat ze niet besmet zijn.

Meestal worden ransomware en andere schadelijke software ingezet voordat ze worden geactiveerd. De gemiddelde infiltratieduur bedraagt 230 dagen. Dit betekent dat de kans groot is dat de back-upbestanden al besmet zijn.

AI/ML (kunstmatige intelligentie/machine-leren) wordt door back-upsoftware gebruikt om afwijkingen in de back-upgegevens vroegtijdig te detecteren.

Dit zijn de belangrijkste voordelen

  • Het kan machine learning gebruiken om verdacht gedrag te detecteren door de volledige gegevensinhoud van de back-ups te analyseren
  • Het helpt bij het identificeren van de laatst bekende veilige back-up

 

Clean room

Aangezien de back-up waarschijnlijk besmet is, is het van cruciaal belang om aan te nemen dat dit het geval is.

Na een ransomware-aanval worden bedrijven meestal geconfronteerd met cruciale problemen.

Ten eerste is het moeilijk te bepalen wanneer de oorspronkelijke inbraak heeft plaatsgevonden.

Ten tweede is het herstellen van gegevens op locatie hoogstwaarschijnlijk niet mogelijk vanwege het volgende:

  • Het netwerk is geïnfecteerd en niet meer veilig.
  • Er zijn niet genoeg beschikbare resources om een uitgebreid herstel uit te voeren.
  • Omdat de aangetaste omgeving nog steeds nodig is om gegevens te herstellen of forensisch onderzoek uit te voeren, is het moeilijk om de resources vrij te maken.

Ransomware-infecties zijn meestal lokaal, snel en destructief van aard. Om die reden moeten beveiligingsteams een geïsoleerde herstelomgeving (clean room) opzetten. Dit is de plaats waar het systeem kan worden hersteld. En op die manier is het niet toegankelijk voor onbevoegde personen die zouden kunnen proberen de malware opnieuw te activeren.

De clean room moet worden uitgerust met een beveiligingsapparaat dat fungeert als een firewall om de netwerktoegang te beperken. Dit zorgt ervoor dat de omgeving geen nieuwe infecties via het internet kan ontvangen.

Conclusie

Het doel van een ransomware-aanval is om de activiteiten van een organisatie plat te leggen. Een dergelijke gebeurtenis zet het bedrijf onder grote druk en brengt verwarring.

Een data recovery organisatie moet ook klaar en getraind zijn om een disaster recovery plan uit te voeren.

Om effectief te zijn, moet een goed disaster recovery plan zo worden gemaakt dat het bedrijf (of een onderdeel) snel weer normaal kan functioneren.

Je moet weten wat er eerst hersteld moet worden voor de bedrijfscontinuïteit. Evenals hoe je daarover gaat communiceren, intern en extern. En ook hoe je eindgebruikers zullen worden beïnvloed.

Organisaties die geen duidelijk disaster recovery plan hebben, komen vaak terecht in een chaotische aanpak van de ramp. Dit veroorzaakt veel verlies van kritische hersteltijd die een negatieve impact hebben op de continuïteit van de business van de organisatie.

Wil je je backup en disaster recovery strategie eens grondig doorlichten? Neem contact op met de Backup & DR-experts van Easi! Wij hebben oplossingen voor zowel Intel X86- als IBM Power i-systemen.

Vacatures

Wij zijn voortdurend op zoek naar nieuwe collega's!

Als je onze waarden deelt en op zoek bent naar een uitdagende job in België's Best Workplace, bezoek dan onze website.

Solliciteer nu

Schrijf je in voor onze nieuwsbrief

Follow us

  

Deel dit artikel