BLOG – Ransomware is de dagelijkse praktijk voor zo’n beetje elke organisatie. Wanneer cybercriminelen waardevolle data versleutelen en grote losgeldsommen eisen, gaan organisaties effectief plat, met grote financiële en reputationele schade tot gevolg. Volgens het ‘Veeam Data Protection Trends Report‘ is 85 procent van de organisaties vorig jaar ten minste één keer getroffen door ransomware. Iets minder dan de helft werd twee of drie keer getroffen.
Nu cybercriminelen hun tactieken continu verbeteren en nieuwe manieren vinden om beveiligingsmaatregelen te omzeilen, is het niet of maar wanneer een succesvolle aanval zal plaatsvinden. Traditionele beveiligingsmethoden zoals firewalls en antivirussoftware zijn nog steeds essentieel, maar op zichzelf niet genoeg om geavanceerde ransomware-aanvallen af te slaan. Organisaties moeten robuuste herstelstrategieën vooropstellen om de impact op werkzaamheden, bedrijfscontinuïteit en de reputatie te minimaliseren. Hoewel vele het belang van deze verschuiving onderkennen, moet er, om substantiële veerkracht tegen ransomware-aanvallen op te bouwen, meer nadruk komen op het versterken van het incidentrespons en het herstelplan en -proces.
Herstelstrategie
Het betalen van losgeld is géén herstelstrategie. En het simpelweg gebruik van een backup ook niet. Het ‘Veeam Ransomware Trends Report‘ laat zien dat vier op vijf organisaties losgeld zou betalen om een aanval te beëindigen en hun data te herstellen. Dit is vier procent meer dan het voorgaande jaar. Dit is opvallend aangezien 41 procent van de organisaties een ‘do-not-pay’-beleid heeft. Van de organisaties die losgeld betaalden, kon nog geen twee derde hun data succesvol herstellen. Iets meer dan twintig procent van de organisaties die betaalden, kon hun data alsnog niet herstellen. Terwijl je misschien denkt dat het hebben van een backup kan voorkomen dat je losgeld hoeft te betalen, richten zo goed als alle aanvallers zich ook op de backup tijdens cyberaanvallen. In driekwart van de gevallen waren ze hier succesvol in en konden slachtoffers hun data niet vanuit de backup herstellen.
Iets meer dan twintig procent van de organisaties die betaalden, kon hun data alsnog niet herstellen
Een betrouwbaar herstelproces bestaat uit drie fasen: voorbereiding, reactie en herstel. De voorbereidingsfase omvat het maken van backups (let wel dat niet alle backups gelijk zijn aan elkaar, maar hierover later meer) en, net zo belangrijk, het creëren van vooraf ingerichte herstellocaties. Veel organisaties denken hier niet over na totdat het te laat is. Je kunt je data namelijk niet herstellen naar de originele omgeving omdat deze gecompromitteerd en een actieve ‘crime scene’ is. Maar je wilt ook niet voor het eerst een nieuwe cloud-omgeving onder de knie proberen te krijgen in de nasleep van een ransomware-aanval. Effectief herstel omvat daarnaast het rapporteren over en beheersen van het incident, een vooraf gedefinieerd operationeel responsplan en forensisch onderzoek om ervoor te zorgen dat je weet wat er is getroffen en of omgevingen (en backups) zijn aangetast. Alleen dan zijn data met vertrouwen te herstellen.
Waterdicht
Goed voorbereid zijn op het herstellen van een incident is alleen effectief als de backups waterdicht zijn. Als je maar één data-backup hebt en deze wordt getroffen tijdens een aanval, ben je terug bij af. In plaats daarvan moeten organisaties een drie gouden regels volgen om hun cyberveerkracht te verbeteren.
- Beveiligingsteams moeten beschiken over een onveranderlijke kopie van hun bedrijfskritische data , zodat hackers deze niet kunnen wijzigen of versleutelen;
- Data-encryptie is cruciaal om gestolen of gehackte data ontoegankelijk en nutteloos te maken voor hackers;
- Het belangrijkste aspect van het versterken van de strategie ligt in het volgen van de 3-2-1-1-0-backupregel. Deze regel is essentieel voor betrouwbare dataprotectie en herstel in het geval van een potentiële dreiging, zoals een ransomware-aanval. Het houdt in dat er minimaal drie kopieën van de data worden bewaard, zodat zelfs als er twee apparaten tegelijkertijd uitvallen, er nog een extra kopie beschikbaar is. Organisaties moeten deze backups op twee verschillende soorten media opslaan, bijvoorbeeld op een interne harde schijf en een andere in de cloud. Eén exemplaar moet altijd op een veilige externe locatie worden opgeslagen, terwijl een ander exemplaar offline moet blijven (air-gapped) zonder verbinding met de primaire it-infrastructuur. Ten slotte is de nulfase cruciaal: er mogen geen fouten in de backups voorkomen. Hiervoor is regelmatig testen zonder fouten essentieel. Deze tests worden idealiter aangevuld met constante monitoring en training van het herstelproces.
Verfijning
Er is geen twijfel over dat ransomware-aanvallen zich aanzienlijk zullen blijven ontwikkelen en steeds groter worden in omvang, verfijning en impact. Het is niet langer de vraag óf de organisatie getroffen zal worden door een cyberaanval, maar wanneer en hoe vaak. Deze verschuiving heeft ertoe geleid dat de weg uit de ransomware-crisis zich verplaatst heeft van preventie naar herstel.
Hoewel beveiliging en preventie hoog op de agenda moeten staan, is herstel de échte oplossing in de strijd tegen ransomware. Het is dan ook van het allergrootste belang dat de organisatie beschikt over een strak herstelplan. Door prioriteit te geven aan data-backup, te investeren in moderne hersteltechnologieën en robuuste herstelplannen op te stellen, kunnen organisaties hun veerkracht versterken, hun vermogen om te herstellen van aanvallen verbeteren en de weg vinden uit de ransomware-crisis.
Edwin Weijdema is field cto EMEA and lead cybersecurity technologist bij Veeam
Niet lullen maar poetsen is 3-2-1-1-0-back-up regel onhaalbaar bij de petabytes aan data en er is dan ook nog een opt-out in de data die wel bewaard moet worden maar niet meer gewijzigd mag worden. Technologist bij Veeam vergeet namelijk alle digitale archieven die erg kwetsbaar zijn voor ransomware door een verkeerde keuze in opslagmedia. Wie nog het schuifje van de diskette weet waar ik op doel want eenmaal schrijven, vele malen lezen kun je WORM met hardware invullen of software want je weet al vanuit het informatie lifecycle management (ILM) welke data je lang en ongewijzigd moet bewaren en welke data na één dag al geen waarde meer heeft.
Classificatie naar bedrijfskritische data lijkt me een aanname waardoor de meeste herstelplannen beginnen bij de meest recente data en uiteindelijk vastlopen in de archieven omdat meer dan 70% van de organisaties nog altijd de back-up misbruiken hierin. Wat betreft een ‘crime scene’ hebben we verder nog de logfiles voor de Chain of Custody want bewijs uit het ongerijmde is waardeloos in een digitaal forensisch onderzoek. Tactiek van verschroeide aarde met ransomware gaat om het wissen van sporen nadat de kwaadwillende toegang tot de data hebben gehad, back to the future wees ik in een panel bij een andere leverancier op zoiets als de datastroom in de edge want petabytes aan data vanuit bodycams gaat om het bewijsmateriaal.
Juristen kennen in tegenstelling tot technolisten de termen van legal holds want video is nog maar één van de vele use cases die om veel data gaat waardoor de traditionele back-up regels niet werken. Een back-up van internet omdat ik niet wil betalen voor de streaming diensten gaat om de duizend-en-één-stukjes van een block chain storage want als oude boef heb ik veel geleerd in Silicon Wadi over resilience by redundancy, een strak herstelplan gaat om de acceptabele verliezen zonder impact op je slagkracht.
Een aanval op gijzelnemer is nog altijd de beste verdediging omdat je daarmee de prijs omdraait.
zozo, 85% ten minste 1 keer getroffen.
Zou dat een link zijn waar ze niet op geclickt hebben of zou hun hele datastore en backups tot een jaar geleden al encrypted zijn ? Voordeel is dan wel dat ze goede sier kunnen maken dat de data nu versleuteld is met sterke key.
In ieder geval hoor ik niet van 85% van de organisaties waar ik iets mee heb dat mijn data bij die boeven ligt.
Misschien hebben ze wel een transparancy-first-beleid waar ze net zo mee om gaan als hun “do-not-pay”-beleid.
Ook bijzonder dat in driekwart van de gevallen een restore onmogelijk was gemaakt.
Wat zou hun backup-recovery-plan dan zijn, waar is dat dat ge-oh over die zg immutable backups nou goed voor geweest ?
Gelukkig werkt betalen in 80% van de gevallen en zijn bedrijven dol op hun 80% regels.