Zelfs de backup hadden ze versleuteld. Dat is misschien wel het opmerkelijkste aan de ransomware-aanval bij de Universiteit Maastricht. Doordat criminelen zowel de gegevensopslag (de primaire databron) als de backup hadden verhaspeld, waren systeembronnen wekenlang niet beschikbaar. Met een offline-backup heb je weinig te vrezen.
Ransomware is schering en inslag. Een medewerker klikt argeloos op een link of bijlage en voor je het weet, hebben criminelen toegang tot de gehele it-omgeving. Ze versleutelen databronnen en eisen losgeld om de datagijzeling ongedaan te maken.
Niemand kan garanderen dat data nooit worden gegijzeld. Maar er bestaan oplossingen om de overlast van ransomware te beperken. It-beveiligingsbedrijven bieden slimme tools die ongewenste versleuteling vroegtijdig ontdekken, stoppen en terugdraaien. Dit gebeurt aan de hand van machine learning en andere technologie die nog in de kinderschoenen staat. Daarom kun je er beter niet op blind varen.
Laat ze maar komen
De meeste hoop zit in de backup. Met goede gegevensbackup en slimme policies voorkom je dat je kwetsbaar wordt voor cybercriminelen. Laat ze maar komen. Zelfs als ze alles versleutelen, zet je snel een recente backup terug. Dan mis je misschien werk van een paar dagen, maar that’s it. Voorwaarde is wel dat de gijzelnemers niet ook je backup onbruikbaar maken. Dat klinkt gemakkelijker dan het is.
Hoe ziet de ideale backup er dan uit? Veel organisaties backuppen volgens de 3-2-1-regel: ze maken drie kopieën op twee verschillende media, waarvan één op een andere locatie. Wij adviseren aanvullend om één van de backups offline te bewaren, bijvoorbeeld in de vorm van tapes of op een offline-cloudmediaserver. Waarom offline? Cybercriminelen zijn slim. Ze gluren wekenlang ongemerkt mee op het netwerk en komen alles te weten over het backup-proces. Zoals bij de Universiteit Maastricht. De hackers wisten dat de backup online bereikbaar was en konden deze dus ook encrypten.
De offline-backup is een van de vier belangrijke onderdelen van een goede backup-praktijk. Het voorkomt dat criminelen toegang krijgen tot de gegevenskopieën die jouw organisatie uit hun wurggreep moeten houden. Ook actieve preventie is cruciaal. Zo krijg je met behulp van honeypot-bestanden een goed beeld van de aanwezigheid van hackers op je netwerk en kun je ze beter bestrijden. Installeer daarom ook tools voor het herkennen en melden van afwijkend gedrag (anomalies).
Oefenen en testen
Zorg bovendien dat de gekozen backup-oplossing up-to-date blijft. Back-p en herstel zijn geen onderdelen waarop je wil bezuinigen door patches over te slaan. Tot slot is het zaak alle procedures regelmatig te oefenen en testen. Bestaande audits kunnen hierin een belangrijke rol spelen, evenals de hardening guide van de leverancier.
Vergeet niet dat het grootste gevaar bij de mens zit. Hoe complexer het backup-proces, hoe lastiger het is om het bij te houden. It’ers zijn vooral bezig met het in de lucht houden van systemen en hebben daardoor niet altijd de volle aandacht voor de backup. Regel het backup-proces daarom in een keer goed, neem geen onnodige risico’s en automatiseer zoveel mogelijk. Op korte termijn betekent dit misschien een grotere investering. Maar zodra alles op orde is, maak je ransomware vleugellam.
Ooit eens een analyse van een academische data architectuur gedaan en toen geschrokken over de naïviteit. De back-up was inderdaad niet meer dan een kopie op dezelfde schijf of als off-line oplossing een in de achterbak rondslingerende USB-disk die niet versleuteld was. De 3-2-1 methodiek van rsync levert uiteindelijk dus weinig bescherming op als je hierbij ook niet een vorm van ’time travelling’ hebt, 3 kopieën is mogelijk niet genoeg.
De noodzaak om de back-up te moderniseren lijkt me door nieuwe bedreigingen evident maar ‘one size, fits all’ oplossing voldoet hierdoor niet meer. Organisaties kunnen dan ook beter investeren in hun data management dan de back-up, alles aan de achterkant meermaals kopiëren is heel erg duur als je op capaciteit afgerekend wordt. Aan de voorkant definiëren welke waarde data heeft maakt het makkelijker om juiste maatregelen ter bescherming hiervan te kiezen. En een therometer in de data architectuur maakt duidelijk dat veel data nadat deze eenmaal is aangemaakt nooit meer gewijzigd wordt (of mag worden) maar nog wel 7 tot 10 jaar bewaard moet worden. En de back-up hiervoor misbruiken is niet de meeste efficiënte oplossing.
Paul Gijbels,
Ik heb je uitnodiging ontvangen ondanks dat de redactie je reactie gemodereerd heeft als niets toevoegend aan de discussie. Ik wijs je uitnodiging trouwens af omdat ik niet onbekend ben met CommVault en het product niet de essentie van mijn boodschap was. Mijn reactie ging vooral om het proces wat mogelijk opnieuw ontworpen moet worden doordat er wat andere bedreigingen zijn.
Ik heb ondertussen al vele specialisten van leveranciers gesproken over de problematiek van ransomware, een lucratieve vorm van cybercrime omdat nog altijd zo’n 40% van de getroffenen het losgeld betaald. En de reden hiervoor is nogal simpel, het is gewoon een economische afweging. Dezelfde economische afweging wordt gemaakt voor investeringen in de back-up, als draait namelijk om het risico management.
Daarover ga ik graag in discussie maar niet in een achterkamertje, bij deze dus de uitnodiging om reacties op inhoudelijk basis te geven. Let’s make Computable great again via de community.
Beste lezers & “Oudlid”,
Niet alleen Cybercrime en Ransomeware heeft een enorme vlucht genomen, maar ook onze software ontwikkelaars hebben niet stilgezeten en hebben inmiddels een aantal standaard features ingebouwd om de data van de gebruiker te beschermen tegen kwaadaardige acties.
Naast de standaard installatie is het aan te bevelen de omgeving te hardenen. Denk aan toepassing van ingebouwde Firewall, Proxy, Black-Whitelists, maar ook aan standaard namen en poorten hernoemen. Zonder alle “geheimen” te noemen, hiervoor zijn legio mogelijkheden ingebouwd aanwezig.
N.B. Deze reactie is door de redactie sterk angepast. Er werd alleen maar reclame gemaakt voor de eigen firma. Dat is niet de bedoeling van reacties. Daarvoor moet men andere wegen bewandelen en zit een kostenplaatje aan.
Paul Gijbels,
Vroeger hadden we soortgelijke problemen als we kijken naar het fenomeen van malicious software (malware) die veelal door de gebruiker naar binnen werd gebracht. Dweilen aan de achterkant terwijl aan de voorkant de kraan open staat is niet erg efficiënt, zelfs niet als het de gouden kraan van CommVault is. Data van de gebruikers beschermen tegen kwaadaardige acties lijkt me een verkeerde focus, je wilt de bedrijfsdata vooral beschermen tegen gebruikersfouten.
Voor alle duidelijkheid, de website van CommVault zegt zinnige dingen over ‘best practices’ tegen ransomware en er is ook niks mis met het product alleen ben ik van mening dat je eerst naar het proces moet kijken want ik denk dat er meer oplossingen zijn. Vroeger hadden diskettes een ‘read-only’ schuifje en ik denk dat voor veel bedrijfsdata dit een effectieve bescherming biedt, de kwaliteit van data laat vaak te wensen over doordat deze niet alleen ongeautoriseerd door ransomware gewijzigd wordt. Het zeggen wat je doet, doen wat je zegt en dat bewijzen met data kent hierdoor steeds vaker een omgekeerde bewijslast.
Willen we meer of minder data? Minder, minder, minder….. Mooi, dan gaan we dat regelen;-)