Volgens het 2023 Veeam Data Protection Trends Report werd 85% van de organisaties vorig jaar getroffen door ten minste één ransomware-aanval. Het is bijna onvermijdelijk dat ook jij ooit een keer slachtoffer wordt. Je kunt dit het beste accepteren en kijken naar welke oplossingen er zijn om te leven met deze continue dreiging.
Ransomware-aanvallen vormen een zeer reële en actuele dreiging. Daarom moeten organisaties zich ervan bewust zijn dat een ransomware-aanval niet langer een kwestie is van óf je doelwit wordt van een aanval, maar wanneer en zelfs: hoe vaak. Het ‘2023 Veeam Data Protection Trends Report‘ toont zelfs aan dat iets minder dan de helft van de respondenten slachtoffer was van twee of meer aanvallen. Veel organisaties richten zich tegenwoordig tot cyberverzekeringen voor gemoedsrust.
Een cyberverzekering kan (een deel van) de schade vergoeden, maar het is belangrijk om te onthouden dat het deze schade of de bijeffecten die kan veroorzaken, zoals verlies van klanten en vertrouwen, nooit kan voorkomen of ongedaan maken.
Naarmate het aantal ransomware-dreigingen is toegenomen, nam ook het aantal aanbieders van cyberverzekeringen toe. Uit genoemde studie blijkt echter dat bij twintig procent van de organisaties mét een cyberverzekering, ransomware-aanvallen niet worden gedekt door de verzekeraar. En zelfs als ze wel gedekt zijn, eisen sommige verzekeraars dat organisaties niet in het openbaar spreken over een inbraak. Het ongelukkige gevolg hiervan is dat het de realiteit van ransomware-aanvallen verborgen houdt voor het publiek. Dat terwijl educatie en transparantie juist helpen bij het beperken van de schade. Door fouten en lessen te delen kunnen we onze verdediging sterker maken.
Ondanks de frequente nieuwsberichten over ransomware, weten veel mensen niet hoe het precies werkt. Kennis van het proces is echter essentieel voor een succesvol herstel.
Hoogtepunt
In gesprekken over ransomware is zelden bekend dat een ransomware-aanval het hoogtepunt is van een reeks gebeurtenissen. Ransomware verschijnt niet zomaar, het is het gevolg van dagen, weken, maanden of zelfs jaren van werk. Dus wat gebeurt er achter de schermen?
Cybercriminelen beginnen met een observatiefase. Gedurende deze tijd observeren ze hun doelwit om informatie te verzamelen over mensen, processen en technologie. Zo kunnen ze kansen identificeren om toe te slaan. Net zoals inbrekers willen weten waar de in- en uitgangen zijn van een gebouw en wie daar woont, willen cybercriminelen ook graag weten waar en met wie ze te maken hebben.
Hierna is het tijd om zichzelf toegang te verschaffen. Dit bereiken cybercriminelen in de regel door een phishingmail te sturen waarin een malafide link staat. Wanneer hierop geklikt wordt krijgen ze toegang tot de organisatie en kunnen zij beginnen met het opzetten van een base of operations binnen de infrastructuur van hun doelwit. Op dit punt blijven ze nog uit zicht. Aanvallers zullen in dit stadium bijvoorbeeld gegevens exfiltreren of back-ups onopgemerkt vernietigen. Na deze fase maken ze hun aanwezigheid kenbaar door het lanceren van de laatste fase: de ransomware-aanval.
Het in kaart brengen van dit proces is vaak overweldigend – beveiligingsteams hebben niet alleen te maken met zichtbare dreigingen, maar ook met onbekende en onzichtbare vijanden die op elk moment kunnen opkomen en verdwijnen. Organisaties kunnen deze informatie gebruiken om de sterkst mogelijke back-up- en herstelstrategie te ontwikkelen.
Backupregel
Hoewel ransomware-aanvallen onvermijdelijk zijn, hoeft gegevensverlies dat niet te zijn. Honderd procent veerkracht is mogelijk als de juiste voorzorgsmaatregelen worden genomen. Door een paar belangrijke elementen toe te passen, kan elke organisatie een ijzersterke dataprotectiestrategie ontwikkelen.
Allereerst moeten beveiligingsteams erover waken dat ze een onveranderlijke kopie van hun gegevens hebben. Vervolgens moeten ze hun gegevens versleutelen, zodat hackers er bij de diefstal of inbraak geen gebruik van kunnen maken. De laatste, en meest belangrijke stap, is het toepassen van de 3-2-1-1-0-backupregel. Dit betekent dat je minimaal drie kopieën van gegevens moet bewaren zodat je altijd een extra exemplaar hebt. Organisaties dienen deze backups op ten minste twee verschillende soorten media op te slaan, bijvoorbeeld een kopie op een interne harde schijf en een andere in de cloud. Vervolgens moet één hiervan altijd op een veilige externe locatie worden bewaard, en één offline (air-gapped) zonder enige verbinding met de it-infrastructuur.
De nulfase is misschien wel het belangrijkste: er mogen geen fouten in de backups zitten. Dit is te garanderen door regelmatig te testen en een constante monitoring.
Realiteit
Elke organisatie zal te maken krijgen met een ransomware-aanval. Dat is de realiteit van de wereld waarin we vandaag de dag leven. Maar met een groeiend bewustzijn komt ook een betere voorbereiding. Hoewel een cyberaanval altijd voor chaos zorgt, kun je er met de juiste strategie een beheersbare chaos van maken, en dat maakt het verschil.
