Op vrijdag 31 maart 2023 is het alweer de 12e World Backup Day. In de afgelopen 12 jaar zijn er al veel waarschuwingen gegeven over het belang van het maken van back-ups van data. Er is ook zeker veel veranderd in deze tijd, maar nog altijd worstelen veel organisaties na een incident met het herstellen van belangrijke gegevens uit back-ups. Dataverlies kan per ongeluk gebeuren, bijvoorbeeld door een menselijke fout, maar ook door een ransomware-aanval.
Uit het meest recente onderzoek van Barracuda blijkt dat slechts de helft (52%) van de slachtoffers van ransomware in 2022 versleutelde data via back-ups wist te herstellen. Ongeveer een derde (34%) van de slachtoffers koos ervoor om het geëiste losgeld te betalen. Voor deze slachtoffers was het vaak de enige manier om hun data terug te krijgen. Dit kwam omdat ze geen adequate, up-to-date back-ups hadden of omdat de aanvallers toegang hadden tot hun back-ups en ook deze konden versleutelen of verwijderen.
Het ontdekken, blokkeren of verwijderen van back-up data is tegenwoordig een vast onderdeel van een ransomware-aanval. Als aanvallers gaten in back-upplannen vinden, dan zullen ze deze ook misbruiken.
Back-up strategieën waar aanvallers blij mee zijn:
– Veel mensen met toegang tot de back-upsoftware: hoe meer mensen toegang hebben tot back-upsoftware, hoe groter het risico dat aanvallers gestolen inloggegevens met domain admin of andere hoge toegangsrechten kunnen misbruiken om in te breken.
– Back-ups die gekoppeld zijn aan het netwerk: als het back-upsysteem aan het bedrijfsnetwerk is gekoppeld, kunnen aanvallers zich vanaf een geïnfecteerd endpoint lateraal bewegen om de back-upsoftware te ontdekken, toegang te krijgen tot deze back-ups en ze te blokkeren of verwijderen.
– Remote access tot back-upsystemen: soms moeten back-upsystemen op afstand verbinding maken met servers voor back-ups of beheer. In dat geval kan een zwakke aanpak van wachtwoordauthenticatie ertoe leiden dat er verbinding kan worden gemaakt met beschermde systemen als wachtwoorden worden geraden of gestolen.
– Back-ups worden niet regelmatig gemaakt: ook al maakt een organisatie back-ups, dan kan er alsnog dagen, weken of zelfs maanden aan data verloren gaan na een incident als die back-ups niet regelmatig worden gemaakt.
– Back-ups die niet worden getest: Het lijkt vanzelfsprekend, maar als het back-up- en herstelproces niet wordt getest, kan je er niet van uitgaan dat deze ook werken als je ze nodig hebt.
Alles wat back-ups onbetrouwbaar maakt, vergroot de kans dat aanvallers met succes losgeld eisen. Het beveiligen van back-upsoftware en applicaties is daarom van essentieel belang. Een robuuste security beperkt het risico dat aanvallers back-up gegevens ontdekken en verwijderen voordat een daadwerkelijke ransomware-aanval plaatsvindt. Zo zorgen ze ervoor dat slachtoffers hun systemen niet kunnen herstellen.
Back-up strategieën waar aanvallers niet blij van worden:
Als u een robuuste back-upstrategie wilt ontwikkelen die zowel op security als op de bedrijfscontinuïteit is gericht, volg dan deze tips:
– Maak back-ups van alles, niet alleen van de zakelijke data. Met een volledige systeemback-up kunnen systemen sneller worden hersteld na een incident.
– Probeer te voorkomen dat uw back-upmanager op Windows draait, aangezien aanvallers hier relatief gemakkelijk op kunnen inbreken. Linux of een ander besturingssysteem kan veiliger zijn.
– Zorg ervoor dat de back-up server anti-malware software draait.
– Overweeg om een geautomatiseerde back-upservice te implementeren die ervoor zorgt dat er regelmatig een back-up wordt gemaakt van alle data. Dit zorgt voor een minimaal dataverlies bij het herstellen van data na een incident.
– Zorg ervoor dat back-upsystemen niet verbonden zijn met het bedrijfsdomein. Op deze manier kan een aanvaller met een gecompromitteerd domain admin geen toegang krijgen tot de back-ups.
– Implementeer multi-factor authenticatie (MFA) en Role Based Access Control (RBAC) om ervoor te zorgen dat alleen een klein aantal geautoriseerde gebruikers toegang heeft tot de back-ups. De mogelijkheid om back-upbestanden te wissen mag slechts aan een zeer klein aantal gebruikers worden gegeven.
– Repliceer de back-ups off-site naar een externe locatie of een cloudprovider die een fysieke scheiding biedt tussen de lokale, on-premises back-upserver en de off-site locatie.
– Als u een back-up maakt van data in de cloud, dan is het verstandig om de back-up in de cloud te bewaren.
– Zorg ervoor dat alle gegevens worden versleuteld.
– Hanteer de 3:2:1 standaardmethode: drie reservekopieën, met behulp van twee verschillende media, waarvan er één offline wordt bewaard.
Goede bedoelingen kunnen door een slechte uitvoering worden ondermijnd. Doe alles zorgvuldig en test het dan. Voor elk incident waarbij het bedrijf werd gered door de off-site kopie van de data, is er waarschijnlijk een incident waarbij de aanvallers zowel de primaire als de secundaire kopieën van de data konden verwijderen, omdat ze dezelfde securitytoegang deelden.