Infrastructure - 23 jul 2021

Hoe je backup-data beschermen tegen cyberattacks/ransomware?

SHARE

Mail_Cyber security audit

Stijgende cybercriminaliteit stelt dataverantwoordelijken voor een nieuwe uitdaging. Ook je back-ups moet je beter beveiligen. Technologie die je beschermt tegen ransomware is dus een kritieke factor bij de keuze voor een backup-tool.

In dit artikel bespreken we nieuwe features die helpen in het opsporen van ransomware-aanvallen, die je back-up beschermen en ervoor zorgen dat je snel kan heropstarten.

Trends in cybercriminaliteit

  • Ransomware-aanvallen worden steeds slimmer en gaan gerichter op zoek naar back-upgegevens.
  • Geen enkele oplossingen biedt volledige bescherming tegen ransomware-aanvallen.
  • Er zijn gewoon meer cyberattacks. Niet alleen criminele organisaties maar in de wandelgangen hoor je soms ook dat overheidsinstanties achter de aanvallen zitten.
  • Cybercriminaliteit kan je  as-a-service online bestellen.
  • Ransomware is vaak een deel van een grotere aanval om systemen plat te krijgen.

Daarom doen we volgende aanbevelingen

  • Infrastructuur- en dataverantwoordelijken kunnen het volgende doen:
  • Network sharing protocols uitschakelen. Vermijd het gebruik van simpele network sharing protocols zoals CIFS of NFS.
  • Het backup-systeem beschermen. Bescherming van de beheerconsole en de kopie zorgt ervoor dat er altijd een werkende back-up is.
  • Multifactor-authenticatie (MFA) gebruiken.
  • Isoleer je recovery backup-omgeving, bijvoorbeeld met een AIRGAP-tool.

💡 Specialisten rekenen op zevenmaal meer ransomware-aanvallen. Tegen 2025 zou 75% van de bedrijven één of meerdere aanvallen hebben moeten doorstaan

Ransomware niet onderschatten

Ransomware is één van de gevaarlijkste dreigingen voor een organisatie. De aard en omvang ervan worden vaak verkeerd begrepen en onderschat. Die onderschatting zorgt voor te weinig aandacht voor maatregelen. Nog te veel ondernemingen zien ransomware als een geïsoleerde aanval. De realiteit is echter dat zo’n aanval meestal een kleiner stuk is van een grotere:

  • Binnendringen van het bedrijfsnetwerk: In de eerste fase van een aanval gaat men informatie en accounts proberen stelen
  • Stelen van accounts van kritieke systemen: In een tweede fase gaat men deze accounts omzetten tot admin accounts om toegang te krijgen tot bijvoorbeeld de back-up, AD, DNS, opslagsystemen en andere kritieke systemen.
  • Aanval op de admin backup-console: Met toegang tot de console kan de aanvaller backup-jobs uit- of aanschakelen en in kaart brengen waar belangrijke data opgeslagen zijn.
  • Data stelen: In veel gevallen wil men de data encrypteren om te gebruiken in toekomstige criminele activiteiten.

Dit proces kan weken tot maanden duren en laat meestal een malware achter die diep in de systemen verborgen is. Wanneer de malware zijn werk gedaan heeft, wordt de ransomware actief om alle data te encrypteren. Schadelijke aanvallen zoals deze komen regelmatig voor en nemen dagen, weken of maanden in beslag om te herstellen.

 

Kies de juiste tool voor je data back-up

Het backup-platform is dus cruciaal voor de recovery na een aanval. Producenten van backup-tools antwoorden hierop met drie features:

  • Detecteren van cyberaanvallen: Het systeem merkt vroegtijdig aanvallen op zodat de ransomware niet geactiveerd kan worden.
  • Het backup-systeem beschermen: Omdat het backup-systeem meestal aangevallen wordt als onderdeel van een grotere aanval, is bescherming belangrijk.
  • Herstellen van attacks: Het recovery-proces is zeker niet zo eenvoudig als het restoren van een verwijderd bestand. De snelheid en de automatisatie van het recoveren is dus van groot belang.

Cyberaanvallen snel detecteren

Het opmerken van verdachte activiteiten op het netwerk is meestal de “first line of defense”. Dat is het werk van anti-malware en antivirus-oplossingen. Door het toenemend aantal aanvallen is het niet aan te raden om alleen hierop te rekenen. Backup-oplossingen kunnen weliswaar een deel voor hun rekening nemen, maar uiteraard niet alles.

Malwaredetectie in backup-oplossingen werkt op twee manieren:

  1. Anomaly detection: Via machine learning of AI een verdachte handeling opmerken; bijvoorbeeld een plotse verandering in de hoeveelheid data bij een daily incremental back-up.
  2. Malware scanning: wanneer de back-up gelopen heeft, kan deze gescand worden op malware zonder de performantie in gevaar te brengen. Je kan ook retroactief werken: bij het herkennen van een malware-handtekening bij eerdere back-ups kan je terug in de tijd gaan om te bepalen wanneer de aanval begon.

Deze technieken zijn enkel een toegevoegde laag op alle anderen maatregelen die je neemt en zijn dus niet vervangend.

Een backup-strategie om je te beschermen

Vroeger richtten de aanvallen zich alleen op de vindbare data. Denk bijvoorbeeld aan een lek in de netwerkbeveiliging die backup-data publiek stelde op fileshares. Hackers worden echter steeds slimmer en zo ook hun software:

  • Als het backup-systeem gekraakt kan worden, is het ook mogelijk om te voorkomen dat het systeem zich kan herstellen.
  • Backup-systemen genereren een interne roadmap met de locatie van alle belangrijke data. Dat is zoals een schatkaart met “X marks the spot”.

Backup-software en backup-storage integreren

Het is mogelijk om een beveiligde backup-omgeving op te zetten op een apart subsysteem. Dat kan alleen als de beveiliging van de omgeving volledig in orde is. Verkeerde componenten kiezen of niet in staat zijn om je omgeving waterdicht te maken, kan leiden tot een exposure van je data.

Je kan dit voorkomen door de backup-storage te integreren op dezelfde appliance als de backup-software. Daardoor is de backup-store verscholen en kan die alleen bereikt worden via root access of toegang tot het onderliggende OS.


Andere manieren om back-up te beveiligen:

  • Een immutable file storage creëren, gescheiden van andere back-ups
  • Network sharing protocols deactiveren
  • Multifactor authenticatie gebruiken voor admin accounts
  • Admin accounts met verschillende rechten aanmaken
  • Meerdere kopieën van je backup-data maken
  • Een geïsoleerde recovery omgeving opzetten

Data recoveren zoals een dirigent een orkest aanstuurt

Data restoren is niet zo eenvoudig als op een knop duwen, even koffie gaan drinken en terugkomen wanneer alles oké is. Er is meer werk dan dat: in kaart brengen welke data eerst moet komen, welke je recoverytijden zijn, welke systemen welke data nodig hebben, enzovoort. Moderne backup-software kan je hierbij helpen en plant het recoveryproces in overeenstemming met je hersteltijd. Reken erop dat je ook zelf zal moeten ingrijpen om alles tot een goed einde te brengen.

Scale-up storagesystemen worden meer en meer links gelaten

De performantie om te recoveren, is een belangrijke metric (dit hoef ik je waarschijnlijk niet meer te vertellen). Softwareleveranciers zetten hier zwaar op in en werken liever niet met scale-up systemen. Met een scale-up systeem voeg je meer opslagruimte toe, maar de recoverytijd blijft dezelfde. Computing power bepaalt de tijd waarin data gecleand en gerestored kan worden en is dus de beperkende factor.

💡Lees het volledig artikel van Gartner over hoe moderne backup-oplossingen je tegen ransomware kunnen beschermen (artikel in het Engels).

Maak een prioriteit van je IT-security

Ervoor zorgen dat aanvallen niet aan je bedrijfsgegevens en backup-data kunnen, zou een prioriteit moeten zijn. Een meer fatalistische houding van “we zullen wel zien als het zover is” kan je duur te staan komen.

Als je toch een breach hebt, dan zorgen snelle recovery en een minimum aan dataverlies voor een grote besparing en minimale reputatieschade.

Wil je werk van maken van de security van je back-ups of meteen een volledige IT security strategie, contacteer dan onze security-expert Steven vanden Berghe en informeer naar onze CSAT (Cyber Security Audit).

steven 86x86 (email)Steven vanden Berghe

Security specialist

Mail: Steven.vanden.berghe@econocom.com

 

 

Meer over onze cybersecurity audit >>

Gerelateerde artikelen

5raisons dopter pour linfogérance 350x256

Infrastructure

Je EOL/EOSL IT-materiaal onderhouden met third party maintenance

Patches & updates, onderhoudscontracten, SLA’s, ICT-materiaal dat end-of- life / end-of-service life gaat, enz. Kortom, kopzorgen waar iedere ...

LEES MEER +
training and skills 356x256

Infrastructure

Het geheim van succesvol migreren naar de cloud: training en skills

Eind 2019 voorspelde Gartner een groei van 17% voor de cloudmarkt in 2020. Deze grote omarming van de cloud kan suggereren dat dit een simpele stap ...

LEES MEER +