• • •
Econocom
contacteer ons
Econocom

  • volg ons

contacteer ons
standpunten, trends, toelichting van experten, …
econocom's media over digitale transformatie.
raadpleeg de blog
Econocom
contacteer ons

HOE JE BACKUP-DATA BESCHERMEN TEGEN CYBERATTACKS/RANSOMWARE?

nieuws
published on 28-04-2020

Stijgende cybercriminaliteit stelt dataverantwoordelijken voor een nieuwe uitdaging. Ook je back-ups moet je beter beveiligen. Technologie die je beschermt tegen ransomware is dus een kritieke factor bij de keuze voor een backup-tool.

In dit artikel bespreken we nieuwe features die helpen in het opsporen van ransomware-aanvallen, die je back-up beschermen en ervoor zorgen dat je snel kan heropstarten.

Samenvating 

  1. Trends in cybercriminaliteit
  2. Daarom doen we volgende aanbevelingen
  3. Ransomware niet onderschatten
  4. Kies de juiste tool voor je data back-up
  5. Cyberaanvallen snel detecteren
  6. Malwaredetectie in backup-oplossingen werkt op twee manieren:
  7. Een backup-strategie om je te beschermen
  8. Backup-software en backup-storage integreren
  9. Andere manieren om back-up te beveiligen:
  10. Data recoveren zoals een dirigent een orkest aanstuurt

Trends in cybercriminaliteit

  • Ransomware-aanvallen worden steeds slimmer en gaan gerichter op zoek naar back-upgegevens.
  • Geen enkele oplossingen biedt volledige bescherming tegen ransomware-aanvallen.
  • Er zijn gewoon meer cyberattacks. Niet alleen criminele organisaties maar in de wandelgangen hoor je soms ook dat overheidsinstanties achter de aanvallen zitten.
  • Cybercriminaliteit kan je  as-a-service online bestellen.
  • Ransomware is vaak een deel van een grotere aanval om systemen plat te krijgen.

Daarom doen we volgende aanbevelingen

  • Infrastructuur- en dataverantwoordelijken kunnen het volgende doen:
  • Network sharing protocols uitschakelen. Vermijd het gebruik van simpele network sharing protocols zoals CIFS of NFS.
  • Het backup-systeem beschermen. Bescherming van de beheerconsole en de kopie zorgt ervoor dat er altijd een werkende back-up is.
  • Multifactor-authenticatie (MFA) gebruiken.
  • Isoleer je recovery backup-omgeving, bijvoorbeeld met een AIRGAP-tool.

💡 Specialisten rekenen op zevenmaal meer ransomware-aanvallen. Tegen 2025 zou 75% van de bedrijven één of meerdere aanvallen hebben moeten doorstaan

Ransomware niet onderschatten

Ransomware is één van de gevaarlijkste dreigingen voor een organisatie. De aard en omvang ervan worden vaak verkeerd begrepen en onderschat. Die onderschatting zorgt voor te weinig aandacht voor maatregelen. Nog te veel ondernemingen zien ransomware als een geïsoleerde aanval. De realiteit is echter dat zo’n aanval meestal een kleiner stuk is van een grotere:

  • Binnendringen van het bedrijfsnetwerk: In de eerste fase van een aanval gaat men informatie en accounts proberen stelen
  • Stelen van accounts van kritieke systemen: In een tweede fase gaat men deze accounts omzetten tot admin accounts om toegang te krijgen tot bijvoorbeeld de back-up, AD, DNS, opslagsystemen en andere kritieke systemen.
  • Aanval op de admin backup-console: Met toegang tot de console kan de aanvaller backup-jobs uit- of aanschakelen en in kaart brengen waar belangrijke data opgeslagen zijn.
  • Data stelen: In veel gevallen wil men de data encrypteren om te gebruiken in toekomstige criminele activiteiten.

Dit proces kan weken tot maanden duren en laat meestal een malware achter die diep in de systemen verborgen is. Wanneer de malware zijn werk gedaan heeft, wordt de ransomware actief om alle data te encrypteren. Schadelijke aanvallen zoals deze komen regelmatig voor en nemen dagen, weken of maanden in beslag om te herstellen.

Kies de juiste tool voor je data back-up

Het backup-platform is dus cruciaal voor de recovery na een aanval. Producenten van backup-tools antwoorden hierop met drie features:

  • Detecteren van cyberaanvallen: Het systeem merkt vroegtijdig aanvallen op zodat de ransomware niet geactiveerd kan worden.
  • Het backup-systeem beschermen: Omdat het backup-systeem meestal aangevallen wordt als onderdeel van een grotere aanval, is bescherming belangrijk.
  • Herstellen van attacks: Het recovery-proces is zeker niet zo eenvoudig als het restoren van een verwijderd bestand. De snelheid en de automatisatie van het recoveren is dus van groot belang.

Cyberaanvallen snel detecteren

Het opmerken van verdachte activiteiten op het netwerk is meestal de “first line of defense”. Dat is het werk van anti-malware en antivirus-oplossingen. Door het toenemend aantal aanvallen is het niet aan te raden om alleen hierop te rekenen. Backup-oplossingen kunnen weliswaar een deel voor hun rekening nemen, maar uiteraard niet alles.

Malwaredetectie in backup-oplossingen werkt op twee manieren:

  1. Anomaly detection: Via machine learning of AI een verdachte handeling opmerken; bijvoorbeeld een plotse verandering in de hoeveelheid data bij een daily incremental back-up.
  2. Malware scanning: wanneer de back-up gelopen heeft, kan deze gescand worden op malware zonder de performantie in gevaar te brengen. Je kan ook retroactief werken: bij het herkennen van een malware-handtekening bij eerdere back-ups kan je terug in de tijd gaan om te bepalen wanneer de aanval begon.

Deze technieken zijn enkel een toegevoegde laag op alle anderen maatregelen die je neemt en zijn dus niet vervangend.

Een backup-strategie om je te beschermen

Vroeger richtten de aanvallen zich alleen op de vindbare data. Denk bijvoorbeeld aan een lek in de netwerkbeveiliging die backup-data publiek stelde op fileshares. Hackers worden echter steeds slimmer en zo ook hun software:

  • Als het backup-systeem gekraakt kan worden, is het ook mogelijk om te voorkomen dat het systeem zich kan herstellen.
  • Backup-systemen genereren een interne roadmap met de locatie van alle belangrijke data. Dat is zoals een schatkaart met “X marks the spot”.

Backup-software en backup-storage integreren

Het is mogelijk om een beveiligde backup-omgeving op te zetten op een apart subsysteem. Dat kan alleen als de beveiliging van de omgeving volledig in orde is. Verkeerde componenten kiezen of niet in staat zijn om je omgeving waterdicht te maken, kan leiden tot een exposure van je data.

Je kan dit voorkomen door de backup-storage te integreren op dezelfde appliance als de backup-software. Daardoor is de backup-store verscholen en kan die alleen bereikt worden via root access of toegang tot het onderliggende OS.

Andere manieren om back-up te beveiligen:

  • Een immutable file storage creëren, gescheiden van andere back-ups
  • Network sharing protocols deactiveren
  • Multifactor authenticatie gebruiken voor admin accounts
  • Admin accounts met verschillende rechten aanmaken
  • Meerdere kopieën van je backup-data maken
  • Een geïsoleerde recovery omgeving opzetten

Data recoveren zoals een dirigent een orkest aanstuurt

Data restoren is niet zo eenvoudig als op een knop duwen, even koffie gaan drinken en terugkomen wanneer alles oké is. Er is meer werk dan dat: in kaart brengen welke data eerst moet komen, welke je recoverytijden zijn, welke systemen welke data nodig hebben, enzovoort. Moderne backup-software kan je hierbij helpen en plant het recoveryproces in overeenstemming met je hersteltijd. Reken erop dat je ook zelf zal moeten ingrijpen om alles tot een goed einde te brengen.

meer weten over onze cybersecurity audit
One digital company