Waarom back-ups niet genoeg zijn

Waarom het hebben van back-ups goed is, maar niet voldoende om u tegen ransomware te beschermen.

Zelfs pasgeboren baby’s lijken het woord ransomware tegenwoordig al te kennen — het verschijnt zorgwekkend vaak in kranten, magazines, infosec-rapporten en eigenlijk ongeveer overal wel. We noemden 2016 misschien wel het Jaar van Ransomware, maar dat was nog niets in vergelijking met 2017. En na een relatief rustig 2018 en 2019, zagen we ransomware in het jaar 2020 opnieuw de krantenkoppen beheersen.

Ons zakelijke blog bevat tientallen artikelen over ransomware, en die bieden bijna allemaal drie algemene tips:

  1. Gebruik goede bescherming.
  2. Download nooit verdachte bestanden van verdachte websites, open geen verdachte bijlages in e-mails van verdachte afzenders, en leer uw werknemers om dat ook niet te doen.
  3. Maak regelmatig back-ups van uw gegevens.

Van tijd tot tijd hoor ik de volgende protesten: bescherming en werknemersbewustzijn is allemaal goed en wel, maar waarom is het versterken van bescherming en trainen van werknemers nodig als we gewoon overal regelmatig een back-up van maken? We maken sowieso altijd al back-ups, en als we door ransomware getroffen worden, herstellen we gewoon alles. Dus wat is dan het probleem?

Dit is het probleem.

Back-ups moet herstelbaar zijn

Back-ups zijn natuurlijk noodzakelijk. Maar hebt u al eens geprobeerd om de infrastructuur van uw computer met een back-up te herstellen? Dat kan best eens lastiger zijn dan het klinkt, en hoe meer computers en heterogeniteit er in uw infrastructuur zijn, hoe moeilijker dit wordt. Ervaren IT-pro’s hebben allemaal vast wel eens te maken gehad met een back-up die niet alles herstelde of alles herstelde op een manier die niet helemaal binnen de verwachtingen lag. Het proces verloopt nooit zo snel als men hoopt. En soms werken back-ups helemaal niet mee.

Iedereen die wel eens in de spreekwoordelijke val van een back-up is gelopen, weet dat ze de integriteit van back-ups regelmatig moeten controleren, kijken of ze naar behoren werken bij het als oefening herstellen van de server, en over het algemeen moeten evalueren of de herstelwerkzaamheden, mochten die ooit nodig zijn, niet te lang zouden duren. En degenen die nog nooit een herstel vanaf een back-up hebben proberen uit te voeren, mogen niet al te gerust zijn; hun back-ups werken waarschijnlijk niet als de nood echt aan de man is.

Dit is een ander probleem met het vertrouwen op back-ups: als de back-up-server zich binnen de netwerk-perimeter bevindt, dan zal ransomware deze ook versleutelen samen met alle andere computers in het netwerk, wat betekent dat u uw herstelplannen gedag kunt zeggen.

Conclusie: Maximaliseer de kans op succes bij herstel door het netwerk te segmenteren, op verstandige wijze back-ups te maken en testherstelwerkzaamheden uit te voeren.

Herstelwerkzaamheden betekenen downtime, en downtime is duur

Voor grote bedrijven met verschillende apparaten en infrastructuren, is een snel herstel onwaarschijnlijk. Zelfs als de back-ups perfect werkten u zich uit de naad werkt om alles te herstellen, zal het toch nog een poosje duren.

Tijdens die weken (ja, we hebben het waarschijnlijk over weken, niet dagen), is het bedrijf inactief. Sommige gokken dat de kosten van dit soort downtime hoger liggen dan het betalen van de eigenaars van de ransomware (wij raden dit ten sterkste af). Hoe dan ook, downtime na een ransomware-aanval is onvermijdelijk; het is onmogelijk om de boel te decoderen en alle systemen en servers meteen weer actief te krijgen, zelfs als de cybercriminelen vriendelijk genoeg zijn om u een decryptor te verstrekken. In de echte wereld zijn cybercriminelen niet vriendelijk, en als ze dat wel zijn, werkt de decryptor niet noodzakelijkerwijs zoals bedoeld.

Conclusie: Om door ransomware veroorzaakte downtime te voorkomen, moet u simpelweg niet geïnfecteerd raken door ransomware. (Maar hoe? Het antwoord hierop is bescherming en werknemersbewustzijn!)

Moderne ransomware is erger dan alleen encryptors

Ransomware-bende richtten zich eerder vooral op eindgebruikers, en eisten ongeveer $ 300 in cryptogeld om alles te decoderen. Ze hebben nu echter de voordelen van het aanvallen van bedrijven ontdekt, die grotere bedragen kunnen betalen, en waarbij het ook waarschijnlijker is dát ze betalen. En sommigen van die cybercriminelen kennen geen scrupules als het gaat om organisaties die in de zorg actief zijn. Dit jaar hebben we tal van ziekenhuizen gezien die werden aangevallen, en onlangs werd er ook een bedrijf dat deel uitmaakt van de leveranciersketen van het coronavirusvaccin getroffen.

Moderne ransomware doet meer dan versleutelen — het sluimert op de achtergrond in netwerken en hevelt elk mogelijk stukje data over. Deze gegevens worden geanalyseerd en gebruikt om bedrijven met encryptie, lekken of beide te chanteren. In het losgeldbericht kan bijvoorbeeld staan dat als men niet betaalt, dit zal resulteren in de publicatie van persoonlijke gegevens van klanten of bedrijfsgeheimen van de onderneming. Hoewel dit nog niet fataal is, zou het de reputatie van het bedrijf beschadigen, wellicht zelfs permanent. Zo’n lek zal tevens een aantal zeer onaangename gesprekken met toezichthouders van AVG-regelgeving tot gevolg hebben.

Als een indringer besluit om uw bedrijfsgeheimen of de persoonlijke gegevens van gebruikers te lekken, dan helpen back-ups u niet. Als u die back-ups bovendien ergens opslaat, in de cloud bijvoorbeeld, is dat een relatief eenvoudig te bereiken plek voor insiders. Zij zouden de aanvallers van de informatie kunnen verstrekken die ze nodig hebben om u te chanteren.

Conclusie: Back-ups zijn nodig, maar niet voldoende om uw bedrijf tegen ransomware te beschermen.

De drie pilaren van beveiliging tegen ransomware

Nogmaals, aangezien er geen wondermiddel tegen ransomware bestaat, blijft ons advies hetzelfde: back-ups zijn absoluut noodzakelijk, maar moeten op juiste wijze worden gedaan, met zorgvuldigheid en hersteloefeningen. Die zorgvuldigheid omvat ook het kennen van de details van uw back-ups: hoe vaak uw bedrijf back-ups van gegevens maakt en waar die worden opgeslagen. Alle relevante werknemers moeten ook precies weten hoe ze de operaties weer opnieuw opstarten.

Bescherming is ook een must — niet alleen reactieve maar proactieve bescherming die voorkomt dat dreigingen voet aan de grond krijgen binnen uw netwerk. Het training van werknemers in de basics van cybersecurity en het regelmatig testen van hun kennis is net zo essentieel.

Kortom, uw veiligheid hangt af van drie woorden: back-ups, bescherming, bewustzijn. Hier moet allemaal rekening mee worden gehouden, en als dat ook het geval is, kunt u vol vertrouwen stellen dat u een optimale anti-ransomware-beschermingsstrategie hanteert.

Tips