Ransomware is in de laatste jaren uitgegroeid tot een van de grootste cybersecurity dreigingen van onze tijd. Het kan organisaties volledig platleggen en enorme financiële en reputationele schade veroorzaken. De dreiging van ransomware is helaas realiteit geworden voor zo’n beetje iedere organisatie. Hoe kunnen organisaties zich hier tegen weren?
Volgens het Veeam Data Protection Trends Report werd 85 procent van de organisaties vorig jaar getroffen door ten minste één ransomware-aanval. Iets minder dan de helft (48 procent) had zelfs te maken met twee of drie aanvallen.
Naarmate cybercriminelen continu op zoek zijn naar nieuwe manieren om beveiligingsmaatregelen te omzeilen, is het een kwestie geworden van wanneer, niet of, een succesvolle aanval plaats zal vinden. Traditionele preventiemethoden, zoals firewalls en antivirus software, zijn nog steeds cruciaal, maar op zichzelf niet langer genoeg om geavanceerde ransomware-aanvallen tegen te houden. Organisaties moeten robuuste herstelstrategieën prioriteren om de impact op hun werkzaamheden, de bedrijfscontinuïteit en de reputatie te minimaliseren. Om substantiële veerkracht op te bouwen, moet er meer nadruk komen te liggen op het versterken van incident response- en disaster recovery-plannen en -processen.
Het betalen van losgeld staat niet gelijk aan herstel
Het betalen van losgeld is géén herstelstrategie en het simpelweg back-uppen van data ook niet. Het Veeam Ransomware Trends Report laat zien dat de meerderheid (80%) van organisaties bereid is om losgeld te betalen om een aanval te eindigen en hun data te herstellen. Dit is een toename van 4 procent ten opzichte van het jaar ervoor. Dit is ondanks dat 41 procent van de organisaties een ‘Do-Not-Pay’-beleid heeft. Van degenen die het losgeld betaalden, slaagde slechts 59 procent erin hun data te herstellen en 21 procent die betaalden, verloren alsnog hun data.
Hoewel er misschien gedacht wordt dat een back-up voldoende is om geen losgeld te hoeven betalen, richt inmiddels meer dan 93 procent van de aanvallen zich op back-ups. In 75 procent van de gevallen werd hierdoor het vermogen om succesvol te herstellen aangetast.
Een betrouwbaar disaster recovery-proces bestaat uit drie stappen: voorbereiding, respons en herstel. Een goede voorbereiding omvat het hebben van back-ups en een herstellocatie. Dit is iets waar veel organisaties niet over nadenken totdat het te laat is. Daarnaast is het goed om te weten dat herstellen naar de originele omgeving vaak niet kan, omdat deze gecompromitteerd is of wordt onderzocht als de plaats delict. Effectieve bestrijding omvat het melden en beheersen van een incident, een vooraf gedefinieerde operationele reactie en forensisch onderzoek om erachter te komen wat er is getroffen en of omgevingen (met name back-ups) zijn aangetast. Alleen dan kan er met vertrouwen worden hersteld.
Snel herstellen na ransomware is de sleutel tot succes
Er is geen twijfel dat ransomware-aanvallen zich continu blijven ontwikkelen. Hun schaal, geavanceerdheid en impact worden alleen maar groter. Het is niet langer de vraag óf je het doelwit zal worden van een cyberaanval, maar hoe vaak. Dit betekent dus ook dat beveiligingsstrategieën zich steeds vaker richten op herstel in plaats van preventie.
Ondanks dat beveiliging en preventie belangrijk blijven, is herstel de absolute prioriteit in het gevecht tegen ransomware. Het hebben van een goed disaster recovery-plan is daarbij essentieel. Door data back-ups en investeringen in moderne hersteltechnologieën te prioriteren en robuuste disaster recovery-plannen op te stellen, kunnen organisaties hun veerkracht versterken, hun herstelvermogen vergroten en ervoor zorgen dat zij niet het zoveelste slachtoffer worden.
Begin met robuuste back-ups
– De voorbereiding voor disaster recovery is alleen effectief als de back-ups waterdicht zijn. Volg deze gouden regels om veerkracht te vergroten:
– Beveiligingsteams moeten ervoor zorgen dat er een onveranderlijke kopie is van alle kritieke data. Dit voorkomt dat hackers deze data kunnen aanpassen of versleutelen.
– Dataversleuteling is cruciaal om gestolen data ontoegankelijk en onbruikbaar te maken voor hackers.
– Het belangrijkste aspect om herstelstrategieën te versterken is het toepassen van de 3-2-1-1-0 back-up-regel. Deze regel is essentieel om betrouwbare dataprotectie en herstel te garanderen. Het omvat het houden van minimaal drie kopieën van de data, zodat zelfs wanneer twee apparaten gecompromitteerd worden of falen, er nog een extra kopie beschikbaar is. Organisaties zouden deze back-ups op moeten slaan op ten minste twee verschillende typen media, zoals een kopie op een interne harde schijf en een andere in de cloud. Een kopie moet altijd opgeslagen worden op een veilige offsite locatie en een andere moet offline (air-gapped) zijn zonder verbinding met de primaire IT-infrastructuur. De ‘0’ fase is erg belangrijk, er mogen namelijk géén fouten zitten in de back-ups. Dit kan worden bereikt door regelmatig te testen, idealiter aangevuld met constante monitoring en hersteltrainingen.
Edwin Weijdema
Field CTO EMEA and Lead Cybersecurity Technologist bij Veeam