In aflevering 3 kijken we verder naar wat er nodig is om een moderne data ervaring te realiseren en deze week richten we onze aandacht op bescherming tegen ransomware. Een goede oplossing kan organisaties helpen zeer snel te herstellen van een succesvolle aanval en om kostbare downtime te minimaliseren. Ransomware is geen nieuwe bedreiging, maar is op dit moment echt een plaag. Volgens de Nederlandse politie zijn er in het eerste kwartaal van 2021 meer dan 3.800 gevallen van cybercrime geregistreerd, bijna een verdubbeling ten opzichte van dezelfde periode in 2020. Het werkelijke aantal incidenten ligt nog hoger: in het afgelopen jaar was meer dan de helft van de Nederlandse organisaties slachtoffer van ransomware. We hebben de laatste tijd zeer verwoestende ransomware-aanvallen gezien. Bijvoorbeeld de aanval op de Colonial Pipeline in de Verenigde Staten, waardoor de olietoevoer enkele dagen kwam stil te liggen. In Nederland hebben we te maken gehad met aanvallen op de Universiteit van Maastricht en de gemeente Hof van Twente, en een golf van ransomware-aanvallen op een veelgebruikte mailserver.
Er zijn verschillende redenen voor de explosieve groei van ransomware. Allereerst de massale verschuiving naar werken op afstand vorig jaar en werknemers die vervolgens geen veilige verbinding hebben met bedrijfsnetwerken. De hackers van Colonial Pipeline maakten naar verluidt gebruik van een onbeschermde VPN-verbinding om toegang te krijgen tot de bedrijfssystemen. Deze hack kostte het bedrijf veel geld en veroorzaakte brandstoftekorten aan de oostkust van de VS. Een andere reden voor de toename van het aantal aanvallen is dat ransomware-campagnes gemakkelijk zijn uit te voeren. Op het dark web zijn veel ‘leveranciers’ te vinden die kwaadaardige software en diensten verkopen of leasen aan iedereen die een cyberaanval wil uitvoeren. Het ransomware-as-a-service (RaaS) bedrijfsmodel zorgt voor een efficiënt platform voor elke ondernemende cybercrimineel die ransomware-campagnes wil lanceren.
Laatste verdedigingslinie
Veel organisaties, vooral die met complexe IT-omgevingen met veel legacy-componenten, kunnen er tegenwoordig wel op vertrouwen dat ze alles beveiligd hebben. Vooral als het om hun data gaat. Want met veel van de basis securityprincipes, zoals het updaten en patchen van systemen, het segmenteren van netwerken en het opstellen en testen van incident response plannen, kunnen ze zoveel mogelijk voorkomen dat ze worden getroffen door ransomware. Alleen is ‘zoveel mogelijk’ geen garantie. Organisaties, en datagestuurde organisaties in het bijzonder, zullen daarom verder moeten kijken, met name naar back-uptechnologieën en -diensten als laatste verdedigingslinie tegen dataverlies na ransomware-encryptie.
Moderne dataprotectie
Een bedrijf dat wordt getroffen wil er 100% zeker van zijn dat de dataprotectie op orde is en wil geen enkele kans lopen dat back-ups gewist worden of dataprotectie-methoden gecompromitteerd zijn door de cybercriminelen. De implementatie van een moderne dataprotectie-aanpak die de complexiteit van databeveiliging wegneemt zorgt voor vertrouwen hierin en biedt gemoedsrust omdat kritieke data daadwerkelijk zijn beschermd. Onveranderlijkheid van back-updata en back-up metadata is hierbij essentieel. Dankzij onveranderlijkheid zijn kritieke gegevens altijd klaar voor herstel. Om data in een onveranderlijke staat te brengen, is het echter nodig regelmatig snapshots en back-ups te maken, die niet kunnen worden gewijzigd, versleuteld of verwijderd. Zo’n snapshot is de snelste manier om data te herstellen na een ransomware-aanval. Indien snapshots niet onveranderlijk waren en toch versleuteld of verwijderd waren, is herstel van vanuit een back-up nodig. De organisatie moet in staat zijn de data snel, effectief en zonder vertragingen te herstellen. Dit betekent dat de organisatie meteen weer aan de slag kan en zich weer kan richten op de bedrijfsvoering.
Opschonen kan tijd kosten!
Ondanks dat data back-ups en recovery essentieel zijn om van een ransomware-aanval te herstellen, moeten organisaties nog steeds proactief stappen ondernemen om ervoor te zorgen dat het herstel ook écht snel zal verlopen. Als ze niet snel kunnen handelen nadat ze zijn getroffen en het zich niet kunnen veroorloven om weken of langer te wachten op herstel, kunnen ze wanhopig worden en alsnog het losgeld betalen. Hoewel het in Nederland niet expliciet bij wet verboden is om losgeld te betalen wanneer data worden gegijzeld, is toch het dringend advies om cybercriminelen nooit te betalen. Betaling kan weliswaar resulteren in het verkrijgen van een decryptie-tool, maar dat kan dagen of weken duren. Bovendien is er na betaling geen garantie dat de hackers helpen als iets met de decryptie niet goed gaat – het zijn tenslotte anonieme criminelen.
Helaas weten cybercriminelen ook dat back-ups de laatste verdedigingslinie zijn. Wie met succes kan herstellen, betaalt natuurlijk geen losgeld. Gemiddeld zijn hackers meer dan 200 dagen in het netwerk aanwezig voordat ze iets versleutelen. Ze plannen hun aanvallen zorgvuldig en proberen toegang te krijgen tot zoveel mogelijk systemen voordat ze hun slag slaan. De eerste aanval wordt gebruikt om ongemerkt het netwerk binnen te komen. Eenmaal binnen spendeert de hacker veel tijd om toegang te krijgen tot login-gegevens waarmee zij verder in het netwerk kunnen doordringen. Er bestaan zelfs hacker tools speciaal om directorydiensten aan te vallen met als doel die inloggegevens te bemachtigen. Als ze eenmaal de juiste hebben, kunnen ze vrijwel alles doen, inclusief het beschadigen of versleutelen van snapshots en back-ups.
Het komt aan op snelheid
Zelfs met onveranderlijke back-ups kunnen organisaties toch nog worden beperkt door de snelheid waarmee ze gegevens kunnen herstellen. Na een ransomware-aanval is er namelijk geen standaard scenario voor datarecovery. Het kan bijvoorbeeld zijn dat alle bestanden hersteld moeten worden, of slechts enkele databases. Aangezien langdurige downtime nog meer schade kan aanrichten dan het betalen van het losgeld, wordt de snelheid waarmee de systemen weer operationeel zijn nog belangrijker. Het is niet ongewoon dat herstel van een database enkele uren of soms zelfs dagen in beslag neemt. Stel dat er 50 of 100 databases moeten worden hersteld, dan wordt duidelijk hoe belangrijk recoverysnelheid is na een aanval. Er zijn dus back-upoplossingen nodig die systemen binnen enkele minuten of uren weer volledig online krijgen, in plaats van dagen of nog veel langer. Hoewel een geslaagde ransomware-aanval nog steeds erg vervelend is en het bedrijf verstoort, zal een sneller herstel de organisatorische, financiële en ook de reputatieschade kunnen beperken.
Direct weer aan de slag
Uiteindelijk hebben organisaties een strategie nodig die de juiste preventieve maatregelen combineert met geregeld gemaakte en onveranderbare snapshots en back-ups van data en een snelle recoveryoplossing om zo snel mogelijk weer operationeel te zijn. Als data niet snel genoeg kunnen worden hersteld om ingrijpende gevolgen voor de organisatie, de reputatie en de financiën te voorkomen, is al het werk op securitygebied voor niets geweest. Ongeacht het platform of de onderliggende technologie, zijn hoge recoverysnelheden nodig zodat het bedrijf niet hoeft te wachten. Het is de enige manier om alle data te beschermen en ervoor te zorgen dat de cybercriminelen niet in hun opzet slagen.
In de volgende en laatste aflevering 4 kijken we naar de applicaties van morgen: native cloud, microservices en containers.
Marco Bal, Principal Systems Engineer, Pure Storage
Lees hier aflevering 1: Hoe bereik je de Moderne Data Experience
Lees hier aflevering 2: Storage as a service (STaaS), of toch een eigen systeem?
