In de jaren 1800 terroriseerde Butch Cassidy het wilde westen met het beroven van banken en treinen. Cassidy kende de kwetsbaarheid van een rijdende Union Pacific-trein en hij gebruikte valse spoorwegsignalen om het voertuig midden in de woestijn tot stilstand te dwingen. Daar had hij alle gelegenheid om de wagons binnen te gaan en kostbaarheden te roven. De technologie mag dan sinds die tijd aanzienlijk zijn geëvolueerd, maar de mentaliteit van criminelen is dat niet: zij willen een maximale opbrengst en een minimaal risico om gepakt te worden. Als Butch Cassidy vandaag actief zou zijn, zou hij data roven in plaats van harde dollars en hij zou ransomware gebruiken in plaats van een revolver.
De cybercriminelen moeten het hebben van social engineering scams, phishing-aanvallen en hacks om binnen te komen. In de spreekwoordelijke bankkluis of treinwagon zitten data – uiterst waardevol en gevoelig, waardoor bedrijven aan de genade van de rovers zijn overgeleverd. Een van hun belangrijkste wapens om het slachtoffer af te persen is ransomware.
Doelwit: back-ups
Volgens de cyberbeveiligingsgroep Emsisoft heeft ransomware in 2020 wereldwijd voor honderden miljarden dollars aan economische schade aangericht. Bedrijven moeten zich realiseren dat ze het doelwit kunnen zijn van ransomware-aanvallen die met ongekende snelheid toenemen. Ze hebben daarom een betrouwbare, robuuste strategie voor dataprotectie nodig, zodat ze na een geslaagde aanval data meteen kunnen terughalen. Het maken van back-ups is natuurlijk een essentieel onderdeel van een recoverystrategie, maar dat weten cybercriminelen ook. Wie met succes zijn data kan herstellen zal geen losgeld betalen. De gemiddelde hacker brengt meer dan 200 dagen op een netwerk door voordat hij iets versleutelt. Hackers plannen hun overval zorgvuldig, net als Cassidy, en proberen toegang te krijgen tot zoveel mogelijk systemen binnen het netwerk voordat ze hun slag slaan en daar horen back-ups ook bij.
De eerste aanval wordt gebruikt om ongemerkt het netwerk binnen te komen. Eenmaal binnen, spendeert de hacker veel tijd om toegang te krijgen tot logingegevens van legitieme gebruikers. Er bestaan zelfs hacker tools om directory services aan te vallen om zo inloggegevens te verkrijgen. Als ze eenmaal de juiste logingegevens hebben, kunnen ze vrijwel alles doen.
De oplossing
Organisaties hebben een drieledige strategie nodig: om zich voor te bereiden op een aanval, om de impact ervan te minimaliseren en om te herstellen van een aanval.
- Kijk eerst naar de algemene securityhygiëne, zoals het updaten van software en besturingssystemen met de nieuwste patches; het trainen van personeel en het regelmatig maken van back-ups.
- Weet wat ‘normaal’ is binnen de infrastructuur. Anders kan het weken duren voordat iemand merkt dat gegevens of systemen gecompromitteerd kunnen zijn.
- Maak snel herstel mogelijk. Organisaties hebben daarvoor back-ups nodig die beveiligd zijn en niet kunnen worden gewist, gewijzigd of versleuteld.
Scheiding met ‘air gaps’
Zogeheten ‘air gaps’ zijn een manier om productie- en back-up-netwerken gescheiden te houden. Het doel van een air gap is om back-ups te isoleren van lokale netwerken en productiegebieden die kwetsbaarder zijn voor aanvallen. Door alleen met regelmatige tussenpozen data vanuit het productienetwerk binnen te laten, kunnen back-ups regelmatig worden bijgewerkt, maar zonder dat de twee permanent met elkaar verbonden zijn. Er zijn echter een paar problemen met air gaps:
- Ze zijn niet 100% immuun voor aanvallen.
- Ze kunnen duur zijn om te implementeren en moeilijk te beheren.
- Ze zijn niet super schaalbaar en kunnen het herstel van grote hoeveelheden data vertragen.
Met onveranderlijke back-ups (snapshots) en air gaps kan dataherstel toch lang duren. Als een grote onderneming ook maar één uur plat ligt, kan dat miljoenen kosten en het vertrouwen en de loyaliteit van klanten onherstelbare schade toebrengen. Bovendien is er geen typisch scenario voor dataherstel na een ransomware-aanval. Het kan nodig zijn om alle bestanden te herstellen, of alleen enkele databases. Het herstellen van één database kan enkele uren, maar soms ook dagen kosten.
Stel nu dat er 50 of 100 databases moeten worden hersteld, dan wordt duidelijk hoe belangrijk herstelsnelheid is. Bij de beoordeling van leveranciers van opslag en back-up is het daarom van cruciaal belang dat organisaties SLA’s vaststellen en een back-upoplossing kiezen die gegevens kan herstellen met een snelheid van honderden terabytes per uur. Uiteindelijk hebben organisaties een strategie nodig die de juiste preventieve maatregelen combineert met regelmatige snapshots van onveranderlijke gegevens en een zeer snelle hersteloplossing. Alleen dan kan de business zo snel mogelijk worden hervat.
Marco Bal, Principal Systems Engineer, Pure Storage
