Ransomware is in de laatste jaren uitgegroeid tot één van de grootste cybersecurity dreigingen van onze tijd. Het kan organisaties volledig platleggen en enorme financiële en reputationele schade veroorzaken. De dreiging van ransomware is helaas realiteit geworden voor vrijwel elke organisatie. Volgens het Veeam Data Protection Trends Report werd 85% van de organisaties vorig jaar getroffen door ten minste één ransomware-aanval. Iets minder dan de helft (48%) had zelfs te maken met twee of drie aanvallen.
Naarmate cybercriminelen continu op zoek zijn naar nieuwe manieren om beveiligingsmaatregelen te omzeilen, is het een kwestie geworden van wanneer, en niet of, een succesvolle aanval zal plaatsvinden. Traditionele preventiemethoden, zoals firewalls en antivirus software, zijn nog steeds cruciaal, maar op zichzelf niet voldoende om geavanceerde ransomware-aanvallen tegen te houden. Organisaties moeten robuuste herstelstrategieën prioriteren om de impact op hun werkzaamheden, de bedrijfscontinuïteit en de reputatie te minimaliseren. Om substantiële veerkracht op te bouwen, moet er meer nadruk gelegd worden op het versterken van incident response- en disaster recovery-plannen en -processen.
Het betalen van losgeld staat niet gelijk aan herstel
Het betalen van losgeld is géén herstelstrategie, net zo min als het simpelweg back-uppen van data. Uit ons Veeam Ransomware Trends Report blijkt dat de meerderheid (80%) van de organisaties bereid is losgeld te betalen om een aanval te beeïndigen en hun data te herstellen. Dit is een toename van 4% ten opzichte van het jaar ervoor. Dit is ondanks het feit dat 41% van de organisaties een ‘Do-Not-Pay’-beleid heeft. Van degenen die het losgeld betaalden, slaagde slechts 59% erin hun data te herstellen en 21% die betaalden, verloren alsnog hun data.
Hoewel je misschien denkt dat je voldoende hebt aan een back-up om het betalen van losgeld te voorkomen, richt inmiddels meer dan 93% van de aanvallen zich op back-ups. In 75% van de gevallen heeft dit het het vermogen om succesvol te herstellen aangetast.
Een betrouwbaar disaster recovery-proces bestaat uit drie stappen: voorbereiding, respons en herstel. Een goede voorbereiding omvat het hebben van back-ups (niet alle back-ups zijn gelijk, maar hier later meer over) en een herstellocatie. Dit is iets waar veel organisaties niet over nadenken totdat het te laat is. Daarnaast is het goed om te weten dat je vaak niet herstellen naar de originele omgeving omdat deze gecompromitteerd is of wordt onderzocht als de plaats delict. Een effectieve bestrijding omvat het melden en beheersen van een incident, een vooraf gedefinieerde operationele reactie en forensisch onderzoek om uit te zoeken wat er is getroffen en of omgevingen (met name back-ups) zijn aangetast. Alleen dan kun je met vertrouwen herstellen.
Begin met robuuste back-ups
De voorbereiding voor disaster recovery is alleen effectief als de back-ups waterdicht zijn. Volg deze gouden regels om de veerkracht te vergroten.
- Beveiligingsteams moeten ervoor zorgen dat er een onveranderlijke kopie is van alle kritieke data. Dit voorkomt dat hackers deze data kunnen aanpassen of versleutelen.
- Dataversleuteling is cruciaal om gestolen data ontoegankelijk en onbruikbaar te maken voor hackers.
- Het belangrijkste aspect om herstelstrategieën te versterken is het toepassen van de 3-2-1-1-0 back-up-regel. Deze regel is essentieel om betrouwbare dataprotectie en herstel te garanderen. Het omvat het houden van minimaal drie kopieën van de data, zodat zelfs wanneer twee apparaten gecompromitteerd worden of falen, er nog een extra kopie beschikbaar is. Organisaties zouden deze back-ups moeten opslaan op ten minste twee verschillende typen media; zoals een kopie op een interne harde schijf en een andere in de cloud. Een kopie moet altijd opgeslagen worden op een veilige offsite locatie en een andere moet offline (air-gapped) zijn zonder verbinding met de primaire IT-infrastructuur. De ‘0’ fase is erg belangrijk, er mogen namelijk géén fouten zitten in de back-ups. Dit kan worden bereikt door regelmatig te testen, idealiter aangevuld met constante monitoring en hersteltrainingen.
Snel herstellen na ransomware is de sleutel tot succes
Er is geen twijfel dat ransomware-aanvallen zich continu blijven ontwikkelen. Hun schaal, geavanceerdheid en impact worden alleen maar groter. Het is niet langer de vraag óf je het doelwit zal worden van een cyberaanval, maar hoe vaak. Dit betekent dus ook dat beveiligingsstrategieën zich steeds vaker richten op herstel in plaats van preventie.
Ondanks dat beveiliging en preventie belangrijk blijven, is herstel de absolute prioriteit in de strijd tegen ransomware. Het hebben van een goed disaster recovery-plan is daarbij essentieel. Door data back-ups en investeringen in moderne hersteltechnologieën te prioriteren en robuuste disaster recovery-plannen op te stellen, kunnen organisaties hun veerkracht versterken, hun herstelvermogen vergroten en ervoor zorgen dat zij niet het zoveelste slachtoffer worden.