Een slechte back-up strategie kan aanvallers helpen!

Op vrijdag 31 maart 2023 is het alweer de 12^e World Backup Day. In de afgelopen 12 jaar zijn er al veel waar­schu­wingen gegeven over het belang van het maken van back-ups van data. Er is ook zeker veel veranderd in deze tijd, maar nog altijd worstelen veel orga­ni­sa­ties na een incident met het herstellen van belang­rijke gegevens uit back-ups. Data­ver­lies kan per ongeluk gebeuren, bijvoor­beeld door een mense­lijke fout, maar ook door een ransom­ware-aanval.  

Uit ons meest recente onderzoek blijkt dat slechts de helft (52%) van de slacht­of­fers van ransom­ware in 2022 versleu­telde data via back-ups wist te herstellen. Ongeveer een derde (34%) van de slacht­of­fers koos ervoor om het geëiste losgeld te betalen. Voor deze slacht­of­fers was het vaak de enige manier om hun data terug te krijgen. Dit kwam omdat ze geen adequate, up-to-date back-ups hadden of omdat de aanval­lers toegang hadden tot hun back-ups en ook deze konden versleu­telen of verwijderen.

Het ontdekken, blokkeren of verwij­deren van back-up data is tegen­woordig een vast onderdeel van een ransom­ware-aanval. Als aanval­lers gaten in back-upplannen vinden, dan zullen ze deze ook misbruiken.

Back-up stra­te­gieën waar aanval­lers blij mee zijn:

• Veel mensen met toegang tot de back-upsoft­ware: hoe meer mensen toegang hebben tot back-upsoft­ware, hoe groter het risico dat aanval­lers gestolen inlog­ge­ge­vens met domain admin of andere hoge toegangs­rechten kunnen misbruiken om in te breken. 
• Back-ups die gekoppeld zijn aan het netwerk: als het back-upsysteem aan het bedrijfs­net­werk is gekoppeld, kunnen aanval­lers zich vanaf een geïn­fec­teerd endpoint lateraal bewegen om de back-upsoft­ware te ontdekken, toegang te krijgen tot deze back-ups en ze te blokkeren of verwijderen. 
• Remote access tot back-upsys­temen: soms moeten back-upsys­temen op afstand verbin­ding maken met servers voor back-ups of beheer. In dat geval kan een zwakke aanpak van wacht­woord­au­then­ti­catie ertoe leiden dat er verbin­ding kan worden gemaakt met beschermde systemen als wacht­woorden worden geraden of gestolen. 
• Back-ups worden niet regel­matig gemaakt: ook al maakt een orga­ni­satie back-ups, dan kan er alsnog dagen, weken of zelfs maanden aan data verloren gaan na een incident als die back-ups niet regel­matig worden gemaakt. 
• Back-ups die niet worden getest: Het lijkt vanzelf­spre­kend, maar als het back-up- en herstel­proces niet wordt getest, kan je er niet van uitgaan dat deze ook werken als je ze nodig hebt. 

Alles wat back-ups onbe­trouw­baar maakt, vergroot de kans dat aanval­lers met succes losgeld eisen. Het bevei­ligen van back-upsoft­ware en appli­ca­ties is daarom van essen­tieel belang. Een robuuste security beperkt het risico dat aanval­lers back-up gegevens ontdekken en verwij­deren voordat een daad­wer­ke­lijke ransom­ware-aanval plaats­vindt. Zo zorgen ze ervoor dat slacht­of­fers hun systemen niet kunnen herstellen.

Back-up stra­te­gieën waar aanval­lers niet blij van worden:

Als u een robuuste back-upstra­tegie wilt ontwik­kelen die zowel op security als op de bedrijfs­con­ti­nu­ï­teit is gericht, volg dan deze tips:

• Maak back-ups van alles, niet alleen van de zakelijke data. Met een volledige systeem­back-up kunnen systemen sneller worden hersteld na een incident.
• Probeer te voorkomen dat uw back-upmanager op Windows draait, aangezien aanval­lers hier relatief gemak­ke­lijk op kunnen inbreken. Linux of een ander bestu­rings­sys­teem kan veiliger zijn.
• Zorg ervoor dat de back-up server anti-malware software draait.
• Overweeg om een geau­to­ma­ti­seerde back-upservice te imple­men­teren die ervoor zorgt dat er regel­matig een back-up wordt gemaakt van alle data. Dit zorgt voor een minimaal data­ver­lies bij het herstellen van data na een incident. 
• Zorg ervoor dat back-upsys­temen niet verbonden zijn met het bedrijfs­do­mein. Op deze manier kan een aanvaller met een gecom­pro­mit­teerd domain admin geen toegang krijgen tot de back-ups. 
• Imple­men­teer multi-factor authen­ti­catie (MFA) en Role Based Access Control (RBAC) om ervoor te zorgen dat alleen een klein aantal geau­to­ri­seerde gebrui­kers toegang heeft tot de back-ups. De moge­lijk­heid om back-upbe­standen te wissen mag slechts aan een zeer klein aantal gebrui­kers worden gegeven.
• Repliceer de back-ups off-site naar een externe locatie of een cloud­pro­vider die een fysieke scheiding biedt tussen de lokale, on-premises back-upserver en de off-site locatie. 
• Als u een back-up maakt van data in de cloud, dan is het verstandig om de back-up in de cloud te bewaren.
• Zorg ervoor dat alle gegevens worden versleuteld.
• Hanteer de 3:2:1 stan­daard­me­thode: drie reser­ve­ko­pieën, met behulp van twee verschil­lende media, waarvan er één offline wordt bewaard. 

Goede bedoe­lingen kunnen door een slechte uitvoe­ring worden onder­mijnd. Doe alles zorg­vuldig en test het dan. Voor elk incident waarbij het bedrijf werd gered door de off-site kopie van de data, is er waar­schijn­lijk een incident waarbij de aanval­lers zowel de primaire als de secun­daire kopieën van de data konden verwij­deren, omdat ze dezelfde secu­ri­ty­toe­gang deelden. 

Ik wens u een prettige World Backup Day!