Backupsystemen beschermen knowledge tegen ransomware, diefstal en sabotage. Maar onthouden dat het gebruik van backups alleen niet zaligmakend is. Ofwel, backupsystemen hebben, betekent niet dat knowledge volledig beschermd zijn.
Te midden van het toenemend aantal (snelle) aanvallen, kunnen de gevolgen van ondermaatse backups desastreus zijn. Zo bericht IBM in zijn rapport ‘Price of a Information Breach’ dat wereldwijd de gemiddelde kosten van een datalek stegen met dertien procent op jaarbasis tot een recordbedrag van 4,3 miljoen greenback verlies. Organisaties in de VS werden het meest getroffen (gemiddeld verlies per breach: 9,4 miljoen greenback), en de gemiddelde duur van het identificeren en onder controle krijgen van een datalek duurde meer dan 275 dagen – gelijk aan een downtime van negen maanden.
Aanvallers opereren geavanceerd en maken daarbij gebruik van lastig te traceren ttp’s die kwetsbaarheden in backupsystemen misbruiken. Distant-access-backups zijn vaak afhankelijk van wachtwoordbeveiliging, en vanwege een slecht wachtwoordbeleid (of het ontbreken van tweefactorauthenticatie) zijn backupsystemen een gemakkelijk doelwit.
Information van organisaties zijn kwetsbaar wanneer er geen backups plaatsvinden op ten minste drie verschillende locaties. Deze 3-2-1-regel combineert cloud-, on-premises- en offline-kopieën om ervoor te zorgen dat knowledge zijn te bewaren (zelfs als een online-backup wordt verstoord). Van alle vormen van backupsystemen zijn cloudbackups het kwetsbaarst. Organisaties zouden op hun beurt een on-premises backup moeten gebruiken die snel herstel op schaal kan stimuleren, vooral in gevallen waarin er een grote hoeveelheid kritieke knowledge moet worden hersteld.
Houd er altijd rekening mee dat de herstelsnelheid van tevoren getest moet worden. Dit biedt een nauwkeurige barometer van hoelang het zal duren om gevoelige bestanden te herstellen na een inbreuk. Ter illustratie: het kostte de stad Atlanta zeven volle dagen om na een ransomware-aanval weer up and operating te zijn. Bij een soortgelijke aanval op de gemeentelijke afdeling van Baltimore duurde het herstel zelfs langer dan zes weken. Totale kosten als gevolg van operationele downtime? Een slordige twintig miljoen greenback.
Reguliere publish
“Zonder decoderingssleutel hebben kwaadwillenden dan nog steeds niets aan de door hen ontvreemde knowledge”
Of het nu gaat om fysieke backupbestanden die (through de reguliere publish) worden verzonden of online-backups die naar de cloud migreren: knowledge die een organisatie verlaten, moeten te allen tijde worden versleuteld. Zonder decoderingssleutel hebben kwaadwillenden dan nog steeds niets aan de door hen ontvreemde knowledge. Daarnaast moeten organisaties prioriteiten toekennen aan de drie basiscomponenten van effectief databeheer:
Bescherm zowel primaire als secundaire gegevensback-ups actief tegen verlies, diefstal en corruptie met de mogelijkheid om gegevens snel te herstellen na een incident.
Creëer een goed gedefinieerde security-architectuur die de veilige opslag van databack-ups bevordert (zowel on-premises als in de cloud).
Zorg ervoor dat alle back-upsystemen en netwerkgebruikers continu een toegangsbeleid volgen dat in overeenstemming is met de geldende nalevingsvoorschriften.
Datacrash
Resumerend: backupsystemen zijn in eerste instantie nooit ontworpen om de strijd tegen onder meer ransomware aan te gaan – meer in het geval van een datacrash of bij het per ongeluk verwijderen van knowledge. Maar nu cyberdreigingen onder meer gevoelige knowledge in het vizier hebben, zijn niet een, niet twee maar minimaal drie back-uplocaties bittere noodzaak geworden. Geen abc’tje, maar een 1-2-3’tje.
(Auteur Johannes Ullrich is school fellow bij SANS Institute)