U maakt hopelijk back-ups. Maar zijn die ook geschikt om te herstellen van een ransomware-aanval?

Als instructeur voor de masterclass 'Cyberveilig in 30 stappen' stelt Patrick Coomans vast dat er geen enkele sessie voorbijgaat zonder een uitvoerige discussie over het maken van back-ups, en vooral dan over de vraag of de gebruikte methodes wel soelaas bieden in het geval van een ransomware-aanval. Enkele tips.

Vaststellingen

Helaas is het antwoord dikwijls negatief: nee, de gebruikte methodes bieden vaak geen soelaas in het geval van een ransomware-aanval. Ik merk dat er veel misverstanden bestaan, waardoor veel bedrijven een vals gevoel van veiligheid hebben met betrekking tot hun back-ups. En dat is pijnlijk natuurlijk, want er is geen slechter ogenblik om vast te stellen dat je back-up onbruikbaar is op het ogenblik dat je als bedrijf moet herstellen van zo’n ransomware-aanval.

Tot enkele jaren geleden waren de vier belangrijkste use cases van een back-up de volgende:

1. Het snel kunnen herstellen van per ongeluk gewiste informatie.
2. Het snel kunnen herstellen van een defecte computer of gegevensopslag.
3. Het snel kunnen herstellen van een mislukte software-update.
4. Het snel kunnen herstellen van een overstroming, blikseminslag of brand.

Daar is nu een volledig verschillende use case bijgekomen:

1. Het snel kunnen herstellen van een ransomware-aanval.

Het grote verschil tussen de eerste vier use cases en de laatste is het moedwillige karakter ervan. Cybercriminelen die een ransomware-aanval uitvoeren, willen immers een zo sterk mogelijke onderhandelingspositie voor zichzelf creëren, en daarvoor volgen ze een redelijk vast stramien:

1. zo veel mogelijk gegevens stelen, en dreigen deze gegevens publiek te maken
2. alle gegevens encrypteren
3. meerdere manieren installeren om toegang te behouden tot het netwerk
4. back-ups onbruikbaar maken

Misconcepties

Gedurende de opleidingen die Patrick geeft merkt hij ook dat er heel wat misverstanden bestaan. Hieronder noemt hij de drie belangrijkste catastrofale misverstanden.

“We gebruiken een cloud drive, dus hebben we geen backup meer nodig”

Cybercriminelen slagen er steeds beter in om ook cloud drives te versleutelen, en worden steeds vernuftiger om ook de herstel- en beveiligingsmechanismen van cloud drives te omzeilen. Dat doen ze door bijvoorbeeld admin-rechten te proberen verwerven en vervolgens de instellingen van bijvoorbeeld cloud drives aan te passen, recycle bins te ledigen, en versie-systemen zo te bespelen dat de cloud drive over geen enkele geldige versie van de bestanden meer beschikt.

Bovendien hebben cloudleveranciers belangrijke aansprakelijkheidsbeperkingen. Contractueel bieden de meeste cloudleveranciers amper juridische en financiële zekerheid met betrekking tot het kunnen herstellen van bedrijfsgegevens in de cloud. De totale aansprakelijkheid wordt meestal beperkt tot bewezen rechtstreekse schade en een maximum bedrag ten belope van het abonnementsbedrag dat op één jaar tijd betaald werd.

“We maken een kopie naar een aparte netwerkschijf die fysiek ergens anders staat, dus we zijn veilig”

Als de netwerkschijf (bijvoorbeeld een Network Attached Storage of NAS) waarheen backups gemaakt worden gekoppeld is aan het netwerk, dan zullen de cybercriminelen deze netwerkschijf hoogstwaarschijnlijk ook mee encrypteren, waardoor de reservekopieën op deze schijf waardeloos worden. Kopies maken naar een aparte netwerkschijf is zeker zinvol, maar in het kader van ransomware is dat enkel maar zinvol indien deze netwerkschijf ontkoppeld wordt van het bron-netwerk.

“Als we getroffen worden door een ransomware, dan restoren we toch gewoon de gegevens van de vorige dag?”

Cybercriminelen die inbreken in een IT-systeem met als doel een ransomware-aanval uit te voeren, wachten tot het allerbeste ogenblik aanbreekt om het signaal te geven dat de gegevens moeten geëncrypteerd worden. Dikwijls hebben ze al enkele maanden toegang tot het IT-systeem, waardoor de back-ups ook al malware bevatten. Dikwijls is het dus geen optie om de back-up van daags voordien te restoren, maar is een back-up set nodig van 90 of 100 dagen voor de dag van de encryptie.

Start met het maken van een risicoanalyse, en maak onderscheid tussen meer en minder kritische processen, data en toestellen. Stem de back-up strategie af op deze risicoanalyse.

Duid aan wie in de organisatie verantwoordelijk is voor het instellen, beheren, monitoren en testen van de back-ups. Maak onderscheid in wie dit daadwerkelijk uitvoert, en wie toezicht houdt op de goede en stipte uitvoering.

Zorg voor een goede documentatie met in het achterhoofd een volledige herinstallatie van al uw IT-apparatuur, zoals bijvoorbeeld de architectuur, netwerktopologie, speciale instellingen, IP-adressen, configuratiegegevens van netwerkproviders, cloud providers, DNS-providers, hosting providers, enz.

Beslis hoe en waar alle gerelateerde activiteiten en beslissingen worden gedocumenteerd. Minimaal horen daar je procedures en technische beschrijvingen in, alsook een logboek met voor elke belangrijke activiteit het tijdstip waarop ze gedaan werd, wie ze deed, en eventuele opmerkingen over resultaten of ondervonden problemen.

Leg een regelmatig terugkerend ogenblik vast waarop verschillende restore-scenario’s getest worden, inclusief een volledige herinstallatie van applicaties en restore van gegevens in een blanco omgeving. Meet ook de tijd die nodig is voor een volledige restore, zeker indien je gebruik maakt van een cloud back-up provider. Daarbij is internetbandbreedte ook een bepalende factor. Documenteer de effectiviteit van de processen en formuleer verbeteringen.

Zorg dat deze processen en documentatie ook offline beschikbaar en up-to-date zijn, bijvoorbeeld op papier in een kluis.

Vooreerst: niets is 100% ransomware-proof. Maar laten we alvast onze kansen maximaliseren door het volgen van een goede back-up strategie. Helaas bestaat er niet zoiets als één enkele back-up strategie die voor élk bedrijf werkt. Het uitdenken van een goede back-up strategie is maatwerk, maar met onderstaande tips kan je in ieder geval al eens controleren of je huidige back-up strategie aan de onderstaande puntjes voldoet zodat hij zo ransomware-proof mogelijk is.

1. Schaf een professionele back-up oplossing aan van een gereputeerde fabrikant, en zorg dat deze oplossing alle relevante gegevensbronnen kan back-uppen en restoren, inclusief Active Directory, configuratiegegevens, virtuele servers, databases, logfiles, cloud data en cloud drives. Laat u eventueel bijstaan door een expert voor de keuze van de oplossing.
2. Plaats de back-up oplossing in een gescheiden netwerk (bv. een VLAN of achter een kleine firewall) en beperk de communicatie met de back-up oplossing tot enkel die computers die er werkelijk toegang tot moeten hebben. Blokkeer alle andere communicatie.
3. Volg de instructies van de fabrikant met betrekking tot ransomware. Zo raden de meeste fabrikanten aan om hun back-up oplossing te installeren in een aparte, uitsluitend daartoe bestemde Active Directory.
4. Zorg voor aparte back-up “admin” accounts die nominatief zijn (op naam van werkelijke personen) en uitsluitend gebruikt worden voor backup-restore activiteiten, nooit voor andere dagdagelijkse werkzaamheden. Cybercriminelen zullen veel moeite doen om toegang te proberen krijgen tot de administratieconsole van de back-up software. Zorg dus dat dit erg goed beveiligd is en dat er meteen waarschuwingen gegeven worden bij mislukte inlogpogingen.
5. Rust de back-up servers zelf uiteraard ook uit met een degelijke Endpoint Detection en Response (EDR) oplossing. Een inbraakpoging op de back-up server is wellicht een van de meest zwaarwichtige alarmen die je nooit mag missen.
6. Zorg ervoor dat op de back-up servers gedisciplineerd altijd alle allerlaatste updates en patches geïnstalleerd worden. Zorg er ook voor dat op back-up servers geen nodeloze software of diensten actief zijn: verwijder alles wat niet strikt noodzakelijk is.
7. Overweeg eventueel om de back-up server additioneel uit te rusten met zogenaamde File Integrity Monitoring (FIM) software. Dat is software die continu in het oog houdt of kritieke bestanden, zoals configuratiebestanden, scripts, opstartgegevens, enz. niet gewijzigd worden, en die een alarm geeft wanneer dit wel het geval is.
8. Zorg ervoor dat de back-ups immutable (onmogelijk te wijzigen) zijn. Denk hiervoor aan tapes, optische disks, NAS of SSD schijven die losgekoppeld worden, of gespecialiseerde cloud backup providers.
9. Zorg ervoor dat back-ups zelf geëncrypteerd worden, en dat u de voldoende complexe back-up encryptiesleutel ergens heel veilig offline bewaart. Er is immers geen eenvoudigere manier om alle bedrijfsgegevens te stelen, dan door de back-up te stelen.
10. Zorg ervoor dat back-up schema’s je toelaten om voldoende ver terug in de tijd te gaan: bijvoorbeeld per 4 uur, dagelijks, wekelijks, maandelijks, halfjaarlijks, enz.
11. Test regelmatig het scenario van een ransomware-aanval waarbij de volledige IT-omgeving terug moet opgebouwd worden. Typisch moet u eerst alle belangrijke applicaties restoren of herinstalleren, en daarna de gegevens restoren. Doe dit minimaal 1x per jaar.
12. Maak back-ups minimaal volgens het 3-2-1 principe:
    1. minimaal drie verschillende kopieën,
    2. gestockeerd op minimaal twee verschillende media waarvan één ervan offline (op geen enkele manier gekoppeld met het netwerk),
    3. en minimaal één kopie volledig offsite (op een andere locatie) bewaard wordt.

Schrijf in voor cyberstart.be, de gratis e-tutorial voor bedrijven om via één e-mail per week een cybersecurity stappenplan op te bouwen.