Het pijnlijkste moment van een ransomware-aanval is niet de versleutelde server. Het is het moment daarna, wanneer iemand de back-up erbij pakt en ontdekt dat die óók versleuteld is. In de praktijk gaat het daar vaker mis dan je denkt: de back-up draaide op dezelfde server, hing aan dezelfde netwerkschijf, of bleek al maanden stilletjes te falen.
Moderne ransomwarebendes weten dat een werkende back-up hun verdienmodel kapotmaakt. Ze zoeken na een inbraak dus eerst actief naar back-upsystemen en vernietigen die, vóórdat ze de rest versleutelen. Je back-upstrategie moet daarop berekend zijn.
De 3-2-1-regel
De klassieke vuistregel voor back-ups is simpel te onthouden:
- 3 kopieën van je data: het origineel plus twee back-ups;
- op 2 verschillende soorten opslag, bijvoorbeeld een NAS én cloudopslag;
- waarvan 1 kopie op een andere locatie staat, buiten je eigen netwerk.
Die laatste is de belangrijkste én de meest gemankeerde. Een externe schijf die permanent in de server zit telt niet — ransomware versleutelt gewoon alles wat als schijfletter zichtbaar is. Een NAS in hetzelfde netwerk telt ook maar half: die is via het netwerk bereikbaar en dus aanvalbaar.
Wat “offline” tegenwoordig betekent
Fysiek een tape of schijf wisselen en in een kluis leggen werkt nog steeds prima, maar er is een modern alternatief: onveranderbare (immutable) cloudopslag. Daarbij kan een back-up gedurende een ingestelde periode — zeg 30 dagen — door niemand worden gewijzigd of verwijderd, ook niet door een beheerder met gestolen inloggegevens. De meeste zakelijke back-updiensten en clouds bieden dit inmiddels aan onder namen als object lock of immutability; het kost vaak maar een vinkje bij het instellen.
Belangrijk daarbij: gebruik voor je back-upomgeving een apart account met eigen tweestapsverificatie. Als een aanvaller met het gewone beheerderswachtwoord ook bij je back-ups kan, heb je er alsnog weinig aan.
Testen, anders is het hopen
Een back-up die nooit is teruggezet, is geen back-up maar een aanname. Plan elk kwartaal een test waarin je daadwerkelijk iets herstelt: een map, een mailbox, en minstens één keer per jaar een complete server of werkplek. Meet hoe lang dat duurt. Bij een echte aanval is dat hersteltempo het verschil tussen twee dagen en twee weken stilstand — en twee weken stilstand overleeft niet elk bedrijf.
Leg tot slot vast waar de back-ups staan, wie erbij kan en hoe het herstel werkt, op een plek die je ook kunt bereiken als het netwerk plat ligt. Een uitgeprint A4’tje in de kast klinkt ouderwets, maar tijdens een incident is het goud.
Wie dit op orde heeft, haalt de angel uit ransomware: vervelend blijft het, maar betalen hoeft niet meer.
Redactie CybersecurityNieuws.nl
Blijf op de hoogte
Volg CybersecurityNieuws.nl via RSS en mis geen enkel beveiligingsnieuws. Zelf iets gezien dat wij moeten weten? Tip de redactie.