Skip to content

Vanuit het oogpunt van hackers zijn backups slecht nieuws. Ze geven jouw bedrijf een reddingslijn en een middel tot herstel, en daarom zijn ze een belangrijk doelwit tijdens een aanval. Voor een hacker is de kans op losgeld groter wanneer het voor jou moeilijker is om gegevens te herstellen. Door jouw backups te versleutelen of te wissen, heeft jouw bedrijf geen vangnet om op terug te vallen, en des te effectiever wordt de aanval.

Liever video? Bekijk ons recente webinar (Engelstalig) over dit onderwerp

Voor het doel van deze blog gaan we ervan uit dat een hacker al toegang heeft tot jouw netwerk. Stel dat ze binnen zijn gekomen via een zeer gerichte phishing campagne en zich in de loop van een paar weken een weg hebben gebaand naar jouw datacenteromgeving. Bij elke stap hebben ze hun sporen gewist om detectie te voorkomen, waarbij ze gaandeweg meer inzicht hebben gekregen in jouw technische landschap.

Voordat de aanvallers zich kenbaar maken door ransomware te installeren op elke endpoint en server die is aangesloten op jouw netwerk, gaan ze eerst op zoek naar jouw backups. Hieronder lees je de vijf kwetsbaarheden die hackers graag misbruiken om jouw backups te versleutelen of te verwijderen.

Backup best practices voor ransomware

  1. Maak geen backups naar dezelfde omgeving
    Aangezien een hacker al toegang heeft tot jouw datacenteromgeving, maakt het opslaan van een kopie op dezelfde plaats als waar de data worden gemaakt het voor hackers gemakkelijk om jouw backups te verwijderen.
  2. Zorg voor een scheiding tussen jouw backup server en de rest van jouw netwerk
    Hoe meer jouw backup server kan communiceren met de rest van het netwerk, hoe gemakkelijker hij te vinden is via een netwerkscan. Als je bijvoorbeeld een backup maakt naar jouw hypervisor, hoeft jouw backup server niet met jouw domeincontroller te praten. Met een goede netwerkscheiding maak je het hackers moeilijk, vertraag je hen en verhoog je de kans op detectie.
  3. Zorg ervoor dat backup servers niet dezelfde Active Directory (AD) delen
    Als jouw backup servers op dezelfde AD zijn ingesteld, kunnen hackers deze gedeelde authenticatie gebruiken om toegang te krijgen tot meerdere backup servers en de gegevens verwijderen.
  4. Gebruik niet hetzelfde SAN voor de opslag van backup en productiegegevens
    We hebben gevallen gezien waarbij een SAN die wordt gebruikt voor replicatie en disaster recovery (DR) ook backup gegevens opslaat. Als de SAN eenmaal is gevonden, is het voor hackers een koud kunstje om jouw vangnet te verwijderen.
  5. Hoe lang duurt het om jouw netwerk te herstellen?
    Herstellen van een aanval is geen pretje. Terwijl het herstel plaatsvindt, is er forensisch werk aan de gang bovenop het controleren van logs door jouw ops team. Het is een stressvolle en extreem drukke tijd, dus het herstel zal trager verlopen dan normaal. Zorg ervoor dat je begrijpt hoe lang dit duurt en zorg voor voldoende bandbreedte tussen jouw backup omgeving en jouw hypervisorplatform, zodat je niet onnodig wordt vertraagd.

Er wordt in onze sector voortdurend gepraat over ransomware, en terecht. Het is echt en het treft bedrijven van elke omvang dag in dag uit. Vorig jaar hebben onze beveiligingsspecialisten en incident responders meer dan 300 dagen besteed aan het herstellen van ransomware.

pic

Heb je een vraag?
Onze specialisten staan voor je klaar