Herstellen van een ransomware-aanval in vier stappen

2201_ZER_Egon van Dongen

Cybercriminelen zijn de afgelopen jaren steeds effectiever geworden in het timen van hun aanvallen: webwinkels tijdens Black Friday, overheidsinfrastructuren en ziekenhuizen tijdens een crisis.

De opkomst van ransomware-as-a-service (RaaS) stelt cybercriminelen in staat om ransomware sneller, eenvoudiger en op grotere schaal in te zetten. Met het oog op deze ontwikkeling voorspellen onderzoekers dat het groeiende aantal incidenten in 2031 een totale kostenpost van ruim 236 miljard euro oplevert.


De gevolgen van een succesvolle ransomware-aanval op financieel en operationeel gebied zijn groot, om nog maar te zwijgen over de reputatieschade en compliance-problemen. In deze steeds meer van de cloud afhankelijke digital first-wereld zijn IT-managers en CISO’s zich daar terdege van bewust. Uit onderzoek blijkt dat ook de bedrijfstop zich steeds grotere zorgen maakt. Ze willen voorbereid zijn. Wat is de juiste strategie om te voorkomen dat ransomware plannen voor back-ups en gegevensherstel in de war stuurt? Hoe hervat je bedrijfsprocessen na een beveiligingsincident? Onderstaand stappenplan biedt vier manieren om snel en doeltreffend te herstellen van een ransomware-aanval.

  1. Neem herstel mee in je definitie van veerkracht

Het voorkomen van ransomware-aanvallen hoort thuis in elk beveiligingsplan. Maar geen enkele oplossing kan organisaties met 100 procent zekerheid beschermen. Cybercriminelen vinden voortdurend nieuwe manieren om beveiligingsmechanismen te omzeilen. Een gedegen herstelplan is daarom van cruciaal belang. Zodra er sprake is van een ransomware-aanval, hebben organisaties weinig opties. Of ze betalen het losgeld en stellen daarmee hun organisatie in de waagschaal. Of ze doen dat niet en moeten hun bedrijfsprocessen en data zo snel mogelijk zien te herstellen, terwijl ze tegelijkertijd proberen het omzetverlies zoveel mogelijk te beperken.

De beslissing is niet altijd even eenvoudig. Ransomware-varianten maken namelijk gebruik van verschillende encryptiemethoden. Dit kan variëren van het versleutelen van het master boot record van een bestandssysteem tot afzonderlijke files of zelfs complete virtuele machines. Cybercriminelen kunnen ook back-ups wissen of deze versleutelen om herstel te dwarsbomen. Daarnaast biedt het betalen van losgeld of het herstellen van gegevens via een back-up niet de garantie dat de ransomware helemaal uit de systemen verdwijnt. Het is dus belangrijk inzicht te krijgen in wat de uitwerking is van ransomware-aanvallen op de systemen. Want zodra een incident plaatsvindt, is het functioneren van een organisatie afhankelijk van de snelheid waarin volledig herstel gerealiseerd kan worden. Ongeacht de verscheidenheid aan IT-platforms of de geografische reikwijdte daarvan.

  1. Ga voor continue databescherming

Organisaties die alleen vertrouwen op simpele back-ups kunnen te maken krijgen met dagenlange storingen en vele uren dataverlies. Ransomware-aanvallen zijn desastreus, dus een gedegen herstelplan is cruciaal. Cybercriminelen richten hun pijlen steeds vaker op bedrijfskritische infrastructuren, waardoor organisaties hun herstelplannen moeten herschrijven. Een moderne optie is het toepassen van fijnmazige continuous data protection (CDP). Het repliceren van data op het moment waarop die wordt gewijzigd maakt het mogelijk om datacenters en productieomgevingen te beschermen en gegevens in een paar minuten te herstellen naar een tijdstip van een paar seconden voordat de aanval begon. CDP maakt het mogelijk om complete applicaties en omgevingen van elke omvang te herstellen met slechts een paar seconden aan gegevensverlies.

  1. Automatiseren en orkestreren

Om het verlies aan omzet en productiviteit tot een minimum te beperken, hebben organisaties na een aanval baat bij een zo laag mogelijke hersteltijd. Door gebruik te maken van een schaalbare disaster recovery oplossing met geautomatiseerd herstel en orchestration, kan deze tijd aanzienlijk worden ingekort. Organisaties kunnen hiermee applicaties, ook wanneer ze meerdere VM’s bestrijken, herstellen en alles als één crashbestendige eenheid terugzetten naar de situatie enkele seconden voor de aanval. Het gebruik van oplossingen met ingebouwde automatisering en orchestration is vandaag de dag een must voor organisaties die in staat willen zijn om met een paar simpele muisklikken – en in slechts een paar minuten tijd – een complete locatie of verschillende applicaties te herstellen.

  1. Blijf testen voor risicovrij herstel

Testen is doorslaggevend voor het succes van elk herstelplan. Organisaties moeten daarom een oplossing gebruiken die voorziet in on demand sandbox-omgevingen, waarbinnen de herstelprocedure voortdurend kan worden getest zonder productieomgevingen en bedrijfsprocessen te verstoren. Of het nu gaat om failover- of backup tests, het is uiterst belangrijk dat de hersteloplossing die de IT-afdeling heeft ontwikkeld straks daadwerkelijk effect sorteert.

Infrastructuur- en applicatie teams die kiezen voor een oplossing met flexibele en geautomatiseerde testmogelijkheden, kunnen zo vaak testen als nodig. Door het uitvoeren van failover-simulaties voor een compleet datacenter of voor specifieke applicaties, kunnen ze het herstelvermogen voortdurend monitoren en analyseren. De gedetailleerde rapporten die daarbij (automatisch) worden gegenereerd zijn tot slot goed in te zetten voor compliance-audits en management doeleinden.

 

Egon van Dongen, Systems Engineering Manager EMEA bij Zerto, onderdeel van Hewlett Packard Enterprise

 

Meer over
Lees ook
Bijna de helft van de onderzochte security-incidenten in 2021 hield verband met ransomware

Bijna de helft van de onderzochte security-incidenten in 2021 hield verband met ransomware

Van januari tot november 2021 hield bijna elk tweede security-incident dat door het Global Emergency Response Team (GERT) van Kaspersky werd afgehandeld verband met ransomware (bijna 50% van alle Incident Response-verzoeken)- een stijging van bijna 12 procentpunten in vergelijking met 2020. Dit is een van de belangrijkste bevindingen uit Kaspersky's...

Een intelligente aanpak van ransomware

Een intelligente aanpak van ransomware

Ransomware zal het wereldwijde bedrijfsleven naar verwachting 10,5 biljoen dollar per jaar aan kosten bezorgen. Dit is te wijten aan de toenemende connectiviteit en het steeds geavanceerdere karakter van aanvallen.

Mimecast: Losgeld na ransomware-aanval is gemiddeld 96.000 euro

Mimecast: Losgeld na ransomware-aanval is gemiddeld 96.000 euro

Een ruime meerderheid van de Nederlandse bedrijven werd in de afgelopen twee jaar aangevallen met ransomware. Dat blijkt uit een internationaal onderzoek onder IT-professionals in opdracht van cyberbeveiliger Mimecast. Een Nederlands bedrijf moet gemiddeld bijna 96.000 euro betalen om na een ransomware-besmetting weer toegang te krijgen tot gegijzelde...