Herstellen van een ransomware-aanval in vier stappen

2201_ZER_Egon van Dongen

Cybercriminelen zijn de afgelopen jaren steeds effectiever geworden in het timen van hun aanvallen: webwinkels tijdens Black Friday, overheidsinfrastructuren en ziekenhuizen tijdens een crisis.

De opkomst van ransomware-as-a-service (RaaS) stelt cybercriminelen in staat om ransomware sneller, eenvoudiger en op grotere schaal in te zetten. Met het oog op deze ontwikkeling voorspellen onderzoekers dat het groeiende aantal incidenten in 2031 een totale kostenpost van ruim 236 miljard euro oplevert.


De gevolgen van een succesvolle ransomware-aanval op financieel en operationeel gebied zijn groot, om nog maar te zwijgen over de reputatieschade en compliance-problemen. In deze steeds meer van de cloud afhankelijke digital first-wereld zijn IT-managers en CISO’s zich daar terdege van bewust. Uit onderzoek blijkt dat ook de bedrijfstop zich steeds grotere zorgen maakt. Ze willen voorbereid zijn. Wat is de juiste strategie om te voorkomen dat ransomware plannen voor back-ups en gegevensherstel in de war stuurt? Hoe hervat je bedrijfsprocessen na een beveiligingsincident? Onderstaand stappenplan biedt vier manieren om snel en doeltreffend te herstellen van een ransomware-aanval.

  1. Neem herstel mee in je definitie van veerkracht

Het voorkomen van ransomware-aanvallen hoort thuis in elk beveiligingsplan. Maar geen enkele oplossing kan organisaties met 100 procent zekerheid beschermen. Cybercriminelen vinden voortdurend nieuwe manieren om beveiligingsmechanismen te omzeilen. Een gedegen herstelplan is daarom van cruciaal belang. Zodra er sprake is van een ransomware-aanval, hebben organisaties weinig opties. Of ze betalen het losgeld en stellen daarmee hun organisatie in de waagschaal. Of ze doen dat niet en moeten hun bedrijfsprocessen en data zo snel mogelijk zien te herstellen, terwijl ze tegelijkertijd proberen het omzetverlies zoveel mogelijk te beperken.

De beslissing is niet altijd even eenvoudig. Ransomware-varianten maken namelijk gebruik van verschillende encryptiemethoden. Dit kan variëren van het versleutelen van het master boot record van een bestandssysteem tot afzonderlijke files of zelfs complete virtuele machines. Cybercriminelen kunnen ook back-ups wissen of deze versleutelen om herstel te dwarsbomen. Daarnaast biedt het betalen van losgeld of het herstellen van gegevens via een back-up niet de garantie dat de ransomware helemaal uit de systemen verdwijnt. Het is dus belangrijk inzicht te krijgen in wat de uitwerking is van ransomware-aanvallen op de systemen. Want zodra een incident plaatsvindt, is het functioneren van een organisatie afhankelijk van de snelheid waarin volledig herstel gerealiseerd kan worden. Ongeacht de verscheidenheid aan IT-platforms of de geografische reikwijdte daarvan.

  1. Ga voor continue databescherming

Organisaties die alleen vertrouwen op simpele back-ups kunnen te maken krijgen met dagenlange storingen en vele uren dataverlies. Ransomware-aanvallen zijn desastreus, dus een gedegen herstelplan is cruciaal. Cybercriminelen richten hun pijlen steeds vaker op bedrijfskritische infrastructuren, waardoor organisaties hun herstelplannen moeten herschrijven. Een moderne optie is het toepassen van fijnmazige continuous data protection (CDP). Het repliceren van data op het moment waarop die wordt gewijzigd maakt het mogelijk om datacenters en productieomgevingen te beschermen en gegevens in een paar minuten te herstellen naar een tijdstip van een paar seconden voordat de aanval begon. CDP maakt het mogelijk om complete applicaties en omgevingen van elke omvang te herstellen met slechts een paar seconden aan gegevensverlies.

  1. Automatiseren en orkestreren

Om het verlies aan omzet en productiviteit tot een minimum te beperken, hebben organisaties na een aanval baat bij een zo laag mogelijke hersteltijd. Door gebruik te maken van een schaalbare disaster recovery oplossing met geautomatiseerd herstel en orchestration, kan deze tijd aanzienlijk worden ingekort. Organisaties kunnen hiermee applicaties, ook wanneer ze meerdere VM’s bestrijken, herstellen en alles als één crashbestendige eenheid terugzetten naar de situatie enkele seconden voor de aanval. Het gebruik van oplossingen met ingebouwde automatisering en orchestration is vandaag de dag een must voor organisaties die in staat willen zijn om met een paar simpele muisklikken – en in slechts een paar minuten tijd – een complete locatie of verschillende applicaties te herstellen.

  1. Blijf testen voor risicovrij herstel

Testen is doorslaggevend voor het succes van elk herstelplan. Organisaties moeten daarom een oplossing gebruiken die voorziet in on demand sandbox-omgevingen, waarbinnen de herstelprocedure voortdurend kan worden getest zonder productieomgevingen en bedrijfsprocessen te verstoren. Of het nu gaat om failover- of backup tests, het is uiterst belangrijk dat de hersteloplossing die de IT-afdeling heeft ontwikkeld straks daadwerkelijk effect sorteert.

Infrastructuur- en applicatie teams die kiezen voor een oplossing met flexibele en geautomatiseerde testmogelijkheden, kunnen zo vaak testen als nodig. Door het uitvoeren van failover-simulaties voor een compleet datacenter of voor specifieke applicaties, kunnen ze het herstelvermogen voortdurend monitoren en analyseren. De gedetailleerde rapporten die daarbij (automatisch) worden gegenereerd zijn tot slot goed in te zetten voor compliance-audits en management doeleinden.

 

Egon van Dongen, Systems Engineering Manager EMEA bij Zerto, onderdeel van Hewlett Packard Enterprise

 

Meer over
Lees ook
De StorageCraft OneXafe Solo – zo simpel kan een MKB  Backup & DRaaS abonnement zijn

De StorageCraft OneXafe Solo – zo simpel kan een MKB Backup & DRaaS abonnement zijn

Tijdens het interview met Raymond Mooij, Territory Account Manager Benelux van Arcserve, dat in het derde nummer van ITchannelPRO is verschenen, kwam ook de OneXafe Solo van StorageCraft ter sprake. Achteraf is daar nog uitgebreid over gesproken met de productexpert bij StorageCraft.

Fortinet: ruim twee derde van alle organisaties was doelwit van minstens één ransomware-aanval

Fortinet: ruim twee derde van alle organisaties was doelwit van minstens één ransomware-aanval

Fortinet publiceert het 2021 Global State of Ransomware Report. Uit dit enquêterapport komt naar voren dat de meeste organisaties zich meer zorgen maken om ransomware dan om elke andere cyberbedreiging. De meerderheid zei zich te hebben voorbereid op ransomware-aanvallen.

Bitdefender biedt gratis universele sleutel voor REvil/Sodinokibi ransomware (aanvallen voor 13 juli)

Bitdefender biedt gratis universele sleutel voor REvil/Sodinokibi ransomware (aanvallen voor 13 juli)

Bitdefender heeft in samenwerking met een bekende wetshandhavingspartner een universele decryptor ontwikkeld voor REvil/Sodinokibi. Met deze sleutel kunnen slachtoffers van ransomware aanvallen van REvil die plaatsvonden voor 13 juli 2021 hun bestanden herstellen.