Terug naar overzicht
Blog

Het belang van beveiligde back-ups bij een ransomware-aanval

Ransomware is tegenwoordig één van de grootste bedreigingen voor de continuïteit van je organisatie. Hoe helpen beveiligde back-ups jou om ransomware-aanvallen de baas te blijven?
Door: Pieter de Haer
Back up

Ransomware is tegenwoordig één van de grootste bedreigingen voor de continuïteit van je organisatie. Het is eigenlijk niet de vraag óf je ermee te maken krijgt, maar wanneer. Het afgelopen jaar heeft 76% van de bedrijven minimaal één poging tot een ransomware-aanval gehad*. De gevolgen van ransomware kunnen enorm zijn. We kennen allemaal de voorbeelden uit de media, waarbij de IT-omgeving gedurende lange tijd onbruikbaar was.

Omdat je een ransomware-aanval nooit 100% kunt voorkomen, is het des te belangrijker om de impact van een aanval zo klein mogelijk te houden. Een belangrijk onderdeel daarvan is het beveiligen van je back-ups, zodat die niet onleesbaar gemaakt of verwijderd kunnen worden. In dit artikel leggen we uit welke oplossingen Previder hiervoor biedt.

Hoe ziet een ransomware-aanval eruit?

Bij een ransomware aanval zal een hacker proberen je data te versleutelen, waardoor je er niet meer bij kunt komen. Na betaling van losgeld aan de hacker, belooft deze de data weer beschikbaar te maken. De hacker zal ook proberen om je backup-bestanden te encrypten of te vernietigen, zodat je niet de optie hebt om via een backup je data terug te zetten. Dan betaal je immers niet. Om jouw back-up te encrypten of vernietigen, heeft de hacker toegang nodig tot de de backupsoftware of rechtstreeks tot de backup-bestanden. Dat is bij veel ransomware aanvallen het geval; 36% van de data was niet te restoren*.

Hoe kun je backup-bestanden beveiligen tegen verwijderen, wijzigen of het encrypten door een ransomare-aanval?

Bij het beveiligen van je backup-bestanden zijn twee termen van belang: immutability en air-gapped.

  • Immutability wil zeggen dat de (backup-)bestanden niet gewijzigd of verwijderd kunnen worden. Door niemand, dus ook niet door de beheerder of een hacker die toegang heeft tot de management-interface.
  • Air-gapped betekent dat de (backup-)bestanden geplaatst worden op een locatie die onbereikbaar is vanuit de operationele IT-omgeving. Dat kan bijvoorbeeld een back-up tape zijn die uit de tapedrive is verwijderd of een locatie die onbereikbaar is vanuit je eigen IT-omgeving.

In de volgende scenario’s leggen we uit wat de mogelijkheden zijn bij Previder.

Beveiliging back-up bij een on-site IT-omgeving: Veeam Cloud Connect

Bij een on-site IT-omgeving of een fysieke IT-omgeving die is geplaatst in een extern datacenter, wordt in de regel back-up software (zoals Veeam) gebruikt die backup-bestanden wegschrijft naar een NAS of externe disk. Daarnaast wordt geadviseerd een kopie-backup op een externe locatie te plaatsen. Bij Veeam wordt hiervoor Cloud Connect gebruikt, waarmee de back-up wordt weggeschreven op de storageomgeving in de Previder-datacenters.

Onze datacenters

Omdat een hacker via de Veeam Cloud Connect-managementinterface mogelijk toegang kan krijgen tot de backup-bestanden, met als doel deze te verwijderen, adviseren we om de nieuwe functie Insider Protection te activeren. Daarmee worden verwijderde bestanden gedurende 7 dagen bewaard op een locatie die onbereikbaar is voor de hacker. De bestanden zijn daarmee air-gapped vanuit je eigen IT-omgeving. Op verzoek kan Previder de bestanden terugzetten. '

Veeam Cloud Connect

IT-omgeving in Previder IaaS: VM Backup

Bij een IT-omgeving die op Previder IaaS draait, is VM Backup geïntegreerd voor het maken van back-ups. De back-ups worden bewaard in een ander datacenter van Previder dan waar de actieve VM’s draaien. De backup-bestanden zijn niet te wijzigen of verwijderen vanuit de VM, dus ook niet voor een hacker. Gezien vanuit de eigen IT-omgeving zijn deze backup-bestanden dus air-gapped.

Infrastructure as a Service

Andere back-up software: Object Storage met Object Lock

Wanneer je gebruikmaakt van andere back-up software dan Veeam, dan kun je je data wegschrijven op de Object Storage-omgeving in de Previder-datacenters. Deze kan met een “Object Lock” weggeschreven worden met een bepaalde retentie van bijvoorbeeld 7 dagen. Hiermee zijn de bestanden immutable en is het voor een hacker onmogelijk om de bestanden te verwijderen gedurende de retentietijd.

Wil jij zeker weten dat jouw back-ups veilig zijn bij een ransomware aanval en heb je hierover advies nodig? Neem dan contact met ons op, wij bespreken de mogelijkheden graag met je!

Ben je al backup-klant bij Previder, maar maak je nog geen gebruik van de nieuwe functie Insider Protection? Wij raden aan om deze functie te activeren. Neem daarvoor ook contact met ons op.

*Bron: Top Trends in Data Protection, Veeam, 2022