Hoe overleef ik… ransomware in het hoogseizoen

Je hoort tegenwoordig aan de lopende band horrorverhalen over succesvolle ransomware-aanvallen. In feite vormt elk bedrijf dat met gevoelige informatie werkt een doelwit. Er bestaat natuurlijk niet zoiets als een goed moment om slachtoffer te worden van een ransomware-aanval, maar bijzonder ongunstige tijden zijn er wel. Cybercriminelen slaan toe op momenten waarop bedrijven het kwetsbaarst zijn. Voor reisorganisaties is dat bijvoorbeeld het zomerseizoen. En voor (web)winkels is het de decembermaand, waarin veel mensen inkopen doen voor kerst en Sinterklaas. Een succesvolle ransomware-aanval in het hoogseizoen kan het voortbestaan van een onderneming serieus in gevaar brengen.

Cybercriminelen wachten soms geduldig het juiste moment af om een aanval in gang te zetten. In het ergste geval hebben ze zich al een tijdje binnen het bedrijfsnetwerk genesteld en wachten ze alleen nog op het beste tijdstip om data met ransomware te versleutelen. Als ze dat doen op het voor een bedrijf slechts mogelijke moment, verhoogt dat de kans dat de onderneming het gevraagde losgeld zal ophoesten om haar bedrijfskritische systemen weer snel in de lucht te krijgen.

Herstel kan dagen in beslag nemen

In het ideale scenario is de beveiliging van een bedrijf zo goed dat een ransomware-aanval geen doel treft. De dagelijkse berichten van succesvolle aanvallen leren ons echter dat er geen honderd procent waterdichte bescherming tegen de gewiekste trucs van cybercriminelen bestaat. Dat betekent dat bedrijven hun heil moeten zoeken in de op één na beste verdediging: gegevensherstel.

Bedrijven die in staat zijn om hun systemen snel te herstellen kunnen daarmee de wind uit de zeilen van aanvallers nemen. Maar in de praktijk is dat niet zo eenvoudig te realiseren. Dat komt omdat veel bedrijven voor de bescherming van hun bedrijfskritische applicaties gebruikmaken van verouderde back-uptechnologie. Dat werkt misschien prima voor kleinschalige IT-omgevingen, maar in grotere omgevingen kan het herstel daarmee dagen of zelfs weken in beslag nemen. Waarom kost het door ransomware getroffen organisaties eigenlijk zoveel tijd om hun IT-systemen weer aan de praat te krijgen?

Hersteltijd is een rekensommetje

Het fundamentele probleem met herstelprocedures is het verschil tussen applicaties en servers. Back-uptools bieden alleen bescherming voor afzonderlijke servers. Hoewel het mogelijk is om servers in groepen onder te brengen, wordt elke server afzonderlijk en op een ander tijdstip binnen de back-uptaak beschermd. De herstelproblemen beginnen dus al op het moment waarop een back-up wordt gemaakt. Zodra de back-upbeheerder klaar is met het herstellen van de servers begint het echte werk pas. Want nu is het zaak om een applicatie die over verschillende virtuele machines is verdeeld opnieuw te laten functioneren. Al naar gelang de applicatie moeten daarvoor verschillende procedures worden uitgevoerd. En meestal zijn er maar zeer weinig mensen binnen de organisatie aanwezig die deze taak kunnen of mogen uitvoeren.

Dit proces kan ettelijke uren in beslag nemen, al naar gelang de omvang en complexiteit van de applicaties die moeten worden hersteld. En dat levert fikse problemen op wanneer ALLE bedrijfsapplicaties door een ransomware-aanval worden lamgelegd. Het aantal werknemers dat in staat is om de data te herstellen en de applicaties opnieuw aan de praat te krijgen is op één hand te tellen. Reken maar uit hoelang het zou duren om 200 bedrijfskritische applicaties te herstellen als de gemiddelde hersteltijd per applicatie zes uur bedraagt en je de beschikking hebt over twee teams met de benodigde kennis en toegangsrechten die 18 uur per dag werken. Inderdaad: 33 dagen. Een schrikbarend aantal organisaties heeft geen idee van de realistische hersteltijd en komt er op pijnlijke wijze achter wanneer het al te laat is.

Ransomware als het ware terugdraaien

De oplossing voor dit probleem is zowel theoretisch als praktisch gezien tamelijk eenvoudig. In plaats van servers zou je applicaties als samenhangende groepen moeten beschermen. Bij oplossingen die gebruikmaken van continuous data protection (CDP) in plaats van periodieke back-ups en functioneren op basis van journals worden alleen de wijzigingen vastgelegd en kunnen applicaties in hun geheel worden hersteld, met alle gerelateerde data. Dit proces kan met een simpele muisklik in gang worden gezet en neemt slechts een paar minuten in beslag.

Als honderd procent waterdichte preventie niet langer een haalbare kaart is, dan is snel herstel het beste medicijn. Wees daarop voorbereid. Cybercriminelen leggen je het liefst lam wanneer dat het meest pijn doet. Weet hoelang het duurt om al je bedrijfskritische systemen te herstellen. Bevalt de uitkomst van dat rekensommetje je niet, weet dan dat er oplossingen zijn waarmee je systeem kunt herstellen naar enkele seconden voor het moment waarop de ransomware insloeg. Zodat de kassa kan blijven rinkelen in je hoogseizoen.

Egon van Dongen, system engineering manager EMEA bij Zerto, een dochteronderneming van Hewlett Packard Enterprise