Waarom cyber recovery meer is dan disaster recovery
Tegenwoordig beginnen de meeste cyberaanvallen zonder malware, maar met gecompromitteerde inloggegevens. Hierdoor kunnen cybercriminelen, ondanks vele beveiligingsmaatregelen, gemakkelijk toegang krijgen tot systemen om vervolgens bijvoorbeeld ransomware te verspreiden, gegevens te versleutelen, gevoelige gegevens te exfiltreren of IT-middelen te blokkeren. Weerbaar zijn en kunnen vertrouwen op betrouwbare en duurzame herstelmogelijkheden na een aanval zijn cruciaal voor een snel herstel en het waarborgen van de continuïteit van de bedrijfsvoering.
Er zijn verschillende soorten herstel, afhankelijk van het scenario. Tegen aanvallen van cybercriminelen is alleen cyber recovery effectief. Dit komt omdat de uitval van hardware of het verlies van data een andere aanpak vereist dan gegevensversleuteling of de succesvolle infiltratie van hackers in het netwerk.
Operational recovery, disaster recovery en cyber recovery
Er zijn drie soorten herstel in IT: operational, disaster en cyber recovery. Ze maken allemaal gegevens, systemen en applicaties weer beschikbaar na een incident, maar hebben verschillende taken en doelstellingen:
- Operational recovery verwijst naar specifieke onderdelen van het systeem, bestanden, applicaties of virtuele machines na een klein incident of uitval. Het omvat het herstellen van per ongeluk verwijderde bestanden, het herstellen van applicatiecrashes of -fouten en het herstellen van beschadigde gegevens.
- Disaster recovery heeft betrekking op volledige systemen en infrastructuren na een grote gebeurtenis zoals een natuurramp, grote hardwarestoringen, bijvoorbeeld na een brand in de serverruimte, of langdurige stroomuitval.
- Cyber recovery is gericht op het herstellen van de beschikbaarheid, specifiek na cyberaanvallen. Het herstel kan betrekking hebben op een subset van de gegevens of op de volledige infrastructuur.
Een disaster recovery-plan is niet genoeg voor cyber recovery
Hoewel alle soorten herstel gericht zijn op het herstellen van gegevens en activiteiten, hebben traditionele herstelplannen moeite om de genuanceerde risico's en complexiteit van cyberaanvallen effectief aan te pakken. Dit komt onder andere door:
- De aard van de bedreigingen: In tegenstelling tot natuurrampen of hardwarestoringen zijn dit doelbewuste aanvallen. Cybercriminelen maken actief gebruik van kwetsbaarheden en richten zich op gegevens die essentieel zijn voor het bedrijf of die ze te gelde kunnen maken. Dit vereist een zorgvuldigere, op gegevensbeveiliging gerichte aanpak die ook risicobeheer omvat. Een standaard disaster recovery-plan dat alleen is gebaseerd op RPO's, RTO's en afhankelijkheden bij het herstellen van een IT-infrastructuur schiet tekort.
- De reikwijdte en focus: Bij disaster recovery gaat het er in de eerste plaats om systemen en gegevens weer beschikbaar te maken en de uitvaltijd tot een minimum te beperken. Een zekere mate van gegevensverlies is acceptabel en misschien onvermijdelijk. Cyber recovery richt zich daarentegen op het isoleren van de aanval, het verwijderen van malware en het voorbereiden van het herstel van de gegevens zonder restanten achter te laten. Vervolgens zetten operationele IT- en IT security-afdelingen samen het herstel in gang. Dit omvat forensische analyses, het dichten van kwetsbaarheden en mogelijk langere herstelprocessen voor een verbeterde beveiligingssituatie.
- De methoden en tools: Disaster recovery is meestal gebaseerd op direct beschikbare back-ups in combinatie met replicatie en vaste procedures voor een snelle rollback van het systeem. In het geval van cyberaanvallen moeten de verantwoordelijke afdelingen echter elk IT-element, van hardware tot gegevens en back-ups, onderzoeken op infecties alvorens over te gaan op de herstelprocedure. De aanvallers hebben immers malware kunnen verbergen of de back-upbestanden hebben gewijzigd. Voor cyber recovery zijn gespecialiseerde tools en expertise nodig op het gebied van malwareanalyse, incidentrespons, onveranderlijke/onleesbare back-ups, een cleanroomomgeving voor clean herstel, anomaliedetectie en veilige gegevensextractie. Aanvullende vaardigheden, zoals het verhelpen van IT-kwetsbaarheden en het beveiligen van de omgeving, zijn van cruciaal belang om toekomstige aanvallen te voorkomen.
- De integriteit en kwetsbaarheid van gegevens: Cyberaanvallen kunnen back-ups en bepaalde gegevens in systemen in gevaar brengen. Disaster recovery-plannen zijn echter niet in staat om de laatste schone back-ups effectief te identificeren en te herstellen. Als een geïnfecteerde back-up ook de malware of de toegang van een hacker tot het systeem herstelt, kan de infectie zich opnieuw verspreiden. Bovendien moeten IT-managers rekening houden met kwetsbaarheden in de beveiliging die tijdens de aanval zijn uitgebuit en deze patchen voordat de schone back-up wordt hersteld, wat de reconstructie nog complexer maakt.
Digitale cleanrooms als toneel voor cyber recovery
Hoewel disaster recovery-plannen een basis vormen voor incidentrespons, is het bij lange na niet voldoende om hierop te vertrouwen in het geval van een cyberaanval. Een speciaal cyber recovery-plan met gespecialiseerde hulpmiddelen, vakkundig personeel en continue tests is essentieel om risico's en de complexiteit van cyberaanvallen aan te pakken.
In het geval van gegevensherstel biedt een cleanroom een veilige, geïsoleerde omgeving bijvoorbeeld in de cloud. Het maakt het mogelijk om schone versies van gegevens te extraheren. Dit kan worden gedaan vanuit niet-geïnfecteerde back-upbronnen of uit een snapshot van een back-up die nog niet is aangevallen, zelfs als informatie op productiesystemen gevaar loopt.
Een cleanroom speelt ook een cruciale rol als locatie voor veilige, kosteneffectieve en flexibele tests en biedt een geïsoleerde en schone ruimte om misbruikte kwetsbaarheden te analyseren, gegevens te herstellen en systemen schoon te maken.
Aangezien een dergelijke cleanroom alleen wordt gecreëerd wanneer dat nodig is en niet vooraf bestaat, kan hij niet van tevoren worden beschadigd door aanvallen. Bovendien kunnen IT-afdelingen cyberaanvallen simuleren en hun noodplannen flexibel on-demand testen om potentiële kwetsbaarheden te herkennen en te elimineren. Met regelmatige testruns kunnen beveiligings- en IT-teams hun cyberherstelplan optimaliseren, zodat het effectief is in geval van nood.
Daarnaast biedt een cleanroom een gecontroleerde ruimte voor forensische analyses om de oorzaak en het verloop van een aanval te onderzoeken en vervolgaanvallen te helpen voorkomen. Patches kunnen hier ook worden getest.
Duurzame beveiliging
De toenemende complexiteit van cyberaanvallen vraagt om een duurzaam herstel van systemen, applicaties en gegevens. Dit komt doordat hackers niet alleen malware plaatsen, maar ook verschillende acties gebruiken om langdurige toegang tot systemen van slachtoffers te krijgen die later weer geactiveerd kan worden. Alleen een volledig en gevalideerd herstel van schone systemen en gegevens zorgt voor cyberbestendige gegevensbeveiliging en gegevensbescherming voor de toekomst.
Dyon de Bruijne, Principal Architect bij Commvault