Ransomware bestrijden met tape back-up? experts en gebruikers geven hun mening

Blogs en artikelen

Tape als laatste redmiddel tegen ransomware. Is dat nog wel houdbaar in dit tijdperk van nieuwe back-up technieken? Experts en gebruikers mengen zich in het tapedebat.

25 mei 20187 min
Fighting Ransomware With Tape Backup? Experts and Users Weigh In- on Keybord Ransomware Key | Iron Mountain

Organisaties die zich afvragen wat te doen als een ransomware cybercrimineel hun digitale deur op slot gooit, kunnen hier veel informatie over vinden op internet. Echter, veel adviezen zijn afkomstig van back-up software leveranciers of cloud back-up dienstverleners. Voor de aanpak van ransomware aanvallen, benadrukken die vooral het belang van digitale back-ups.

Is het met deze digitale back-up opties voorhanden voor organisaties nog wel zinvol om ook tape back-up in te zetten in de strijd tegen ransomware? Het verbaast u misschien, maar experts en gebruikers blijken een groot voorstander te zijn tape back-up bij herstelacties na een ransomware aanval.

Voorkomen is beter dan genezen

Een ransomware aanval begint vaak met een onschuldige klik van een nietsvermoedende gebruiker op een link in een spear phishing email. Vervolgens versleutelt het programma bestanden op de geïnfecteerde computer, en vanaf dat moment kunnen ook andere systemen op het netwerk geïnfecteerd raken.

Wat zelfs kan leiden tot de versleuteling van sommige network-attached storage (NAS) servers, webservers, gedeelde netwerkbestanden, verbonden back-up bestanden en ook file sync/share services en andere gedeelde stations in de cloud. Ransomware heeft het zelfs gemunt op smartphones.

Volgens Dan Jan, hoofd Productmanagement bij Iron Mountain, is beste remedie tegen ransomware vooral: voorkomen dat er überhaupt een aanval plaatsvindt. Na een aanval hebben organisaties immers vaak de grootste moeite om de schade te herstellen en de operatie weer snel up en running te krijgen.

Ransomware: de nasleep

Een IT-afdeling zal bij een ransomware aanval -als het goed is- als eerste stap direct de geïnfecteerde systemen loskoppelen van het netwerk.

Dan volgt het lastige deel: wat doen we met de versleutelde systemen? Organisaties hebben twee opties. Of ze betalen het digitale losgeld, in de hoop dat de cybercriminelen de bestanden inderdaad zullen ontsleutelen. Of ze beginnen gewoon met het wissen en herstellen van de geïnfecteerde systemen.

Helaas kent elke optie uitdagingen. Losgeld betalen wordt over het algemeen niet aangeraden door de autoriteiten. Er zijn gevallen bekend waarbij bedrijven wel het losgeld betaalden, maar toch niet de toegang terugkregen tot de versleutelde bestanden. En bij herstel wordt er vanuit gegaan dat de organisatie ook daadwerkelijk beschikt over een back-up van eerdere bestanden waarvan bekend is dat ze betrouwbaar zijn.

Veel back-ups zijn tegenwoordig verbonden met de rest van het netwerk. Dit betekent dat ze zich mogelijk in de vuurlinie van ransomeware bevinden. Het gevaar is dus dat ze ook versleuteld worden, en daarmee onbruikbaar. Uit een enquête van Barkly onder gedupeerden van een ransomeware aanval bleek dat slechts 42% succesvol herstelt vanaf back-up. Waarom? Ook de back-upstations werden versleuteld.

Back-up als laatste redmiddel: losgekoppeld en offline

Ransomware zal niet verdwijnen en is bovendien niet altijd te voorkomen. Ook gekoppelde back-ups kunnen ten prooi vallen aan ransomware. De hamvraag is: wat kan een organisatie hier dan nog tegen doen? Voor het antwoord moeten we terug naar de oorsprong van de back-up. Ransomware bestrijden met tape back-up is dan een logische gedachte.

Volgens Dan Jan is de oude 3-2-1-regel voor back-ups nog steeds van toepassing: "Je moet in totaal drie kopieën hebben: twee lokale kopieën op twee verschillende media (meestal op schijf en tape). Vervolgens zorg je voor één kopie op een externe locatie, losgekoppeld en offline." zegt hij. "In dit tijdperk waarin alles met elkaar verbonden is, heb je nog steeds een kopie van je data nodig die losgekoppeld is." Iedereen is het met dit principe eens maar, zo merkt hij op, organisaties moeten het dan ook wel toepassen en daadwerkelijk doen.

De waarde van de losgekoppelde kopie

Voor deze losgekoppelde kopie hanteert Dan Jan de term 'offline'. Daarmee bedoelt hij dat de kopie geen enkele verbinding heeft met welk netwerk dan ook. In een memo van de Tape Storage Council staat de volgende uitleg te lezen: "Met tape is er een kloof tussen de cartridge en de computersystemen. Diskdrives blijven nog steeds online en worden daarmee kwetsbaar voor aanvallen." De memo vervolgt: "Tape technologie voorkomt dat via cyberaanvallen toegang tot data kan worden verkregen, omdat een tape cartridge die uit het systeem verwijderd is immers niet langer elektronisch toegankelijk is."

Iron Mountain Speaks Up Cyber security: Het belang van oefeningen

De focus van Iron Mountain ligt op het identificeren en beperken van nieuwe en opkomende risico’s, voor een grotere veerkracht. Integraal onderdeel van ons Business Continuity-programma vormt precies deze focus.

Input van gebruikers uit dagelijkse praktijk

Beheerders van forums over back-up software zijn er heilig van overtuigd dat tape van onschatbare waarde is bij ransomware. "Ik raad aan om waar mogelijk altijd tape als laatste redmiddel in te zetten", vertelt iemand in een post. "Ik heb vaak meegemaakt dat tape back up bedrijven voor de grootste rampen heeft behoed. En even zo vaak de meest geavanceerde beschermingsstrategieën met harde schijven jammerlijk zien mislukken, waarbij gebruikers met onherstelbaar dataverlies bleven zitten.

Een andere gebruiker sloot zich hierbij aan met een opmerking die weergeeft wat op dit forum als de beste de bescherming tegen ransomware wordt beschouwd: "Kopieën op tapes in externe opslag. Dat is de enige garantie om te voorkomen dat ransomware ook back-up data weet binnen te dringen.

Noodplan boven alles

Jan licht toe dat een losgekoppelde kopie een externe tape-opslag kan zijn in een kluis, in optische media of zelfs in cloudopslag die fysiek compleet losstaat van het primaire datacentrum. Welk extern medium een organisatie ook kiest, het is belangrijk om, zo benadrukt hij, met een deskundige partner te werken aan noodoefeningen en een ransomware herstelschema. "Overweeg een audit. Stel, u moet een hersteloperatie doen. Hoe lang zou die dan duren? legt hij voor. "Een audit kan blootleggen of uw partner wel voldoende in staat is om u de juiste hulp te bieden op het juiste moment."

Elevate the power of your work

Ontvang vandaag een GRATIS consultatie!

Vrijblijvende aanbieding