T-Systems-Claim-Logo
Zoeken
Zakenmensen bespreken een cyberherstelstrategie

Waarom bedrijven een cyberherstelstrategie nodig hebben

Ontdek hoe een robuuste cyberherstelstrategie organisaties kan helpen om na een aanval snel weer normaal te functioneren

19. juni 2024Dheeraj Rawal

De achtergrond

Nu aanvallen aan de orde van de dag zijn, hebben CISO's vaak de moeilijke taak om organisaties uit de krantenkoppen te houden. Geen enkele oplossing biedt 100% bescherming. Daarom moeten ze zich richten op het opbouwen van cyberveerkracht en -herstel om organisaties te helpen er weer bovenop te komen na een aanval. Sneller herstel minimaliseert onderbrekingen, vermindert financiële verliezen en zorgt voor bedrijfscontinuïteit. Hoe kunnen bedrijven sneller herstellen? Ontdek het.

De grimmige realiteit van cyberaanvallen

Bedrijven werken tegenwoordig in scenario's met een hoog risico. Tal van factoren kunnen een bedrijf beïnvloeden, van een geopolitiek conflict tot een beveiligingsincident. Het aantal initiatieven voor digitale transformatie is explosief gestegen. Meer dan 90% van de bedrijven host gegevens in de cloud.1 De keerzijde van de versnelde digitalisering is de toenemende frequentie en schaal van aanvallen. Er zijn ongeveer 4.000 aanvallen per dag en elke 14 seconden2 wordt een bedrijf getroffen door een ransomware-aanval. Bedrijven moeten hun cyberbeveiligingsmaatregelen versterken om cyberbedreigingen af te weren.

Gehackt of onnozel

Bedrijven moeten altijd op het ergste voorbereid zijn. Voormalig FBI-directeur Robert Mueller zei ooit: "Er zijn maar twee soorten bedrijven: bedrijven die al gehackt zijn en bedrijven die nog gehackt zullen worden.3 Helaas is deze uitspraak vandaag de dag nog steeds waar. Omdat de dreiging zich als een lopend vuur verspreidt, is de mogelijkheid van een datalek of hackaanval bijna onvermijdelijk geworden.

Bedrijven hebben cyberveerkracht nodig

Volgens een rapport van Gartner zal in 2025 ongeveer 75% van de organisaties te maken hebben gehad met een of meer aanvallen die hebben geleid tot verstoring van de bedrijfsvoering en downtime.4 Preventieve beveiligingsmaatregelen zijn belangrijk. Maar geen enkele oplossing garandeert 100% bescherming tegen aanvallen - vooral wanneer de aanvalsmethoden steeds geavanceerder worden. Bedrijven moeten cyberbedreigingen snel detecteren en sneller herstellen van aanvallen. Het is niet realistisch om geavanceerde en voorheen onbekende bedreigingen te bestrijden met beperkte middelen. Je moet cyberveerkracht opbouwen om storingen te beperken en bedrijfscontinuïteit te garanderen. Het opbouwen van cyberveerkracht vereist een strategische aanpak. In deze blog wordt bekeken hoe bedrijven hiermee aan de slag kunnen gaan.

Cyber Recovery als laatste verdedigingslinie

Software-expert die zich bezighoudt met cyberbeveiliging

Een belangrijk element in het opbouwen van cyberveerkracht is cyberherstel, een reactieve aanpak na een incident. Cyber Recovery plannen zijn vergelijkbaar met rampenherstelplannen die tot doel hebben IT-infrastructuren en gegevens te herstellen na verstoringen als gevolg van onverwachte gebeurtenissen (politieke gebeurtenissen, natuurrampen, oorlogen, enz.). Cyberhersteloplossingen houden zich uitsluitend bezig met cyberincidenten.

Het herstellen van systemen, gegevens en processen na een cyberaanval of datalek is absoluut cruciaal voor elke organisatie. Efficiënte herstelmaatregelen kunnen de impact van de aanval aanzienlijk beperken en kosten besparen. De gemiddelde herstelkosten die bedrijven in 2023 moesten dragen, bedroegen USD 1,85 miljoen.5

Financiële verliezen nemen toe

De financiële verliezen als gevolg van aanvallen nemen dagelijks toe. Alleen al in 2023 bedroeg de som van ransomware-betalingen meer dan 1 miljard US dollar.6 Van alle beveiligingsincidenten was 24% gekoppeld aan ransomware. Het betalen van het losgeld is geen garantie dat je al je gegevens terugkrijgt. Volgens een rapport van Gartner wordt gemiddeld slechts 65% van de gegevens teruggegeven na betaling.7 Daarnaast eisen ransomware-aanvallers betaling in bitcoins en worden transacties opgeslagen op het Bitcoin-netwerk, dat openbaar is. Hierdoor neemt de kans op meer van dergelijke aanvallen toe, omdat criminelen weten dat het getroffen bedrijf bereid is om losgeld te betalen. 

De noodzaak van een langetermijnstrategie

Als proactieve strategie moeten bedrijven daarom een oplossing voor cyberherstel gebruiken die hen een voordeel biedt. Organisaties die gebruik maakten van back-uppraktijken gaven ongeveer 375.000 dollar uit aan herstel na een aanval. Bedrijven die geen gegevensback-up hadden, betaalden een losgeld van 750.000 Amerikaanse dollar.

Alleen al het maken van back-ups van gegevens kan ongeveer 50% van de losgeldbetalingen besparen - dat is een aanzienlijk bedrag.8 Volgens rapporten zorgt een responsplan voor sneller herstel en bespaart het tot wel 1 miljoen US dollar.9 Organisaties met back-upschema's en herstelplannen hebben ongeveer 96% minder financiële gevolgen van een ransomware-aanval.10 Hieronder bespreken we gegevensback-ups als onderdeel van de herstelaanpak.

Gegevensback-ups vormen de basis voor herstel

Gegevensback-ups bieden bedrijven een vangnet in het geval van een aanval, omdat ze kunnen terugkeren naar de staat van voor de aanval zodra de gegevens zijn hersteld. Het maken van back-ups is daarom essentieel - maar dit vereist een strategie. Aanvallers weten tegenwoordig dat bedrijven back-ups maken als noodplan en richten zich daarom eerst op de bijbehorende infrastructuur. Moderne ransomware-aanvallen versleutelen bijvoorbeeld niet alleen systemen, maar kunnen ook back-upopslag als doelwit hebben. Bijna 97% van de ransomware-aanvallen is gericht op back-upsystemen.11 De tijd die nodig is om een aanval uit te voeren en losgeld te eisen is afgenomen van maanden tot dagen, waardoor er een dringende behoefte is aan een veilige back-upinfrastructuur.

Hoe ontwikkel je een strategie om de infrastructuur te beveiligen

Organisaties moeten hun traditionele back-upmethoden heroverwegen om een veilig cyberherstelplan te ontwikkelen. Zo ga je op de juiste manier te werk:

  1. Creëer een back-up opslaginfrastructuur die idealiter beschermd is tegen ernstige aanvallen door meerdere beveiligingslagen.
  2. Zorg ervoor dat meerdere kopieën van de back-ups op verschillende locaties worden opgeslagen, idealiter volgens de 3:2:1-regel voor gegevensback-ups. Eén kopie moet dienen als de primaire reservekopie op locatie, de tweede kopie moet op een andere locatie staan, bijvoorbeeld in de cloud, en de laatste kopie moet een offline kopie op een extern medium zijn. Meerdere back-ups dienen als noodplan en garanderen de beschikbaarheid van gegevens tijdens de herstelfase.
  3. Back-ups moeten ook beschikken over kunstmatige intelligentie (AI) om abnormale patronen te herkennen en beheer- of beveiligingsteams op de hoogte te stellen wanneer deze zich voordoen.
  4. Bedrijven moeten ook overwegen om onveranderbare back-ups te maken die door niemand gewijzigd of verwijderd kunnen worden. Onveranderbare back-ups kunnen helpen bij het herstellen van gegevens van vóór de aanval die niet zijn aangetast door infecties of malware. Netwerken met een air-gap architectuur kunnen worden gecreëerd om kritieke infrastructuren te isoleren van onbeveiligde of risicovolle netwerken.

Verdere optimalisatie van back-ups

De gemaakte back-ups moeten worden geoptimaliseerd zodat ze effectiever kunnen worden gebruikt in het geval van een beveiligingsincident. Regelmatige back-upschema's, het prioriteren van kritieke gegevens en het verminderen van de opslagvereisten voor back-ups door middel van deduplicatie en compressie zorgen hiervoor. Cyberbeveiligings- en infrastructuurteams moeten ook een geïsoleerde herstelomgeving (Isolated Recovery Environment, IRE) opzetten. Dit is een beveiligde en aparte omgeving die specifiek wordt gebruikt voor het herstel van kritieke systemen, applicaties en gegevens. Het creëren van een IRE-architectuur kan een tijdrovend en kostenintensief project zijn.

Waar je rekening mee moet houden voordat je gaat herstellen

Beveiligingsteam werkt aan cyberaanvallen op laptops

Voor herstel moeten beveiligingsteams de verspreiding van de aanval, de aard van de bedreiging en de aangevallen systemen kennen. Na deze beoordeling is de volgende taak het beperken van de aanval. In het geval van ransomware is het voorkomen van nog meer versleuteling cruciaal. De isolatie van getroffen bronnen of netwerken is hier essentieel. Hier helpt segmentatie om de aangetaste netwerken te isoleren van de rest en de verdere verspreiding van de aanval in te dammen. Zodra de herstelsite die niet is getroffen door de aanval, is geïdentificeerd, moeten de gegevens worden verplaatst en in de productieomgeving worden geïntegreerd om de bedrijfsactiviteiten weer te hervatten. Bedrijven moeten evalueren of de beveiligingstools naadloos werken met de geïntegreerde gegevens om verdere storingen vóór de definitieve synchronisatie te voorkomen.

Elk uur telt

Organisaties moeten de essentiële diensten beoordelen die de levensaders van hun bedrijf zijn en deze als eerste herstellen. De resterende diensten en toepassingen kunnen worden geprioriteerd op basis van hun belang voor het bedrijf. Automatiseringssjablonen moeten worden gebruikt om snel gegevens te herstellen en servers opnieuw op te bouwen. Het doel is om de hersteltijd te minimaliseren, want elk uur telt in het geval van een beveiligingsincident. Deze tools kunnen hersteltaken rationaliseren en zijn daarom een belangrijke factor voor sneller herstel.

Aanvallen kunnen leiden tot existentiële crises

Bedrijven kunnen tot 400.000 US dollar per uur verliezen door softwarestoringen. Dit bedrag kan oplopen tot $1 miljoen per uur.12 Sommige uitvallen kunnen leiden tot existentiële crises in kleine en middelgrote bedrijven die beperkte middelen hebben om te herstellen van een cyberaanval. Zo moest het Lincoln College, een Amerikaanse universiteit, haar activiteiten opschorten nadat ze ook nog eens werd getroffen door een ransomware-aanval tijdens de toch al moeilijke COVID-19 pandemie.13 De universiteit was drie maanden buiten bedrijf. Na het betalen van het losgeld van 100.000 US dollar was de organisatie niet meer in staat om de verloren tijd in te halen en moest het lesgeven stoppen vanwege de verliezen. 

Sanering vóór herstel

Bedrijven moeten op zoek naar manieren om hun activiteiten zo snel mogelijk te hervatten om verliezen tot een minimum te beperken - maar herstel kan alleen succesvol zijn als de systemen niet zijn aangetast door de beveiligingsdreiging. Beveiligingsexperts moeten de herstelde gegevens en services in geïsoleerde omgevingen onderzoeken en bevestigen dat de ransomware-bedreigingen zijn geëlimineerd. Deze controle kan worden uitgevoerd met behulp van detectie op basis van patronen en geavanceerde AI/ML-tools om afwijkende activiteiten te detecteren en het succes van het herstel uitgebreid te verifiëren. Er bestaat een risico dat malware de herstelde systemen opnieuw aanvalt. Overweeg daarom het gebruik van saneringssoftware om bedreigingen volledig van systemen te verwijderen. Het is ook mogelijk dat verouderde beveiligingssystemen tot de cyberaanval hebben geleid. In dit geval moeten de beveiligingsteams de systemen eerst patchen en bijwerken voordat ze deze kunnen herstellen.

Systeemherstel

Na het herstel en de patching is de volgende stap het integreren van de herstelde systemen in de productieomgeving. Na de integratie zorgt het validatieproces ervoor dat de applicaties en gegevens beschikbaar zijn en dat de services werken zoals gewenst. Zodra alles werkt, moeten de teams terugkeren naar de beveiligingsproblemen en werken aan het oplossen ervan. De gecompromitteerde servers en gegevens moeten verder worden geanalyseerd om de oorzaak en de methode van de aanval te begrijpen. De infrastructuur moet regelmatig worden beoordeeld, waarbij verouderde systemen worden aangemerkt als potentiële zwakke punten. Bedrijven moeten weten welke applicaties niet langer worden ondersteund door de fabrikant.

Een cyberherstelstrategie voor jouw organisatie

We hebben uitgebreide ervaring in het ondersteunen van bedrijven bij de implementatie van robuuste beveiligingsmaatregelen. We helpen je graag bij het ontwikkelen van een effectieve strategie voor cyberherstel en -veerkracht.

Opstellen van een incidentresponsplan (Incident Response Plan)

Bij cyberherstel is het maken van een incidentresponsplan net zo belangrijk als het maken van een infrastructuur. De afzonderlijke fasen van het incidentresponsplan worden hieronder beschreven:

Herkenning: De detectiefase omvat het identificeren van de tekenen van een beveiligingsincident of -inbreuk in de systemen of netwerken van de organisatie. Dit kunnen waarschuwingen zijn van beveiligingstools, ongewoon systeemgedrag of meldingen van medewerkers. Het doel is om het bestaan van een incident onmiddellijk te herkennen en een reactieproces in gang te zetten. Ransomware-aanvallen kunnen ook worden gedetecteerd door patronen te vergelijken. Algoritmes gebaseerd op machine learning zijn ook een goede manier om abnormaal gedrag te detecteren. Beveiligingsteams kunnen vertrouwen op tools zoals filters voor het scannen van e-mail, weblogs, endpoints, antivirusproducten en netwerkgateways om aangetaste systemen, exfiltratie van gegevens, Active Directory-inbreuken, enz. te detecteren.

Analyse: In deze fase onderzoekt het incidentresponsteam de aard, de omvang en de impact van het beveiligingsincident om de kwetsbaarheden, de aanvalsmethoden, de versleutelde bestanden en de geëxfiltreerde gegevens te bepalen. Dit omvat het verzamelen van bewijsmateriaal, het uitvoeren van forensische analyses en het beoordelen van de ernst van het letsel. Het doel is om een uitgebreid overzicht van het incident te krijgen en de beheersings- en herstelmaatregelen zo snel mogelijk uit te voeren.

Containment: Het doel van deze fase is om de verspreiding en impact van het beveiligingsincident te beperken. Dit kan inhouden dat de getroffen systemen of netwerken worden geïsoleerd, toegangscontroles worden ingevoerd en tijdelijke beveiligingsmaatregelen worden genomen om verdere schade te voorkomen. Het belangrijkste doel hier is om te voorkomen dat het incident zich verspreidt terwijl de herstelmaatregelen aan de gang zijn. Containment omvat het in quarantaine plaatsen van alle gecompromitteerde systemen, het blokkeren van geïnfecteerde gebruikersaccounts, het blokkeren van netwerkverkeer, het afdwingen van wachtwoordwijzigingen en het voortdurend communiceren met belanghebbenden, waaronder werknemers.

Uitschakelen: In deze fase werkt het incidentresponsteam aan het wegnemen van de oorzaak van het beveiligingsincident in de systemen en netwerken van het bedrijf. Dit omvat het verwijderen van malware, het elimineren van zwakke plekken in de beveiliging en het implementeren van beveiligingscontroles om soortgelijke incidenten in de toekomst te voorkomen. Het doel is om alle resterende bedreigingen te elimineren en de getroffen systemen weer veilig te maken.

Herstellen: Het doel van deze fase is om de getroffen systemen en gegevens weer normaal te laten functioneren. Dit kan bestaan uit het herstellen van back-ups, het opnieuw installeren van software en het herconfigureren van systemen om veiligheid ervan te garanderen. Het doel is om de uitvaltijd tot een minimum te beperken, de bedrijfsactiviteiten te hervatten en zo snel mogelijk terug te keren naar de normale situatie. Enkele statistieken die bedrijven in de gaten moeten houden zijn de Recovery Point Objective (RPO) en de Recovery Time Objective (RTO). De RPO is de maximale hoeveelheid gegevens die een bedrijf mag verliezen. De RTO is de maximale tijd die een bedrijf nodig heeft om de normale gang van zaken te herstellen na een incident.

Voordelen van een cyberherstelstrategie

  1. Bedrijfscontinuïteit garanderen: Een veerkrachtige organisatie met een herstelplan zorgt voor minder downtime en een ononderbroken bedrijfsvoering. Organisaties met een oplossing voor gegevensherstel verminderen de uitvaltijd met 75%.14
  2. Vermindering van de financiële impact: Met minimale downtime en gegevensverlies worden ook de financiële kosten van de cyberaanval, productiviteitskosten, boetes en reputatieschade beperkt.
  3. Verbetering van de Compliance: Bedrijven kunnen met behulp van herstelmaatregelen voldoen aan wettelijke vereisten en industrienormen.
  4. Het vertrouwen van de klant vergroten: Het aantonen van herstel- en veerkrachtmaatregelen om gegevens te beschermen is een van de beste manieren om het vertrouwen van klanten te winnen en een concurrentievoordeel op de markt te behalen.
  5. Verbeterde reactie op storingen: Het regelmatig afstemmen van het beveiligingsbeleid en de beveiligingscontroles leidt tot een snelle en gecoördineerde reactie die de impact van een cyberaanval minimaliseert.
  6. Minimalisering van de hersteltijd: Het vereenvoudigen van het herstelproces met behulp van automatiseringstechnologie draagt ook bij aan een sneller herstel en vermindert de financiële verliezen.

Hoe veerkracht en herstel kunnen worden verbeterd

Organisaties die beschikken over de juiste beveiligingstools, responsplannen en herstelstrategieën zullen niet in paniek raken wanneer zich beveiligingsincidenten voordoen. Enkele beveiligingsoplossingen die organisaties zouden moeten overwegen om zich beter voor te bereiden op cyberdreigingen en deze op te sporen en te bestrijden:

  • Veilige e-mail gateways: Filter schadelijke e-mails uit en verminder phishing-aanvallen.
  • Endpoint detectie en respons: Controleer endpoints voortdurend op verdachte activiteiten en reageer in realtime op bedreigingen.
  • Oplossing voor beveiliging tegen misleiding: Gebruik lokvogels om aanvallers in de val te lokken en onbevoegde toegang in een vroeg stadium te detecteren.
  • Detectie van netwerkbedreigingen: Analyseer dataverkeer om schadelijke activiteiten en potentiële bedreigingen te detecteren.
  • Netwerksegmentatie: Microsegmentatie wordt gebruikt om netwerken op te delen in kleinere segmenten waarop verschillende beveiligingscontroles worden toegepast. Beperk de bewegingsvrijheid van aanvallers en beperk de schade.
  • Secure Access Service Edge (SASE): SASE vermindert het aanvalsoppervlak door veilige toegang te bieden tot bedrijfsmiddelen.
  • Penetratietesten voor beveiliging: Test je infrastructuur door echte aanvallen te simuleren en kwetsbaarheden te vinden voordat aanvallers dat doen.
  • Beheer van kwetsbaarheden: Identificeer kwetsbaarheden, prioriteer ze en repareer ze om het aanvalsoppervlak te verkleinen.
  • Gecentraliseerd logboekbeheer: Voeg logboeken uit meerdere bronnen samen en analyseer ze om beveiligingsincidenten te identificeren en forensisch onderzoek te ondersteunen.
  • Identiteits- en toegangsbeheer: Beheer gebruikersidentiteiten en controleer de toegang tot gevoelige bronnen om onbevoegde toegang te voorkomen.
  • Multi-factor authenticatie: Voeg een extra beveiligingslaag toe aan verificatieprocessen voor gebruikers en verminder het risico op onbevoegde toegang.

We ondersteunen je bedrijf graag bij het opstellen van een veerkrachtstrategie

Het is vaak moeilijk voor een organisatie om een 360-graden overzicht te houden van de beveiligingstools, de beveiligingssituatie, de kwetsbaarheden in de systemen en de externe bedreigingssituatie. T-Systems ondersteunt bedrijven bij het beoordelen van hun veiligheidssituatie en het dichten van de gaten. We staan bedrijven bij in het bouwen van veerkrachtige systemen door middel van robuuste beveiligingsmaatregelen en efficiënte herstelstrategieën. Neem contact met ons op om samen met onze experts een beveiligingsstrategie voor je bedrijf te ontwikkelen.

Informatie over de auteur
Dheeraj Rawal

Dheeraj Rawal

Content Marketer, T-Systems International GmbH

Alle artikelen en het profiel van de auteur

Dit vind je vast ook interessant

Op zoek naar een cyberherstelstrategie? Wij kunnen je verder helpen!

We kunnen je helpen bij het ontwikkelen van een strategie voor cyberbeveiliging, -veerkracht en herstel. Neem vandaag nog contact met ons op.

1 Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Press Release, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies

Do you visit t-systems.com outside of Netherlands? Visit the local website for more information and offers for your country.