Nu aanvallen aan de orde van de dag zijn, hebben CISO's vaak de moeilijke taak om organisaties uit de krantenkoppen te houden. Geen enkele oplossing biedt 100% bescherming. Daarom moeten ze zich richten op het opbouwen van cyberveerkracht en -herstel om organisaties te helpen er weer bovenop te komen na een aanval. Sneller herstel minimaliseert onderbrekingen, vermindert financiële verliezen en zorgt voor bedrijfscontinuïteit. Hoe kunnen bedrijven sneller herstellen? Ontdek het.
Bedrijven werken tegenwoordig in scenario's met een hoog risico. Tal van factoren kunnen een bedrijf beïnvloeden, van een geopolitiek conflict tot een beveiligingsincident. Het aantal initiatieven voor digitale transformatie is explosief gestegen. Meer dan 90% van de bedrijven host gegevens in de cloud.1 De keerzijde van de versnelde digitalisering is de toenemende frequentie en schaal van aanvallen. Er zijn ongeveer 4.000 aanvallen per dag en elke 14 seconden2 wordt een bedrijf getroffen door een ransomware-aanval. Bedrijven moeten hun cyberbeveiligingsmaatregelen versterken om cyberbedreigingen af te weren.
Bedrijven moeten altijd op het ergste voorbereid zijn. Voormalig FBI-directeur Robert Mueller zei ooit: "Er zijn maar twee soorten bedrijven: bedrijven die al gehackt zijn en bedrijven die nog gehackt zullen worden.3 Helaas is deze uitspraak vandaag de dag nog steeds waar. Omdat de dreiging zich als een lopend vuur verspreidt, is de mogelijkheid van een datalek of hackaanval bijna onvermijdelijk geworden.
Volgens een rapport van Gartner zal in 2025 ongeveer 75% van de organisaties te maken hebben gehad met een of meer aanvallen die hebben geleid tot verstoring van de bedrijfsvoering en downtime.4 Preventieve beveiligingsmaatregelen zijn belangrijk. Maar geen enkele oplossing garandeert 100% bescherming tegen aanvallen - vooral wanneer de aanvalsmethoden steeds geavanceerder worden. Bedrijven moeten cyberbedreigingen snel detecteren en sneller herstellen van aanvallen. Het is niet realistisch om geavanceerde en voorheen onbekende bedreigingen te bestrijden met beperkte middelen. Je moet cyberveerkracht opbouwen om storingen te beperken en bedrijfscontinuïteit te garanderen. Het opbouwen van cyberveerkracht vereist een strategische aanpak. In deze blog wordt bekeken hoe bedrijven hiermee aan de slag kunnen gaan.
Een belangrijk element in het opbouwen van cyberveerkracht is cyberherstel, een reactieve aanpak na een incident. Cyber Recovery plannen zijn vergelijkbaar met rampenherstelplannen die tot doel hebben IT-infrastructuren en gegevens te herstellen na verstoringen als gevolg van onverwachte gebeurtenissen (politieke gebeurtenissen, natuurrampen, oorlogen, enz.). Cyberhersteloplossingen houden zich uitsluitend bezig met cyberincidenten.
Het herstellen van systemen, gegevens en processen na een cyberaanval of datalek is absoluut cruciaal voor elke organisatie. Efficiënte herstelmaatregelen kunnen de impact van de aanval aanzienlijk beperken en kosten besparen. De gemiddelde herstelkosten die bedrijven in 2023 moesten dragen, bedroegen USD 1,85 miljoen.5
De financiële verliezen als gevolg van aanvallen nemen dagelijks toe. Alleen al in 2023 bedroeg de som van ransomware-betalingen meer dan 1 miljard US dollar.6 Van alle beveiligingsincidenten was 24% gekoppeld aan ransomware. Het betalen van het losgeld is geen garantie dat je al je gegevens terugkrijgt. Volgens een rapport van Gartner wordt gemiddeld slechts 65% van de gegevens teruggegeven na betaling.7 Daarnaast eisen ransomware-aanvallers betaling in bitcoins en worden transacties opgeslagen op het Bitcoin-netwerk, dat openbaar is. Hierdoor neemt de kans op meer van dergelijke aanvallen toe, omdat criminelen weten dat het getroffen bedrijf bereid is om losgeld te betalen.
Als proactieve strategie moeten bedrijven daarom een oplossing voor cyberherstel gebruiken die hen een voordeel biedt. Organisaties die gebruik maakten van back-uppraktijken gaven ongeveer 375.000 dollar uit aan herstel na een aanval. Bedrijven die geen gegevensback-up hadden, betaalden een losgeld van 750.000 Amerikaanse dollar.
Alleen al het maken van back-ups van gegevens kan ongeveer 50% van de losgeldbetalingen besparen - dat is een aanzienlijk bedrag.8 Volgens rapporten zorgt een responsplan voor sneller herstel en bespaart het tot wel 1 miljoen US dollar.9 Organisaties met back-upschema's en herstelplannen hebben ongeveer 96% minder financiële gevolgen van een ransomware-aanval.10 Hieronder bespreken we gegevensback-ups als onderdeel van de herstelaanpak.
Gegevensback-ups bieden bedrijven een vangnet in het geval van een aanval, omdat ze kunnen terugkeren naar de staat van voor de aanval zodra de gegevens zijn hersteld. Het maken van back-ups is daarom essentieel - maar dit vereist een strategie. Aanvallers weten tegenwoordig dat bedrijven back-ups maken als noodplan en richten zich daarom eerst op de bijbehorende infrastructuur. Moderne ransomware-aanvallen versleutelen bijvoorbeeld niet alleen systemen, maar kunnen ook back-upopslag als doelwit hebben. Bijna 97% van de ransomware-aanvallen is gericht op back-upsystemen.11 De tijd die nodig is om een aanval uit te voeren en losgeld te eisen is afgenomen van maanden tot dagen, waardoor er een dringende behoefte is aan een veilige back-upinfrastructuur.
Organisaties moeten hun traditionele back-upmethoden heroverwegen om een veilig cyberherstelplan te ontwikkelen. Zo ga je op de juiste manier te werk:
De gemaakte back-ups moeten worden geoptimaliseerd zodat ze effectiever kunnen worden gebruikt in het geval van een beveiligingsincident. Regelmatige back-upschema's, het prioriteren van kritieke gegevens en het verminderen van de opslagvereisten voor back-ups door middel van deduplicatie en compressie zorgen hiervoor. Cyberbeveiligings- en infrastructuurteams moeten ook een geïsoleerde herstelomgeving (Isolated Recovery Environment, IRE) opzetten. Dit is een beveiligde en aparte omgeving die specifiek wordt gebruikt voor het herstel van kritieke systemen, applicaties en gegevens. Het creëren van een IRE-architectuur kan een tijdrovend en kostenintensief project zijn.
Voor herstel moeten beveiligingsteams de verspreiding van de aanval, de aard van de bedreiging en de aangevallen systemen kennen. Na deze beoordeling is de volgende taak het beperken van de aanval. In het geval van ransomware is het voorkomen van nog meer versleuteling cruciaal. De isolatie van getroffen bronnen of netwerken is hier essentieel. Hier helpt segmentatie om de aangetaste netwerken te isoleren van de rest en de verdere verspreiding van de aanval in te dammen. Zodra de herstelsite die niet is getroffen door de aanval, is geïdentificeerd, moeten de gegevens worden verplaatst en in de productieomgeving worden geïntegreerd om de bedrijfsactiviteiten weer te hervatten. Bedrijven moeten evalueren of de beveiligingstools naadloos werken met de geïntegreerde gegevens om verdere storingen vóór de definitieve synchronisatie te voorkomen.
Organisaties moeten de essentiële diensten beoordelen die de levensaders van hun bedrijf zijn en deze als eerste herstellen. De resterende diensten en toepassingen kunnen worden geprioriteerd op basis van hun belang voor het bedrijf. Automatiseringssjablonen moeten worden gebruikt om snel gegevens te herstellen en servers opnieuw op te bouwen. Het doel is om de hersteltijd te minimaliseren, want elk uur telt in het geval van een beveiligingsincident. Deze tools kunnen hersteltaken rationaliseren en zijn daarom een belangrijke factor voor sneller herstel.
Bedrijven kunnen tot 400.000 US dollar per uur verliezen door softwarestoringen. Dit bedrag kan oplopen tot $1 miljoen per uur.12 Sommige uitvallen kunnen leiden tot existentiële crises in kleine en middelgrote bedrijven die beperkte middelen hebben om te herstellen van een cyberaanval. Zo moest het Lincoln College, een Amerikaanse universiteit, haar activiteiten opschorten nadat ze ook nog eens werd getroffen door een ransomware-aanval tijdens de toch al moeilijke COVID-19 pandemie.13 De universiteit was drie maanden buiten bedrijf. Na het betalen van het losgeld van 100.000 US dollar was de organisatie niet meer in staat om de verloren tijd in te halen en moest het lesgeven stoppen vanwege de verliezen.
Bedrijven moeten op zoek naar manieren om hun activiteiten zo snel mogelijk te hervatten om verliezen tot een minimum te beperken - maar herstel kan alleen succesvol zijn als de systemen niet zijn aangetast door de beveiligingsdreiging. Beveiligingsexperts moeten de herstelde gegevens en services in geïsoleerde omgevingen onderzoeken en bevestigen dat de ransomware-bedreigingen zijn geëlimineerd. Deze controle kan worden uitgevoerd met behulp van detectie op basis van patronen en geavanceerde AI/ML-tools om afwijkende activiteiten te detecteren en het succes van het herstel uitgebreid te verifiëren. Er bestaat een risico dat malware de herstelde systemen opnieuw aanvalt. Overweeg daarom het gebruik van saneringssoftware om bedreigingen volledig van systemen te verwijderen. Het is ook mogelijk dat verouderde beveiligingssystemen tot de cyberaanval hebben geleid. In dit geval moeten de beveiligingsteams de systemen eerst patchen en bijwerken voordat ze deze kunnen herstellen.
Na het herstel en de patching is de volgende stap het integreren van de herstelde systemen in de productieomgeving. Na de integratie zorgt het validatieproces ervoor dat de applicaties en gegevens beschikbaar zijn en dat de services werken zoals gewenst. Zodra alles werkt, moeten de teams terugkeren naar de beveiligingsproblemen en werken aan het oplossen ervan. De gecompromitteerde servers en gegevens moeten verder worden geanalyseerd om de oorzaak en de methode van de aanval te begrijpen. De infrastructuur moet regelmatig worden beoordeeld, waarbij verouderde systemen worden aangemerkt als potentiële zwakke punten. Bedrijven moeten weten welke applicaties niet langer worden ondersteund door de fabrikant.
Bij cyberherstel is het maken van een incidentresponsplan net zo belangrijk als het maken van een infrastructuur. De afzonderlijke fasen van het incidentresponsplan worden hieronder beschreven:
Herkenning: De detectiefase omvat het identificeren van de tekenen van een beveiligingsincident of -inbreuk in de systemen of netwerken van de organisatie. Dit kunnen waarschuwingen zijn van beveiligingstools, ongewoon systeemgedrag of meldingen van medewerkers. Het doel is om het bestaan van een incident onmiddellijk te herkennen en een reactieproces in gang te zetten. Ransomware-aanvallen kunnen ook worden gedetecteerd door patronen te vergelijken. Algoritmes gebaseerd op machine learning zijn ook een goede manier om abnormaal gedrag te detecteren. Beveiligingsteams kunnen vertrouwen op tools zoals filters voor het scannen van e-mail, weblogs, endpoints, antivirusproducten en netwerkgateways om aangetaste systemen, exfiltratie van gegevens, Active Directory-inbreuken, enz. te detecteren.
Analyse: In deze fase onderzoekt het incidentresponsteam de aard, de omvang en de impact van het beveiligingsincident om de kwetsbaarheden, de aanvalsmethoden, de versleutelde bestanden en de geëxfiltreerde gegevens te bepalen. Dit omvat het verzamelen van bewijsmateriaal, het uitvoeren van forensische analyses en het beoordelen van de ernst van het letsel. Het doel is om een uitgebreid overzicht van het incident te krijgen en de beheersings- en herstelmaatregelen zo snel mogelijk uit te voeren.
Containment: Het doel van deze fase is om de verspreiding en impact van het beveiligingsincident te beperken. Dit kan inhouden dat de getroffen systemen of netwerken worden geïsoleerd, toegangscontroles worden ingevoerd en tijdelijke beveiligingsmaatregelen worden genomen om verdere schade te voorkomen. Het belangrijkste doel hier is om te voorkomen dat het incident zich verspreidt terwijl de herstelmaatregelen aan de gang zijn. Containment omvat het in quarantaine plaatsen van alle gecompromitteerde systemen, het blokkeren van geïnfecteerde gebruikersaccounts, het blokkeren van netwerkverkeer, het afdwingen van wachtwoordwijzigingen en het voortdurend communiceren met belanghebbenden, waaronder werknemers.
Uitschakelen: In deze fase werkt het incidentresponsteam aan het wegnemen van de oorzaak van het beveiligingsincident in de systemen en netwerken van het bedrijf. Dit omvat het verwijderen van malware, het elimineren van zwakke plekken in de beveiliging en het implementeren van beveiligingscontroles om soortgelijke incidenten in de toekomst te voorkomen. Het doel is om alle resterende bedreigingen te elimineren en de getroffen systemen weer veilig te maken.
Herstellen: Het doel van deze fase is om de getroffen systemen en gegevens weer normaal te laten functioneren. Dit kan bestaan uit het herstellen van back-ups, het opnieuw installeren van software en het herconfigureren van systemen om veiligheid ervan te garanderen. Het doel is om de uitvaltijd tot een minimum te beperken, de bedrijfsactiviteiten te hervatten en zo snel mogelijk terug te keren naar de normale situatie. Enkele statistieken die bedrijven in de gaten moeten houden zijn de Recovery Point Objective (RPO) en de Recovery Time Objective (RTO). De RPO is de maximale hoeveelheid gegevens die een bedrijf mag verliezen. De RTO is de maximale tijd die een bedrijf nodig heeft om de normale gang van zaken te herstellen na een incident.
Organisaties die beschikken over de juiste beveiligingstools, responsplannen en herstelstrategieën zullen niet in paniek raken wanneer zich beveiligingsincidenten voordoen. Enkele beveiligingsoplossingen die organisaties zouden moeten overwegen om zich beter voor te bereiden op cyberdreigingen en deze op te sporen en te bestrijden:
Het is vaak moeilijk voor een organisatie om een 360-graden overzicht te houden van de beveiligingstools, de beveiligingssituatie, de kwetsbaarheden in de systemen en de externe bedreigingssituatie. T-Systems ondersteunt bedrijven bij het beoordelen van hun veiligheidssituatie en het dichten van de gaten. We staan bedrijven bij in het bouwen van veerkrachtige systemen door middel van robuuste beveiligingsmaatregelen en efficiënte herstelstrategieën. Neem contact met ons op om samen met onze experts een beveiligingsstrategie voor je bedrijf te ontwikkelen.
1 Cloud Computing Study, 2023, Foundry
2 Attack Per Day Article, 2024, Astra
3 Types of Companies Article, 2018, Dynamic Business
4 Detect, Protect, Recover, 2021, Gartner
5 Ransomware Article, 2023, Security Intelligence
6 Total Ransomware Payments, 2024, SC Magazine
7 Ransomware Payment Article, 2021, Gartner
8 Cybercriminals and Ransomware Article, 2024, Firstpost
9 Guide to Ransomware, 2023, IBM
10 Disaster Recovery Statistics, 2024, Webinar Care
11 2022 Ransomware Trends Report, 2022, Veeam
12 Downtime Costs Article, 2023, Medium
13 Press Release, 2022, NPR
14 Impact of Cyber Recovery, 2023, Dell Technologies