Preventie, detectie en respons krijgen veel aandacht in cyberbeveiliging, maar het belang van herstel wordt nog onderschat. Door onduidelijke verantwoordelijkheden gaat het vaak daar net mis.
Voorkomen is beter dan genezen. Het oeroude gezegde is niet alleen in de geneeskunde de gouden regel, ook de beveiligingswereld heeft het volledig omarmd. Beveiligingsleveranciers zwaaien tegen elkaar op met preventiepercentages en geraakt er toch eens iemand binnen, dan staat een arsenaal aan detectie- en responsmiddelen klaar om indringers buiten te schoppen.
Ondanks alle tools en technologieën die bedrijven ter beschikking hebben, loert een incident achter iedere muisklik. Volgens Darren Thomson, Field CTO EMEAI bij Commvault, krijgt het ‘vijfde’ luik van beveiliging nog te weinig aandacht: herstel. “Een inbraak is vroeg of laat onvermijdelijk. Bedrijven beginnen stilaan in te zien dat het hen kan overkomen. Maar de beveiligingsmarkt focust historisch weinig op herstel”.
Wie is verantwoordelijk?
De reden is eerder cultureel dan technologisch, zegt Thomson. “Beveiligingsoplossingen zijn gericht op CISO’s. Bij een cyberaanval wordt vooral naar hen gekeken, maar hun focus ligt in de eerste plaats op het voorkomen van en reageren op aanvallen. De verantwoordelijkheid voor het beheren van back-ups en het terugbrengen van data ligt bij het infrastructuurteam, dat in veel organisaties afzonderlijk van het beveiligingsteam werkt”.
“In een goed beveiligingsplan moet het duidelijk zijn wie welke verantwoordelijkheid heeft. Ook moet je de teams samenbrengen om processen uit te werken voor het terugbrengen van ‘schone’ data. Dat zouden we als vendoren ook meer moeten doen om elkaars technologieën te versterken. Preventiespelers zijn zeer goed in wat ze doen, terwijl partijen als Commvault expertise vanuit infrastructuurbeheer kunnen toevoegen”.
Tachtig dagen
In de praktijk loopt het nog vaak mis, ziet Thomson. “Wat een goede herstelstandaard is, hangt af van organisatie tot organisatie. Maar ongeveer tien dagen voor volledig herstel is een goed doel om op te mikken. Je meest kritieke data en apps zou je eigenlijk al binnen twee dagen na de aanval weer operationeel moeten hebben. Er zijn bedrijven die in één dag kunnen terugkeren, maar die zijn eerder uitzonderlijk”.
“Soms duurt het echter zestig tot tachtig dagen, of zelfs nog langer, voordat een bedrijf herstelt van een aanval. Dat is echt veel te lang”, legt Thomson de vinger op de zere wonde. “De gemiddelde hersteltijd voor grote bedrijven ligt rond de 24 dagen, wat nog altijd meer dan een volledige businessmaand is”.
Het duurt soms tot tachtig dagen voordat een bedrijf herstel van een aanval. Dat is veel te lang.
Darren Thomson, Field CTO EMEAI Commvault
Schoon herstel
Thomson maakt nog een belangrijke nuance: schoon herstel betekent niet per definitie goed herstel. “Criminelen gaan vaak eerst achter back-ups aan, omdat ze weten dat die een cruciaal onderdeel zijn van het herstelplan. Slechte data terugbrengen werkt averechts. Als je back-ups aangetast zijn, repliceer je malware doorheen je hele IT-omgeving”.
Een andere fout die bedrijven maken, is niet weten wat ze eerst terug moeten brengen. “Het is belangrijk om prioriteiten te stellen. Begin met wat we minimum viable company noemen: welke apps en data heb je nodig om te kunnen blijven functioneren? Wat je als eerste nodig hebt, moet je ook als eerste kunnen terugbrengen en mag niet aangetast worden”.
“Er wordt nog te veel gedacht dat disaster recovery hetzelfde is als cyber recovery. Regulering zoals DORA en NIS-2 zou dat onderscheid nog duidelijker mogen maken. De richtlijnen rond het maken van back-ups zijn al een stap in de goede richting, maar er wordt te weinig nadruk gelegd op het belang van ‘schone’ data”, zegt Thomson.
Testen, testen en nog eens testen
Met back-ups die de regels van de kunst volgen, bouw je als bedrijf een verzekering tegen aanvallen in. Maar hoe weet je of die back-ups betrouwbaar zijn? “De maturiteit in back-ups neemt toe, maar vaak mist er nog iets in de strategie. Bedrijven weten onvoldoende of hun back-ups wel schoon zijn, omdat infrastructuurteams zelden die kennis hebben. Daarom moeten beveiliging en infrastructuur samenwerken”.
Thomson raadt hiervoor ook het gebruik van technologische hulpmiddelen. Niet toevallig zet zijn werkgever Commvault in op cleanrooms. “Met een cleanroom creëer je een beveiligde en ‘air-gapped’ omgeving. Zo kan je back-ups afzonderen en regelmatig testen zonder de productieomgeving aan te tasten”.
Het belang van testen kan niet genoeg benadrukt worden. “Afhankelijk van de complexiteit van je omgeving zou je minstens maandelijks moeten testen, maar vaker is beter. Dit gebeurt nog te weinig omdat men niet weet wanneer tests kunnen worden uitgevoerd. Experten buiten de kantooruren binnenbrengen is duur. Maar als je niet weet of je plan werkt, heb je geen plan”.
lees ook
Wat is een data cleanroom?
Tot slot vragen we Thomson nog één gouden raad mee te geven. “De ‘megatrends’ zoals AI zijn een tweesnijdend zwaard. Types aanvallen veranderen niet, maar hebben meer impact. Je moet de trends begrijpen om jezelf te kunnen verdedigen. Als je eenmaal beseft dat een aanval onvermijdelijk is, zal je begrijpen dat je ook in herstel moet investeren”.