News Details

Wat te doen na een cyberaanval?

Snel herstel van systemen hoort in de IT-veiligheidsstrategie van organisaties

Een hackeraanval op de Duitse Bondsdag in Berlijn in mei 2015 is één van de meest spectaculaire aanvallen op een publieke organisatie gebleken. Volgens berichten uit de media is de omvang onduidelijk en wordt er gevreesd dat de complete IT-Infrastructuur vervangen moet worden. Dat is een grote strop, om een dergelijk doemscenario voortaan te voorkomen adviseert SEP, een Duitse producent van platformonafhankelijke Hybrid Backup- en Disaster Recovery-oplossingen, snel herstel van complexe systemen te verankeren in de IT-veiligheidsstrategie.

Preventieve maatregelen

Naast de klassieke backup scenario’s, oftewel het wekelijks volledig opslaan van alle gegevens (full backup) en het dagelijks opslaan van alle tussentijds gewijzigde gegevens (incrementele backup) zijn verdere maatregelen noodzakelijk. Zo is het essentieel, dat de backup gegevens versleuteld opgeslagen worden, inclusief een beveiligde opslag van de wachtwoorden. De backup server en de backup opslagmedia dienen bovendien niet verbonden te zijn met het internet, zodat een externe aanval bemoeilijkt wordt. Dit is bijvoorbeeld ook mogelijk door een kopie (replicatie) van de backup bestanden door migratie naar offline media, zoals tape-opslag of gesplitste cloud-locaties. De backup server zelf mag geen internettoegang hebben, wat bij enkele aanbieders door het opvragen van de licentiesleutel over het internet problematisch zou kunnen worden. Nog veiliger is het, wanneer de backup infrastructuur in een specifiek, logischerwijs van het internet gescheiden, netwerk (VLAN) opereert.

Stappen na een aanval

Wanneer onverhoopt toch een aanval geïdentificeerd wordt, dient er snel gehandeld te worden. Zo moet eerst het tijdstip van de aanval afgebakend worden. Vervolgens kan het gegevensherstel plaatsvinden. De oplossing van SEP is in staat afzonderlijke backups van een willekeurig herstelpunt op een afgeschermd systeem te herstellen. In de zogenaamde alleen-lezen modus kunnen de gegevens gelezen worden en kan men analyseren of er nog iets schadelijks aanwezig is. SEP Sesam ondersteunt daarbij Forensik Linux- distributies, zoals KALI, die speciaal werd ontwikkeld voor analysedoeleinden na een cyberaanval. Zo is het mogelijk, dat iedere backup, onafhankelijk van de bron, op een Linux of Windows backup server, dan wel Remote-Device-Server geopend en gecontroleerd kan worden. De schadelijke software heeft tijdens de Forensik analyse geen mogelijkheid om het integere systeem te infiltreren. Wanneer de laatste veilige bestanden gevonden zijn, worden de systemen met behulp hiervan schoon hersteld en kunnen de IT-systemen weer normaal opgestart worden. Vooraf dienen de afweermechanismen opnieuw gecontroleerd te worden om een nieuwe aanval uit te sluiten.

Afbeelding:

Proces van de herstelmaatregelen in het geval van een cyberaanval

  • Infiltratie heeft plaatsgevonden.
  • Ze wordt door de IT-administrators geïdentificeerd.
  • Analyse van backups en herstelbestanden levert antwoorden op de volgende drie vragen: “wanneer vond de aanval plaats”, “hoe werd de verspreiding doorgevoerd” en “waar bevindt de schadelijke software zich”. Dit vindt plaats op een afgeschermd, integer systeem, bijvoorbeeld met behulp van Forensik Linux KALI.
  • De gegevens worden als alleen-lezen bestanden hersteld (gemount)
  • Vergelijken van Gegevensbestanden uit verschillende tijdstippen.
  • Veilige gegevensbestanden worden herkend en hersteld.
  • Het systeem kan weer opgestart worden en de IT-operaties kunnen weer hervat worden.


Terug
nl