Menu
Interview

Waarom disaster recovery niet werkt na een cyberaanval

Interview met Cyber Resilience Specialist Felicity March

Bedrijven investeren veel tijd en geld in het afslaan van cyberaanvallen en de response op bedreigingen die desondanks door de verdedigingslinies weten te breken. Maar om als organisatie echt Cyber Resilient te worden, moet er veel meer gebeuren dan dat alleen, benadrukt Felicity March, Cyber Resilience Specialist bij (Europe Infrastructure Services van) IBM.

Felicity March was even in Nederland om een presentatie te geven over Cyber Resilience op de IBM Security Summit. We woonden de presentatie bij en spraken na afloop uitgebreid met haar. Haar enthousiasme over het onderwerp werkt aanstekelijk.

Cyber Resiliency betekent dat je na een geslaagde cyberaanval in staat bent je IT-omgevingen zo snel mogelijk weer te herstellen, zodat de bedrijfsvoering hooguit kort wordt onderbroken. We komen vaak tegen dat dit niet goed is geregeld, stelt Felicity March. "Verrassend genoeg blijken bedrijven vaak geen draaiboek te hebben waarin staat hoe je de IT-architectuur herstelt bij een cyberaanval. Laat staan dat dit draaiboek getest is. Bij sommige bedrijven mislukt de recovery daardoor zelfs catastrofaal en komt men erachter dat alle gegevens definitief verloren zijn gegaan."

Sluipmoordenaar

Hoeveel tijd en geld je ook besteedt aan de bescherming tegen cyberaanvallen, March weet zeker dat het een aanvaller ooit een keer lukt jouw organisatie binnen te dringen. "Je security-specialisten duiken er dan meteen op, verwijderen het virus en geven de systemen weer vrij. Alleen zijn de servers in het datacenter nu wel helemaal leeg. Net als de vele duizenden of tienduizenden computers waar je medewerkers mee moeten werken." Kortom, na de opruimactie moet je ook nog een recovery doen. Daar heb je back-ups en een data recovery omgeving voor. Toch?

Verrassend genoeg blijken bedrijven vaak geen draaiboek te hebben waarin staat hoe je de IT-architectuur herstelt bij een cyberaanval

"Virussen en andere bedreigingen zijn steeds slimmer geworden. Eenmaal binnengedrongen blijven ze soms wekenlang stilletjes in een hoekje zitten en doen niets wat de aandacht trekt of argwaan opwekt." Pas na weken begint de echte aanval. "Tegen die tijd is de disaster recovery-omgeving en de back-upomgeving allang volledig gepenetreerd en is er geen weg meer terug."

Volledige IT-infrastructuur verdwenen

Bij een bedrijf dat getroffen werd door NotPetya, zag een medewerker hoe zijn scherm plotseling zwart werd, zo vertelt March. Op de afdeling zag hij dat bij meer schermen gebeuren. Snel liep hij de afdeling op om zoveel mogelijk systemen uit te schakelen. Maar dat lopen veranderde al snel in rennen, terwijl overal om hem heen de schermen op zwart gingen. "Binnen 45 minuten schakelde NotPetya 4.000 servers en 45.000 end-points uit," licht March toe. "De volledige IT-infrastructuur ging down. De top veertig executives kon niet worden ingelicht, want de contactlijst stond ergens op een computer. Architectuurontwerp, disaster recovery plannen, ook dat was allemaal in één keer onbereikbaar geworden."

Een ander bedrijf had in zoverre geluk dat een medewerker vanwege een geplande cloud-migratie toevallig net het architectuurontwerp had meegenomen om vanaf huis te werken. Iets wat niet eens was toegestaan. "Alleen daardoor lukte het om de IT-infrastructuur weer in te richten. Maar alle data van alle datacenters en alle gebruikersapparatuur was definitief verloren. Het kostte het bedrijf zeven volle weken om de kale infrastructuur weer functionerend te krijgen. Dankzij de inspanning van tweehonderd man. In één kamer. Met bedden en eten. En niemand mocht tussendoor weg."

Prachtig DR-plan, maar kan je er ook bij?

Wat ging hier fout? March: "Bedrijven hebben vaak briljante DR-omgevingen en DR-plannen, maar hebben er na een cyberaanval simpelweg geen toegang meer toe. Omdat de weg naar de DR-omgeving door het virus is opgeblazen." Volgens March komt dat vooral doordat we nog op een traditionele manier onze disaster recovery-omgevingen ontwerpen.

Een cyberaanval is als een oorlog. Je moet op een andere manier nadenken hoe je daarop reageert

"We maken nog steeds draaiboeken waarin uitgebreid beschreven staat hoe we een failover naar een tweede fysieke locatie doen als een datacenter overstroomt of een vliegtuig neerstort. Maar een cyberaanval is als een oorlog. Je moet op een andere manier nadenken hoe je daarop reageert. Er is een kans van één op vier dat je in de komende 24 maanden wordt gehackt en schade oploopt. Daarom moet je de recovery vooral inrichten uitgaande van het feit dat je gehackt wordt."

Cyber Resiliency is teamsport

De Cyber Resiliency Blueprint onderkent vijf gebieden waaraan je aandacht moet besteden om een cyber resilient organisatie te worden. March weet dat het belangrijk is dat je dit wel gezamenlijk als een agile organisatie oppakt. "Traditionele silo's die in het verleden zijn ontstaan, zoals de strikte scheiding tussen de afdeling security en de afdeling data recovery, moet je hierbij echt doorbreken. Cyber Resiliency is teamsport. Alle afdelingen van de organisatie moeten nauw samenwerken." Daarnaast moet je regelmatig oefenen. "Oefenen, oefenen en oefenen. Net als in het leger."

Het framework gebruik je om IT-omgevingen zo op te bouwen dat ze na een cyberaanval te herstellen zijn. De brug naar de back-ups en de DR-omgevingen kan dan niet meer opgeblazen worden. "We hebben het framework aangevuld met wie voor welke gebieden verantwoordelijk is en er alle relevante standaarden bij gehaald waaraan je als bedrijf hoort te voldoen. Denk aan NIST- en ISO-standaarden. Met dit alles hebben wij een assessment samengesteld." Via ongeveer honderd vragen kan March nu snel en doeltreffend de volwassenheid van een organisatie vaststellen, oftewel hoe kwetsbaar je bent zodra een cyberaanval plaatsvindt. "Daarna kan een roadmap gemaakt worden waarmee je de volwassenheid naar het gewenste niveau tilt."

Forensisch schone DR-omgeving

Als je een DR-plan samenstelt dat tegen cyberaanvallen bestand is, is dat volgens March meteen ook geschikt om je business up-and-running te houden bij allerlei andere calamiteiten. "Ideaal is dat je dankzij orchestratie en kunstmatige intelligentie veel van de handmatige acties kunt automatiseren. Zodat het inrichten en bijhouden van de DR-omgeving en zelfs de failover automatisch kan plaatsvinden." Hierdoor heb je de zekerheid dat je altijd kunt terugschakelen naar een willekeurig tijdstip passend binnen RPO en RTO, dus de gekozen Recovery Point Objective en Recovery Time Objective.

Cyber Resiliency is teamsport. Alle afdelingen van de organisatie moeten nauw samenwerken

"Zolang je er maar voor zorgt dat je een forensisch schone DR-omgeving hebt, kan de bedrijfsvoering nagenoeg ononderbroken doorlopen. Zodat niemand iets van de cyberaanval merkt en je ook geen schade of reputatieschade hoeft op te lopen." De besmette productieomgeving kan direct na de failover in alle rust door het security team onderzocht en hersteld worden. Jij draait ondertussen rustig door op een schone virusvrije omgeving.

Golden copy van IT-omgevingen

Tijdens haar presentatie en ook na afloop, als we samen dieper in de materie duiken, licht March toe hoe je jezelf van zo'n schone data recovery omgeving verzekert. "Omdat moderne virussen een tijdje heel stil blijven zitten, grijpen wij terug naar WORM-opslag. Daarnaast zorgen we ervoor dat de DR- en back-up-omgevingen air gapped zijn." Dit laatste houdt in dat er een fysieke onderbreking in het netwerk zit, zodat virussen nooit kunnen overspringen vanuit de productieomgeving.

"Een active-active omgeving klinkt voor veel mensen als ideaal, maar het is desastreus bij een cyberaanval. Je kopieert dan elke bedreiging direct naar je disaster recovery omgeving." Daarom kiest March voor een andere methode. "Wij maken een kopie van de data, plaatsen deze in een clean room en laten daar vervolgens heel veel forensisch onderzoek op los om ons ervan te verzekeren dat er niets naars aan is toegevoegd."

Een active-active omgeving kopieert elke bedreiging direct naar je disaster recovery omgeving

Pas daarna wordt de data op een ander netwerksegment ingeladen, waarna dat netwerk meteen weer down wordt gebracht zodat niets bij de schone data kan komen. "Deze datakopie is eenmalig te beschrijven en kan nooit en door niets of niemand aangepast worden. Het is de golden copy van je IT-omgevingen. Een volledig schone kopie van al je data en applicaties. Zodat je heel snel een failover kunt doen bij een calamiteit."

Gegarandeerd identiek aan productie

Dankzij automation, orchestration en het inzetten van runbooks, worden handmatige handelingen zoveel mogelijk weggenomen. Hiermee bespaar je als organisatie veel tijd en worden tegelijkertijd menselijke fouten tijdens toch al stressvolle calamiteiten voorkomen. March: "Ook rapportages kunnen met een druk op de knop gegenereerd worden. Denk aan auditing, of om eventuele bottlenecks in het recoveryproces weg te nemen." Alle stappen van de recovery en de tijd die ze in beslag hebben genomen worden namelijk automatisch gelogd.

"Verder wordt de tooling almaar slimmer gemaakt en kun je bijvoorbeeld op elk moment nagaan of de DR-omgeving nog identiek is aan de productieomgeving. Zodat je zeker weet dat als je nu een test doet, je soepel en probleemloos een failover naar de DR-omgeving kunt uitvoeren."

Dankzij een forensisch schone disaster recovery omgeving kun je tijdens een cyberaanval automatisch een recovery doen, blijven doordraaien en hoef je geen enkele schade meer op te lopen. "Er is geen right of boom meer. En als je het heel slim aanpakt ook geen left of boom meer."

Hoe resilient is uw organisatie? Vraag een gratis assessment aan!

7 / 12