Inleiding
Cyberaanvallen worden geavanceerder en gerichter. Preventieve maatregelen helpen, maar kunnen een aanval niet altijd voorkomen. Daarom is de vraag niet meer óf je getroffen wordt, maar wanneer. Zonder een goed cyber recovery-plan is de kans groot dat herstel chaotisch, traag en incompleet verloopt, met grote financiële en operationele schade als gevolg.
Cyber recovery is een strategie die organisaties in staat stelt om na een aanval gecontroleerd en veilig te herstellen zonder het risico te lopen dat ze besmette data terugplaatsen. Verschillende IT-leveranciers bieden inmiddels oplossingen die invulling geven aan cyber recovery. In deze blog bekijken we welke concepten er op de markt beschikbaar zijn en welke overwegingen een rol spelen bij de keuze voor een specifieke aanpak.
Ben jij voorbereid op een cyberaanval? En hoe zeker ben je dat je kunt herstellen na zo’n aanval? Lees verder
In deze blog staan we stil bij waarom het niet verstandig is om Cyber Recovery volledig uit te besteden, zelfs als je IT dat wel is. Ook geven we 5 tips over zaken die je écht zelf moet regelen. Lees verder
In deze blog geven we tips over herstellen na een cyberaanval. Tijd om jouw herstelstrategie onder de loep te nemen. Lees verder
Wat moet je precies veiligstellen om zo snel en efficiënt mogelijk te herstellen na een cyberaanval? In de vorige blog stonden we stil bij het type informatie. Nu gaan we dieper in op de vorm waarin die informatie is opgeslagen. Lees verder
Een goede cyber recovery-strategie valt of staat bij de kwaliteit van je tests. Maar wat moet je precies testen en hoe diep moet je gaan? Lees verder
Kun je volledig vertrouwen op je cloudleverancier, of moet je zelf herstelmaatregelen nemen als er een cyberaanval toeslaat? En hoe verschillen de opties tussen SaaS, PaaS en IaaS? Lees verder
Wat is belangrijker in cyber recovery: een waterdicht noodplan of ruimte voor improvisatie bij een onvoorspelbare cyberaanval? Lees verder
Direct herstellen om de schade te beperken, of eerst forensisch onderzoek doen om te achterhalen wat er is gebeurd bij een cyberaanval? Lees verder
Wat maakt Cyber Recovery anders dan traditioneel back-upherstel?
Back-ups beschermen tegen hardwarestoringen, menselijke fouten en softwarefouten. Maar een cyberaanval kan hele netwerken besmetten en back-ups compromitteren. Alleen data terugzetten is dan niet genoeg; je moet zeker weten dat je geen geïnfecteerde systemen herstelt. Daarom draait cyber recovery om méér dan back-ups: het vereist isolatie, immutability en actieve (intelligente) inspectie:
- Isolatie – Data die als laatste redmiddel dient, moet fysiek of logisch gescheiden zijn van de productieomgeving. Een aanvaller mag hier nooit bij kunnen, zelfs niet met beheerdersrechten in de productieomgeving.
- Immutability – De data in de kluis mag niet gewijzigd of verwijderd kunnen worden. Zelfs een aanvaller met diepe systeemtoegang kan de kluisinhoud niet manipuleren.
- (Intelligente) Inspectie – De opgeslagen data wordt continu of periodiek gescand op tekenen van malware, ransomware of andere Indicators of Compromise (IoC’s). Hierdoor voorkom je dat je een besmetting terugplaatst bij herstel.
Twee hoofdbenaderingen in Cyber Recovery
Cyber recovery-oplossingen zijn grofweg in te delen op basis van:
- Functionele basis – Werkt de oplossing op basis van Endpoint Detection & Response (EDR) of op basis van back-uptechnologie?
- Implementatiemodel – Wordt de oplossing aangeboden als een cloudgebaseerde oplossing of als een on-premise systeem?
Hieruit ontstaan vier categorieën, die we verder uitwerken:
| Cyber Recovery Strategieën | On-Premise | Cloudgebaseerd |
| EDR-gebaseerde oplossingen | Endpoint-beveiliging binnen het eigen netwerk (bijv. SentinelOne Singularity, CrowdStrike Falcon) | Cloudgebaseerde bescherming en herstel van endpoints (bijv. SentinelOne Data Lake) |
| Back-upgebaseerde oplossingen | On-premise geïsoleerde opslag voor kritieke data (bijv. Dell EMC PowerProtect, IBM Cyber Recovery) | Cloud-native cyber recovery-oplossingen (bijv. Druva Curated Snapshots, Cohesity FortKnox, AWS Backup Vault Lock) |
1. EDR-gebaseerde Cyber Recovery oplossingen
Endpoint Detection & Response (EDR)-gebaseerde oplossingen richten zich op het detecteren, blokkeren en herstellen van cyberaanvallen door te focussen op endpoints en actieve dreigingen. Dit type oplossing is geschikt voor bedrijven die met name een snelle respons op bedreigingen willen en hun herstelprocessen willen automatiseren.
Geschikt voor organisaties die snelle detectie en herstel van werkplekken en servers belangrijk vinden.
2. Back-upgebaseerde Cyber Recovery oplossingen
Back-upgebaseerde oplossingen leggen de nadruk op het veiligstellen van cruciale data en systemen, zodat deze na een aanval volledig hersteld kunnen worden. Deze oplossingen gebruiken vaak isolatie, immutability en geavanceerde malwaredetectie om besmetting van back-ups te voorkomen.
Geschikt voor organisaties die een brede en diepgaande bescherming nodig hebben, inclusief servers, databases en complete IT-infrastructuren.
Bij back-upgebaseerde cyber recovery-oplossingen heb je, naast de keuze tussen on premise en cloud, twee opties:
- Leverancier-specifiek – Deze oplossingen bouwen voort op een bestaande back-uptechnologie van dezelfde aanbieder en zijn volledig geïntegreerd. Hierdoor kunnen cyber recovery oplossingen bijvoorbeeld (vaak) ook versleutelde back-ups inspecteren op malware, ransomware of IoC’s in zijn algemeenheid.
- Leverancier-onafhankelijk – Compatibel met meerdere back-upsystemen, wat handig is voor organisaties die verschillende technologieën combineren. Dit laatste is vanzelfsprekend enkel relevant op het moment dat je als organisatie al gebruik maakt van verschillende back-upoplossingen.
3. Cloudgebaseerde Cyber Recovery oplossingen
Cloud-native oplossingen bieden cyber recovery als een dienst, waarbij data, configuraties en applicaties veilig in de cloud worden opgeslagen en beheerd. Dit kan zowel voor back-ups als voor EDR-oplossingen gelden.
Geschikt voor organisaties die flexibiliteit en wereldwijde toegankelijkheid vereisen.
4. On-Premise Cyber Recovery oplossingen
Voor organisaties die volledige controle over hun cyber recovery-strategie willen behouden, blijven on-premise oplossingen een cruciale optie. Dit geldt zowel voor back-ups als voor EDR-oplossingen.
Geschikt voor organisaties die met strikte compliance-eisen en geen afhankelijkheid van IT-leveranciers willen.
De voor- en nadelen op een rijtje
| Oplossingstype | Voordelen | Nadelen |
| EDR-gebaseerd | Snelle detectie en herstel, geautomatiseerde dreigingsrespons. | Beperkt tot endpoints, geen bescherming voor back-ups. |
| Back-upgebaseerd | Lange termijn dataretentie, veilige herstelfuncties. | Detectieperiode kan langer duren, hetzelfde geldt voor het herstelproces. |
Leverancier-specifiek | Naadloze integratie en optimale functionaliteit, snelle herstelacties. | Een verhoogd risico op vendor lock-in. Minder flexibiliteit en/of keuzevrijheid. |
Leverancier-onafhankelijk | Centraal beheer met lagere beheerlast en eenvoudigere monitoring. Flexibel door meerdere oplossingen te koppelen. | Integratie kan complexer zijn dan vooraf verwacht. Functionaliteiten kunnen mogelijk niet optimaal worden gebruikt, zoals het inspecteren van data omdat deze mogelijk is versleuteld door een product van een andere leverancier. |
| Cloudgebaseerde Cyber Recovery oplossingen | Schaalbaarheid, flexibiliteit en geografische redundantie. | Afhankelijkheid van cloudleveranciers, compliance-uitdagingen rondom data-soevereiniteit. |
| On-Premise Cyber Recovery oplossingen | Volledige controle over infrastructuur en herstelstrategie, geen afhankelijkheid van externe partijen. | Vereist meer interne middelen en hogere initiële kosten. |
De strategische keuze: hybride denken
De realiteit is dat de meeste organisaties niet voor óf alleen product-specifieke oplossingen, óf alleen een algemene oplossing kiezen. Vaak is er sprake van een hybride aanpak. Daarom is het aan te bevelen in je cyber recovery strategie per proces, applicatie en/of dataset na te gaan wat de waarde is voor je organisatie en welke cyber recovery oplossing daar het best bij past.
Conclusie
Er is geen universeel juiste keuze tussen product-specifieke en algemene cyber recovery oplossingen. De beste strategie hangt af van de aard van je IT-landschap, de samenstelling van je applicatieportfolio, de data die je verwerkt en je risicobereidheid. Wat wel zeker is: zonder duidelijke cyber recovery strategie, inclusief isolatie, immutability en (intelligente) inspectie, wordt het vrijwel onmogelijk om na een serieuze cyberaanval met zekerheid malwarevrij en veilig te herstellen.
Denk vooruit: Hoe ziet jouw ideale cyber recovery strategie eruit? Is jouw organisatie voorbereid op cyber recovery of vertrouw je nog te veel op traditionele back-ups? Het is tijd om je cyberweerbaarheid structureel te versterken.