Waarom “Maastricht” zo belangrijk is

      Reacties uitgeschakeld voor Waarom “Maastricht” zo belangrijk is

De succesvolle besmetting van het netwerk van de Universiteit Maastricht door ransomware heeft nationaal en internationaal de pers gehaald. Hoe de aanval is uitgevoerd is inmiddels bekend. De aandacht voor het eerste grote incident van die aard in Nederland is desondanks voorlopig nog niet voorbij.

Preventie kennis

Er zijn twee redenen om deze case goed te bestuderen. De eerste betreft de preventie kennis. De case zou antwoord kunnen geven op de vraag of preventie maatregelen dienen te worden aangepast om een dergelijke aanval te kunnen afweren. Om dat te kunnen doen zijn informatie over verkeersstromen, bekende en minder bekende zwaktes in het netwerk nodig. De Universiteit heeft daar inmiddels al het een en ander over gepubliceerd. Voor security experts moet het daarom nu iets beter mogelijk zijn vergelijkbare aanvallen beter en vooral vroegtijdiger te herkennen.

Back-up kennis

De tweede reden waarom de case zo belangrijk is heeft te maken met de manier waarop data is veiliggesteld. Als het goed is heeft elke organisatie een back-up strategie. Die naam is niet overal in gebruik. Dat data periodiek moet worden opgeslagen zodat in geval van een verstoring van de dienstverlening of schade kan worden teruggegrepen op een licht gedateerde, maar wel bruikbare, dataset is bij een grote groep bekend. Dat met name kleinere ondernemers die kennis niet omzetten in daden is een hardnekkig probleem.

Vendoren van back-up oplossingen in de vorm van hardware en of software hebben jaren de markt gewezen op noodzaak en nut van de 3-2-1 regel. Die regel betekent dat van elke dataset drie afzonderlijke kopieën zijn te maken. Dat gebeurt op twee soorten dragers. Een data set wordt op een andere locatie opgeslagen.

De techniek om dat mogelijk te maken is de afgelopen jaren verder volwassen geworden. Zelfs bij het gebruik van een NAS in de SoHo omgeving is het tegenwoordig eenvoudig van de NAS een back-up te maken in een externe cloud omgeving. Als de NAS  wordt gebruikt om de data van computers te back-uppen zou dat al tot een behoorlijke spreiding van de data moeten zorgen.

Einde 3-2-1 regel

De malware die nu de ronde doet blijkt echter een bom te leggen onder de 3-2-1 regel. Dat heeft alles te maken met de lange incubatietijd. Een besmetting kan maanden terug hebben plaatsgevonden, zonder dat de gebruiker er iets van merkt. Pas na verstrijken van een onbekende tijdsfactor slaat de malware toe. Dat raakt de data versleuteld en daarmee onbruikbaar.

Het probleem is dat daardoor back-ups die na de besmetting zijn gemaakt ook allemaal op het zelfde moment onbruikbaar worden. Zelfs de back-ups die op een andere drager en extern zijn opgeslagen zijn op het moment dat ze worden geraadpleegd onbruikbaar. Dat via het terugzetten van systeemklokken deze malware zelf detonatie kan worden voorkomen klopt. Het vereist echter kennis om dat goed te doen en het werkt zeer waarschijnlijk niet als de data in een externe omgeving (cloud) staat opgeslagen die zelf timestamps genereert en bijhoudt.

Andere back-ups

Malware dwingt iedereen op een andere manier met data om te gaan. De voordeur dichthouden om besmettingen te voorkomen is uiteraard de belangrijkste te nemen maatregel. Daar ligt een schone taak voor IT bedrijven de klanten uit te leggen wat daar allemaal bij komt kijken.

Er zal echter ook op een andere manier van back-ups maken en opslaan moeten komen. Het is nodig de full en incrementele back-ups tijdens de aanmaak en de levensduur daarna te controleren op malware. Daarmee is het probleem gereduceerd, maar niet verholpen.

Gevallen van besmettingen zoals bij Maastricht waar de malware al maanden in het netwerk zit betekenen dat het aantal back-ups drastisch zal moeten worden uitgebreid en dat deze ook langer moeten worden bewaard. Dat is goed nieuws voor de storage sector, maar voor de gebruikers is het een flinke opgave. Los van de kosten voor meer terabytes aan opslag is er ook slimmere software nodig die dit proces kan automatiseren.

Wie denkt dat met het op uurbasis maken van een snapshot of image (als dat technisch gezien al mogelijk is) de beste oplossing is kan op basis van “Maastricht” en “Gießen” overigens zien dat die aanname niet werkbaar is. Besmettingen die zo lang in slapende toestand in het netwerk zitten voordat ze toeslaan leiden er toe dat in het beste geval een dataset van twee maanden terug of ouder zonder risico is terug te zetten. Natuurlijk is het dan goed dat er honderden snapshots veilig liggen opgeslagen die zo ver terug gaan in de tijd. Maar voor welke organisatie is een zo oude dataset nog bruikbaar?

(Foto’s: Uni Maastricht Kleon3 CC BY-SA 4.0 – Uni Gießen van Ralf Lotys (Sicherlich) CC BY-2.5 )

Share: