Cyber Response Team
1.4 Neem de nodige voorzorgen inzake back-ups
- Raf Geuns (Unlicensed)
Zo snel mogelijk na de vaststelling van het cyberveiligheidsincident en het loskoppelen van mogelijk geïmpacteerde servers of computers, is het een goed idee om aandacht te schenken aan de back-ups, aangezien deze een belangrijke rol kunnen spelen in de herstel- en remediëringsfase.Â
Indien er een vermoeden is dat meerdere servers of computer besmet zijn, bijvoorbeeld met ransomware, worden de automatische back-ups best uitgezet. De kans bestaat immers dat diverse bestanden reeds aangetast werden en dat besmette of versleutelde bestanden naar de back-up worden weggeschreven.Â
Daarnaast is het ook belangrijk om tijdig een volledige back-up te maken van de gehackte server of computer. Niet als hulpmiddel voor later herstel, maar om zoveel mogelijk bewijsmateriaal te vergaren over de acties van de verantwoordelijke cybercriminelen.
Â
Verdieping: Back-ups en sporenonderzoek
Gezien het vitale belang van back-ups, zowel in kader van sporenonderzoek als voor de herstel- en remediëringsfase, zoomen we even in op twee belangrijke aandachtspunten in de initïele fases van het cyberveiligheidsincident:
Voer een back-up en restore test uit voor een beperkte steekproef: De kans bestaat dat hackers systematisch via hun activiteiten back-ups onbruikbaar hebben gemaakt. Het is belangrijk om dit reeds op voorhand vast te stellen om onvoorziene problemen in de herstel- en remediëringsfase te vermijden. Kan een restore teruggezet worden? Zijn er offline back-ups die nog niet aangetast werden? Kan een systeem vanaf een restore volledig teruggezet worden, en zijn de bestanden leesbaar?
Onderzoek de back-ups van mogelijk gehackte servers steeds in een quarantaine omgeving: Via de gegevens uit de back-up kunnen verschillen gedetecteerd worden tussen de momenten voor de cyberaanval en de huidige situatie, bijvoorbeeld door te zoeken naar vreemde bestanden in C:\Windows\Temp of C:\Users.
Dit is een document voor publiek gebruik.