Zo snel mogelijk na de vaststelling van het cyberveiligheidsincident en het loskoppelen van mogelijk geïmpacteerde servers of computers, is het een goed idee om aandacht te schenken aan de back-ups, aangezien deze een belangrijke rol kunnen spelen in de herstel- en remediëringsfase.
Indien er een vermoeden is dat meerdere servers of computer besmet zijn, bijvoorbeeld met ransomware, worden de automatische back-ups best uitgezet. De kans bestaat immers dat diverse bestanden reeds aangetast werden en dat besmette of versleutelde bestanden naar de back-up worden weggeschreven.
Daarnaast is het ook belangrijk om tijdig een volledige back-up te maken van de gehackte server of computer. Niet als hulpmiddel voor later herstel, maar om zoveel mogelijk bewijsmateriaal te vergaren over de acties van de verantwoordelijke cybercriminelen.
Verdieping: Back-ups en sporenonderzoek
Gezien het vitale belang van back-ups, zowel in kader van sporenonderzoek als voor de herstel- en remediëringsfase, zoomen we even in op twee belangrijke aandachtspunten in de initïele fases van het cyberveiligheidsincident:
Voer een back-up en restore test uit voor een beperkte steekproef: De kans bestaat dat hackers systematisch via hun activiteiten back-ups onbruikbaar hebben gemaakt. Het is belangrijk om dit reeds op voorhand vast te stellen om onvoorziene problemen in de herstel- en remediëringsfase te vermijden. Kan een restore teruggezet worden? Zijn er offline back-ups die nog niet aangetast werden? Kan een systeem vanaf een restore volledig teruggezet worden, en zijn de bestanden leesbaar?
Onderzoek de back-ups van mogelijk gehackte servers steeds in een quarantaine omgeving: Via de gegevens uit de back-up kunnen verschillen gedetecteerd worden tussen de momenten voor de cyberaanval en de huidige situatie, bijvoorbeeld door te zoeken naar vreemde bestanden in C:\Windows\Temp of C:\Users.