Det globale erhvervsmarkeds største trussel er i dag cyberangreb, og udviklingen accelererer i højt tempo. Men vi står ikke bare hjælpeløse tilbage og giver op. Angriberne bliver dygtigere dag for dag – men det gør vi også! Og selvom, der er mange måder at gardere sig på, så peger udviklingen i dag på ét redskab over dem alle: En backup, vi kan stole på. 110%. Vi har sat tre specialister stævne til en snak om den seneste udvikling på angreb, backup og Disaster Recovery.

Truslen for cyberangreb er i dag en konstant, man som virksomhed skal forholde sig til. Proaktivt. Det kræver, at man har styr på sin backup og sit beredskab. Sidstnævnte består af mange små komponenter, og skal skræddersys det enkelte selskab. Og førstnævnte: Det er selve nøglen i en Disaster Recovery-proces. Derfor kan det anno 2021 undre, at alt for få faktisk har styr på deres backup. Software-producenten Veeam har i 2021 adspurgt 3000 globale selskaber til deres 2021 Data Protection Report. Et studie, som overrasker og vækker bekymring på de fremlagte tal. Men samme tid peger den også fremad, da det er tydeligt, at vi ikke længere sidder fast – vi kan faktisk handle og kæmpe imod truslen.

Større bane = større problemer

Den globale COVID-19-pandemi udfordrede os alle. Og én af de ting, som fulgte med, var en massiv stigning i antallet af cyberangreb. Victor Dohlmann, Regional Sales Director Denmark & Norway hos Veeam, sætter ord på: ”Det helt centrale er, at it er blevet mere spredt og derfor har man også haft en større koncentration i skyen. Og når it bliver mere spredt, så er banen bare større – der er mere at holde styr på”, siger han og fortsætter: ”Flere implementerede Office365 for at nedbringe omkostningerne og for at få hjælp til drift.

Men selvom, man lægger ting i skyen, så har man altså ene og alene selv ansvaret”. Og netop dét ansvar kom i høj grad på prøve: ”Hen over pandemien så vi en stigning på 715% i antallet af angreb. Det var voldsomt. Og medvirkende til stigningen er hjemmearbejdspladserne, for når vi arbejder decentralt, så giver det bare hackerne bedre arbejdsforhold. Hackerne har udnyttet, at man ikke kan blokere en virus, når man ikke genkender eller opdager den. Og dét er sværere, når man sidder derhjemme og ikke lige kan spørge en sidemakker, om suspekte mails, filer eller links”.  

Ny tendens: De ”menneskelige” angreb

Ifølge Alex Sørensen, Infrastructure Specialist og datacenter-veteran hos edgemo, som har fulgt udviklingen på cyberangreb i mange år, går udviklingen hurtigere end nogensinde før. Han er enig i, at karakteren af angrebene har taget nye former. ”For blot et års tid siden, tilbage i første halvdel af 2020, dominerede de automatiserede angreb trusselsbilledet. Og de var såmænd slemme nok i sig selv”, siger han og fortsætter: ”Men det, vi ser nu, det er ægte, levende mennesker, som tvinger sig adgang til virksomhedernes systemer og opholder sig derinde i lang tid og hygger sig med at forberede selve nedslaget i deres angreb. Vi ser, at ødelæggelserne er større, for nu rammer de ikke kun Windows-systemer, men også vores virtualiserings-lag og clouds. Vi ser, at perioderne, hvor de er i systemerne, kan vare helt op til 10 dage. De bliver typisk ikke opdaget, før de gør opmærksom på sig selv ved at kryptere eller låse vores data”.

En Managed Service, man ikke har bedt om

Som tidligere it-direktør i en global enterprise-koncern har Torben Christensen fra edgemo set og oplevet sikkerhedsudviklingen på tæt hold. Han kan sagtens genkende Alex og Victor’s udlægninger om, at angrebene har skiftet karakter: ”Det seneste års tid har jeg fået mere indsigt i, hvordan interaktionen med hackerne er. Det er ligesom at få en Managed Service, man ikke har bedt om”, fortæller han. ”Et eksempel: En stor virksomhed havde haft et angreb, hvor alt var blevet krypteret. Inklusive backup’en. Vi blev mødt med en utrolig service – en velkomstskærm, som fortalte om angrebet og med link til en helpdesk. Her kunne man have en chat-dialog med en rar supporter, som lærer dig at betale i Bitcoins. Man får prisstrukturen at vide, og bagefter får man sine gendannelsesinstruktioner. Meget professionelt”, fortæller han og uddyber:

”Det er slut med de rå amatører. Nu entrerer de systemerne ubemærket og opholder sig LÆNGE der. Her kortlægger de mønstrene, som finder sted. Dernæst går C-level-hackerne i gang med det grove arbejde. Når de så er inde bag murene, er det B-level, som tager over og opsporer passwords osv. Og når de så har overblik på plads, giver de bolden videre til de dyre drenge. I vores forensics har vi helt detaljeret kunne se, hvordan de arbejder. C-level er langsommere, fx på hvor hurtigt de taster kommandoer ind. Men alt i alt er det blevet dybt professionelt”, lyder det fra Torben.

Næsten to ud af tre har ikke styr på backup

”Før var det produktionsdata, men nu går de efter backup’en”, slår Victor Dohlmann fra Veeam fast. ”Det her er en ny hverdag, og det sker for 23% af alle servere i verden”, fortæller han. ”Som man også kan læse i vores Data Protection Report 2021, så er der en meget stor andel, som IKKE kan genskabe sine data. Hele 58%, fordi man ikke har styr på sin backup”.

Dét er et faktum, Alex Sørensen kender alt for godt: ”I dag skal vi ganske enkelt lade vores backup skrivebeskytte, og det er Veeam faktisk nogen af de første, som tilbyder nu. Det er uhyre effektivt. Sagen er, at hvis vi fx placerer en kopi af vores data i skyen, men hackerne kan nå den – ja, så sletter de den eller låser den. Derfor kan vi blandt andet med Veeam skrivebeskytte vores backup i en periode. Buzzwordet er immutability. Det handler også om at få tingene fysisk væk – ud i et brandskab eller i skyen. Alle skal have fokus på sin backup. Den skal være testet korrekt og virke, og til at sikre dét, bruger vi i dag Veeam”, fortæller Alex. De 3000 respondentvirksomheder har da også samlet set placeret netop backup’en som den altoverskyggende førsteprioritet i fremtiden.

Hacking som industri

Folkene bag angrebene er stadig drevet af økonomi, fortæller Alex Sørensen: ”I det seneste angreb, jeg var involveret i, modtog vi et pænt fysisk brev, hvor de krævede 5 mio. USD i krypto-valuta. Og senest har vi prøvet at forhandle med en gruppe, som tilbød rapporter og support; man bliver tildelt en hotline, indtil man får sine data igen. Akkurat som en gidselsag, hvor en kaptajn får sit skib kapret – det er samme proces. Det har taget en langt mere professionel og næsten corporate form”.

Victor Dohlmann supplerer: ”Det kan siges meget firkantet i dag: Hacking er en industri – det er virksomheder med support, som opstiller POC’er osv. for sine ”kunder”. Det er en ny tendens. Vi har kendt til denne industrialisering i et par år, men den tager mere og mere form. Det er ikke små lommetyve, som sidder bag skærmene længere”

”Vi ser ledende medarbejdere skrive vildt på whiteboards”

Når vi taler Disaster Recovery, så tager vi udgangspunkt i, at skaden ER sket. Vi taler ikke (kun) om værn mod angreb, men i stedet evnen – og beredskabet – til at komme tilbage. Og især ordet beredskab får Alex Sørensen til at tale med store bogstaver. ”Når det kommer til Distaster Recovery, så er det stadig overraskende få virksomheder, som har Business Continuity-planer. Det er næsten ufatteligt, når vi tænker på, at tiden jo bare går, og angrebene bliver flere og flere”, lyder det. ”Alt for mange opfinder planerne, NÅR katastroferne indtræffer – om det så er angreb eller ej. For det kan selvfølgelig også have en teknisk karakter. Men vi ser alt for ofte, at man er i tvivl om, hvilke systemer, man skal have op igen efter et nedbrud. Og det er altså over en bred kam: Mange bliver wiped out og har ingen planer overhovedet. Og så ser vi ledende medarbejdere stå og skrive vildt på whiteboards, mens katastrofen er om ørerne på dem, og pengene fosser ud ad vinduet”.

At kunne stole på sin backup

Victor Dohlmann forklarer Veeams nye teknologi, som Alex Sørensen også fortæller, at han og kollegerne har taget i anvendelse: ”Med den traditionelle backupindustri er det sådan, at hvis 'røgalarmen ringer', så er der allerede ild, og vi ved IKKE, hvornår det er kommet ind ad døren.

Veeams nye teknologi kan mere eller mindre opstilles sådan: Vi har nogle 'dørmænd', som skal kunne genkende virus. Vores 'ansatte i klubben' skal kunne monitorere en ny eller afvigende adfærd og dermed opdage faren og fjerne problemet, før der går ild i det hele”, fortæller han. ”Vi har patenteret en ny, teknologi, som kan gøre netop dette. Virksomhederne kan med vores Secure Restore-teknologi fjerne virus fra deres backup. Værktøjet kan rense en backup, så man kan gendanne data - selv hvis backuppen har været inficeret med virus. Ligesom en vaccine eller antibiotika”.

Mennesker og data er det vigtigste i en virksomhed. Derfor SKAL basale elementer som antivirus være på plads. Men for at få en god position i kattens leg med musen, har vi nu opbygget en automatiseret proces, som scanner og opbygger data. For genskabelse af data er jo essensen i en recovery-proces. Vi er dér, hvor mange virksomheder gør deres backups immutable og RBAC’ed. Men de gør det ved at flytte data i pengeskabe og store containere med kun én nøgle. Paradokset er jo oveni dét, at de faktisk ikke ved, om den backup, de låser inde, kan bruges. Men det er meget dyrt at satse på hardware, hvis eneste formål er at gøre en backup immutable. Det er overkill og meget lidt fleksibelt. Men med vores værktøj kan man klare sig med tre flyttekasser i stedet for en container. Så i stedet bør virksomhederne bygge deres backup-infrastruktur i tiers. Et hurtigt I/O-tier tæt på produktionsdata, ét immutable tier, som holder i ”30” dage – og endelig et separat langtids-tier, som har lavest mulige omkostning”, fortæller Victor Dohlmann.

Fra 3-2-1 til 3-2-1-1-0

Når det kommer til beredskab mod angreb og sikring af kontinuerlig drift, så er den gyldne backup-regel ”3-2-1” ikke til at komme uden om: Hav tre kopier af virksomhedens data – på to forskellige typer medier – hvoraf den ene skal være offsite. I dag arbejder mange med flere end tre kopier, og mange har gennem tiden taget typerne af backup-medier til nye højder. Der er flere veje rundt om 3-2-1-formlen, men fordelen er, at den kan appliceres noget nær universelt. Veeam har dog taget reglen i egne hænder og udviklet sin egen udgave af den. En model, en specialist som Alex Sørensen sætter pris på: ”Opdateringen af reglen gør, at den ikke kun virker i dag, men også i fremtiden”, konstaterer han.

Reglen hedder nu 3-2-1-1-0 i Veeam-regi! Forklaring følger: Den hjælper ganske enkelt med sikre Recovery efter et nedbrud. Den gamle regel består som sådan stadig, men udover en offline backup har du nu også en offline backup, som er helt adskilt fra den øvrige infrastruktur, og som heller ikke kan accesses den vej. Det lille ”0” til sidst handler alene om, at der med brug af Veeams SureBackup kan sikres nul fejl EFTER test og verifikation af backup’en.

Øv jer – og få hul igennem!

Torben Christensen mener også, at test-perspektivet er centralt, og det samme gælder værktøjer som Veeams. ”For det første skal din backup kunne gendanne HELE infrastrukturen – det vil sige, at den skal være total. Du er nødt til at have et komplet datasæt i huset. For det andet må din backup IKKE være en del af jeres AD. Og slutteligt skal du have en ekstra backup fra de seneste 20-30 dage, som skal være hårdt krypteret. Dén del kan Veeam klare – de har en fuldstændig nedlåst kryptering, som ikke engang virksomheden selv kan låse op”, konstaterer han.

Hvad angår test-perspektivet, siger Torben. ”Det er meget få virksomheder, som faktisk har styr på at teste sin backup løbende. Og faktisk også det at ØVE en komplet restore.

Tidligere testede vi kvaliteten af vores backups. Nu er det kvantitets-tests! Vi skal nemlig vide, at vi faktisk har HUL nok igennem til at gennemføre en restore lynhurtigt. Når vi snakker beredskab og recovery, så snakker vi lige så meget metoder som software”, vurderer Torben. ”Problemet er, at folk ikke har styr på kvaliteten af deres backup. De ved blot, at den er der. Og de kender SLET ikke båndbredden på deres backup, og den er altså væsentlig, for ransomware er meget destruktivt. Selvom du får en krypteringsnøgle, så SKAL du bygge en ny infrastruktur. Du kan ikke vide, om der er en rest tilbage. Det er fint nok, at du kan indlæse data, men du skal skabe et helt nyt AD”, mener Torben Christensen.

Ledelsens ansvar

Der findes mange værktøjer til at stoppe et angreb. Og backup er den sidste udvej. ”Når man er dér, så brænder lokummet, og det er ikke godt”, konstaterer Victor Dohlmann. Og meldingen er klar, når snakken falder på placering af ansvaret: ”Der bliver IKKE stillet spørgsmål nok fra ledelseslaget. Ansvaret skal være forankret hos ledelsen. Det er ufravigeligt, at alle spørgsmål om virksomhedens sikkerhed skal komme oppefra og ned og ikke omvendt”, slutter Victor Dohlmann, Veeam.

Hva’ så nu?

Nu har du læst artiklen. Var det så dét, eller skal der ske mere?

Kunne du lide artiklen? Så del meget gerne med andre via knapperne til Facebook, LinkedIn og Twitter øverst på siden - eller send URL'en til dem, du vil dele artiklen med.

Tænd kontakten

Vil du vide mere?

Udfyld felterne, så kontakter vi dig senest næste arbejdsdag. Du er også altid velkommen på +45 69 89 88 00 eller info@edgemo.com - og i menuen under Kontakt finder du alle edgemo people's kontaktdata.