Het laatste redmiddel bij incidenten; alles wat je moet weten over back-ups

Het veiligstellen van (bedrijfs)data middels een back-up is essentieel. Het is zelfs het belangrijkste aspect binnen informatiebeveiliging. Want als je geen toegang meer hebt tot bedrijfskritische data, komt de continuïteit van de organisatie in gevaar.

Dit kan bijvoorbeeld gebeuren wanneer een ransomware-bende uw data vergrendelt, maar ook door menselijk of technisch falen of een brand in het datacenter kan data verloren gaan. Zonder back-up is data dan verloren. Maar als je goed werkende, en goed beveiligde back-ups hebt, kan de data toch teruggehaald worden. Een back-up is in dit soort gevallen het  laatste redmiddel!

Het opzetten van een back-upstrategie kost even tijd en energie, maar het is de moeite waard! In dit artikel vertellen we waar je over na moet denken bij het opstellen en implementeren van een back-up strategie.

Het opstellen van een back-upstrategie

De eerste stap in het opzetten van een back-up strategie is inventarisatie. Je moet weten welke data geback-upt moet worden, welke data kritisch is en aan welke wet- en regelgeving het back-up beleid moet voldoen. Begin daarom met het stellen van deze vragen aan het management:

• Wat zijn de bedrijfskritische systemen en vertrouwelijke data en waar zijn deze opgeslagen?
• Hoeveel dataverlies kan het bedrijf zich veroorloven? (Recovery Point Objective (RPO))
• Hoelang mag het systeem uit de lucht zijn voordat de bedrijfsvoering te veel benadeeld wordt? (Recovery Time Objective (RTO))
  • De uiteindelijke hersteltijd of RTO wordt bepaald door wat er geback-upt is, (gegevens, systeemback-ups, archief) het schema, de frequentie, wel of geen incrementele back-up, de locatie en het back-upmedium.
• Welke incidenten kunnen er optreden waarbij mogelijk een restore nodig is?
  • Denk aan het per ongelijk verwijderen van een bestand, een infectie met ransomware, een systeemcrash of een brand.
• Welke wet- en regelgeving is van toepassing op de data in de back-ups? (Zoals de AVG.)

^Schematische voorstelling van de RPO en RTO.

De antwoorden op de hierboven gestelde vragen zijn belangrijk voor het bepalen van de back-up strategie, maar ook het beschikbare budget speelt bijvoorbeeld mee.

Incidentresponseplan

Naast een back-upstrategie is het ook belangrijk om een incidentresponseplan uit te werken, waarin staat hoe er gehandeld wordt, mocht er een incident plaatsvinden. Het uitdenken van de reactie op een incident, is een waardevolle toevoeging. Kijk daarin naar welke maatregelen en reacties geautomatiseerd kunnen worden, wie er verantwoordelijk is voor bepaalde handelingen, hoe er gecommuniceerd wordt naar klanten en/of andere betrokkenen, etc. Denk er zelfs eens over na om een van de scenario’s te oefenen.

Een voorbeeld back-upstrategie

We hebben een voorbeeld back-upstrategie uitgewerkt. Aan de hand daarvan leggen we verschillende aspecten van back-ups uit, zoals back-upschema’s en verschillende soorten back-ups.

Ieder bedrijf heeft echter specifieke behoeften wat betreft databack-up. Het onderstaande model is dus niet universeel toepasbaar. Wij kunnen wel meedenken en u adviseren bij het maken van een back-upstrategie.

In dit voorbeeld:

• Staan alle data op een NAS (Network Attached Storage) met gespiegelde disks;
• Maakt een back-upserver maakt elke nacht een back-up van het NAS op een apart NAS met verwisselbare schijf. Dit NAS is via een apart netwerk aan de back-upserver gekoppeld;
• Worden de systemen elke week geback-upt. In verband met de beperkte bandbreedte van de internetverbinding, is er bewust gekozen om geen cloud back-up dienst af te nemen.

Verschillende back-up schema’s

Als basis wordt vaak het 3-2-1 schema genomen. Dit houdt in dat er minimaal drie volledige kopieën zijn, op twee verschillende media. Het is hierbij belangrijk dat één van de verschillende media zich op een andere locatie bevindt.

Voorbeeld: De data staan op gespiegelde disks, zodat er al 2 kopieën zijn. De 3^de kopie staat op een andere disk (2^de medium). De kopie van donderdag wordt op een externe locatie bewaard.

Een veelgebruikt schema om de 3-2-1 regel aan te vullen, is het GFS (Grandfather-Father-Son) schema. De Son is hier de eerste volledig back-up van de organisatie, dagelijks gemaakt wordt. Elke week wordt deze back-up gepromoveerd tot Father. Na vier weken wordt deze Father gepromoveerd tot Grandfather. Afhankelijk van de gewenste bewaartermijn voor back-ups kunnen er meerdere Grandfathers bewaard worden.

Voorbeeld: De Sons, 1 volledige back-up en 3 incrementele back-ups, worden elke week overschreven. Op donderdag wordt er een volledige back-up gemaakt, de Father. De 3 Fathers worden elke 4 weken overschreven. Elke 3de maand wordt de Grandfather overschreven.

De verschillen tussen volledige, differentiële, incrementele en reverse-incrementele back-ups

Er zijn verschillende soorten back-ups. Maar wat zijn die verschillen precies?

• Een volledige back-up bevat een exacte kopie van alle bestanden. Bij een restore heb je alleen de laatste back-up nodig.
• Een differentiële back-up bevat alleen de bestanden die gewijzigd zijn na de laatste volledige back-up. Bij een restore zijn maximaal 2 back-ups nodig, namelijk de volledige back-up en de laatste differentiële back-up
• Een incrementele back-up bevat alleen de bestanden die gewijzigd zijn na de laatste back-up, ongeacht wat voor soort back-up als laatste uitgevoerd is. Bij een restore heb je de laatste volledige back-up en alle incrementele back-ups tot aan de volledige back-up nodig.
• Bij een reverse-incrementele back-up is de laatste back-up altijd een full back-up. De incrementele versies met de verschillen ten opzichte van de huidige back-up worden bewaard om terug te kunnen gaan naar oudere versies. Bij een restore heb je alleen de laatste back-up nodig.

Je kunt bijvoorbeeld wekelijks een volledig back-up maken en één keer per dag een incrementele of reverse-incrementele back-up. Daardoor bespaar je tijd en back-upcapaciteit, en dus geld. Het is wel belangrijk om te weten dat het met een incrementele back-up langer duurt om bestanden terug te zetten, dan wanneer er volledige back-ups zijn gemaakt. Houd bij de keuze voor een soort back-up dus de RTO in gedachten.

Voorbeeld: De eerste dagelijkse back-up is een volledige back-up. De 3 daaropvolgende back-ups zijn incrementele back-ups zodat er minder opslagcapaciteit nodig is. Elke donderdag wordt er een volledige back-up gemaakt.

Online versus offline back-ups

Online back-ups kunnen zowel in de cloud als op de eigen locatie gemaakt worden. Bij een online back-up heb je rechtstreeks toegang tot de back-ups en is snel en direct beschikbaar. Dat is handig, maar ook meteen een risico, want daardoor kunnen kwaadwillende personen of malware mogelijk ook toegang krijgen tot de back-up. In dat geval kunnen zij bestanden wijzigen, encrypten, kopiëren en/of weggooien.

Een offline back-up is niet te benaderen vanuit het interne netwerk. Een offline back-up maakt gebruik van een eigen netwerk met eigen accounts, dat volledig los staat van het productienetwerk. Er is altijd een actie nodig om toegang tot de back-up te krijgen, zoals het aansluiten van een USB-disk, het mounten van een speciale back-upomgeving of het plaatsen van een tape. Met een offline back-up ben je verzekerd dat hackers de data niet kunnen wijzigen en dus niet kunnen encrypten. De offline back-up blijft bruikbaar voor herstelwerkzaamheden, ook na een ransomware aanval.

Een offline back-upoplossing is niet per se complexer dan een online back-up en kan ook geautomatiseerd worden.

Het maken van offline back-ups is noodzakelijk. Zorg dat er voldoende offline back-ups gemaakt worden en sla deze bij voorkeur op een andere locatie op.

Voorbeeld: Er wordt gebruik gemaakt van een systeem dat specifiek voor de back-up ingericht is. Het aparte storage systeem waar de back-up op staat, is rechtstreeks aan de back-upserver gekoppeld. De disks worden bij het starten van de back-up aangekoppeld en na afloop weer losgekoppeld.

Gegevensback-up versus systeemback-up

Een gegevensback-up, ook wel een fileback-up genoemd, maakt alleen een back-up van bestanden en data. Het is een effectieve manier om gegevens veilig te stellen, maar je kunt niet een volledig systeem herstellen vanuit een gegevensback-up. Daarvoor heb je een systeemback-up nodig of moet je het Operating System (OS) en de programma’s opnieuw installeren.

Een systeemback-up, ofwel systemimage, is een exacte copy van de disk en bevat naast de data ook het OS, de programmatuur én alle instellingen. Met behulp van een systeemback-up kan je een systeem na een crash van de harddisk volledig opnieuw opbouwen. Een systeemback-up kost wel meer tijd en performance dan een gegevensback-up.

Tegenwoordig worden steeds meer systemen opgebouwd door gebruik te maken van scripts. Systeemback-up zijn dan meestal niet nodig. Het opbouwen van een nieuw systeem met behulp van scripts gaat sneller, maar de scripts moeten wel regelmatig getest worden.

Voor een gegevens- of systeemback-up kun je andere back-upschema’s gebruiken dan hierboven beschreven.

Voorbeeld: Er wordt dagelijks een databack-up gedaan, maar de systemen worden alleen wekelijks geback-upt. Hierdoor wordt diskruimte bespaart.

Een back-up versus een digitaal archief

Een back-up is een kopie van systemen of gegevens. Deze gegevens veranderen, dus er moeten regelmatig nieuwe back-ups gemaakt worden. Zo kunnen de gegevens en systemen, in het geval van een incident, snel teruggezet worden.

Een digitaal archief is de lange termijn opslag van gegevens. Deze gegevens worden bijvoorbeeld bewaard i.v.m. het interne beleid of om aan de wet- en regelgeving te voldoen. Een voorbeeld hiervan is de wettelijke bewaartermijn van financiële administraties of medische gegevens. Deze gegevens in het digitale archief veranderen niet, maar moeten wel geback-upt worden. Het digitale archief loopt dus vaak mee in het normale back-upschema.

Voorbeeld: Het archief is onderdeel van de standaard data en loopt gewoon met de back-up mee.

Tips voor het maken van back-ups

Bij het maken van back-ups en het opstellen van een back-upstrategie komt heel wat kijken. Daarom hebben we hier nog meer tips, zodat je snel aan de slag kunt. Wil je dat er alsnog iemand meedenkt of adviseert? Dat doen wij graag, dus neem gerust contact op om het over de mogelijkheden te hebben.

• Zorg dat de back-ups niet bereikbaar zijn vanuit andere systemen. Alleen het back-upsysteem mag de back-ups kunnen benaderen.
• Maak geen connectie met een Active Directory en configureer eigen accounts met complexe en unieke wachtwoorden. Met behulp van IAM kan je instellen dat het account na bijvoorbeeld 5 foutieve inlogpogingen wordt geblokkeerd.
• Check dagelijks de rapportage van de back-upomgeving. Kijk niet alleen of je een mailtje van de back-up software hebt ontvangen, maar controleer bijvoorbeeld ook of er bestanden niet toegankelijk zijn. Wellicht is er een map met gegevens verplaatst, waardoor die niet meer geback-upt wordt.
• Onderzoek welk medium je gebruikt voor welk type back-up. Er zit veel verschil tussen media, zoals tape, disk of SSD. Het verschil zit onder andere in snelheid, kosten, handeling en bewaartermijnen.
• Versleutel de back-ups, zodat onbevoegden de back-up niet kunnen lezen of wijzigen in het geval ze onverhoopt in het bezit van de back-up komen.
• Zorg dat je de back-ups veilig opbergt. Zijn het losse disks of tapes? Leg ze dan in een kluis en versleutel ze.
• Voer minimaal 1 keer per jaar een volledige restoretest uit. Test daarbij ook of alle systemen na een restore correct werken.
• Maak een incidentresponseplan en loop dat tijdens de restoretest door. Beschrijf daarin de verschillende scenario’s die zich voor kunnen doen.
• Bewaar de back-ups lang genoeg. Soms is malware al een tijd geïnstalleerd, voordat je er voor het eerst iets van merkt.
• Houd rekening met de AVG en andere wet- en regelgeving. Controleer of er branche specifieke wet- en regelgeving is waar je mee te maken hebt.

Heeft u naar aanleiding van dit artikel vragen of opmerkingen? Wilt u dat er iemand meedenkt bij het opstellen van een back-upstrategie? Neem dan gerust contact op.