De meeste organisaties komen er pas achter dat hun back-upstrategie niet werkt als het te laat is.

Aan de oppervlakte lijkt alles gedekt: back-ups worden uitgevoerd, er is een retentiebeleid, herstelplannen zijn getest en iemand heeft zes maanden geleden een beoordeling uitgevoerd waarin werd gezegd dat alles er "adequaat" uitzag. Misschien zelfs "volwassen".

Maar wanneer ransomware toeslaat, betekenen die selectievakjes niet veel.

Want dit is de waarheid: de meeste beoordelingen zijn niet gebaseerd op wat er gebeurt bij een echte ransomware-aanval. Ze zijn gebaseerd op "best practices" en aannames; ze zijn niet gebaseerd op het daadwerkelijke gedrag van bedreigers. En ze laten IT- en beveiligingsteams achter met iets gevaarlijks: een vals gevoel van paraatheid dat niet standhoudt onder druk.

We hebben honderden echte inbreuken meegemaakt. We weten waar (en waarom) traditionele beoordelingen tekortschieten en hoe we een aanpak kunnen ontwikkelen die echt werkt.

Wat traditionele beoordelingen fout doen

De meeste beoordelingen zijn gemaakt voor naleving, niet voor crisis.

Ze volgen een voorspelbare formule:

• Worden back-ups volgens een schema uitgevoerd?
• Worden ze offsite of in onveranderlijke opslag bewaard?
• Is er een gedocumenteerd herstelplan?
• Is het in de afgelopen 12 maanden getest?

Als je daar "ja" op antwoordt, slaag je voor de meeste beoordelingen. Er is echter een probleem. Het maakt aanvallers niet uit wat er op je compliance checklist staat. Ze geven erom wat ze kunnen versleutelen, exfiltreren of vernietigen voordat u het merkt.

Dit is wat typische beoordelingen routinematig negeren:

Gedrag van de bedreigende actor

Traditionele beoordelingen testen niet op opsomming of vernietiging van back-ups. Dit zijn de tactieken die aanvallers als eerste gebruiken als ze eenmaal toegang hebben. Van hypervisor snapshots tot herstelsoftware en domein-verbonden diensten, we hebben herhaaldelijk gezien dat, in de echte wereld, de back-up infrastructuur meestal hun openingszet is. Als je back-ups niet gesegmenteerd zijn van je domein (de meeste zijn dat niet), dan zijn ze al aangetast.

Zijdelingse beweging

Traditionele beoordelingsrapporten hebben de neiging om systemen geïsoleerd te behandelen. Bestandsshares hier, AD daar, back-ups in een andere luchtbel. Bij een echte inbraak bewegen bedreigers zich lateraal en agressief. Een compromittering van een beheerderswerkstation met domeinverbinding kan uiteindelijk leiden tot back-upinfrastructuur als de segmentatie en het toegangsbeheer niet waterdicht zijn. Traditionele assessments simuleren zelden wat er gebeurt als de aanvaller van HR naar IT Ops naar infrastructuur gaat. Er is geen test van indamming (of het gebrek daaraan).

Stresstests

Het is één ding om een test-VM te herstellen in een gecontroleerde omgeving. Het is iets anders om kritieke systemen op te starten met beschadigde back-ups, gecompromitteerde referenties en leidinggevenden die om de vijf minuten antwoorden eisen. Traditionele beoordelingen vragen: "Is er een plan?", terwijl ze zouden moeten vragen: "Kan je team dit plan uitvoeren terwijl de helft van je personeel is buitengesloten en de aanvallers nog steeds actief zijn?".

Veronderstellingen

Mensen hebben vaak veel vertrouwen in de succespercentages van back-ups. Dat zouden ze niet moeten zijn. In een rapport staat misschien dat 90% van de back-ups met succes wordt voltooid. Maar wie controleert de integriteit en herstelbaarheid? Beschadigde ACL's, verkeerd uitgelijnde agents en fouten op applicatieniveau kunnen die "succesvolle" back-ups onbruikbaar maken.

Waar het op neerkomt: de meeste assessments zijn ontworpen om te bevestigen wat je al denkt te weten. Ze bieden troost, geen duidelijkheid. Aannames worden niet in twijfel getrokken. Ze modelleren geen bedreigingsactoren. En ze weerspiegelen niet de complexiteit van een echte ransomware-aanval.

Wat gebeurt er tijdens een inbraak?

Er is een hardnekkige mythe dat ransomware-aanvallen geïsoleerd, voor de hand liggend en eenvoudig te herstellen zijn met een schone restore.

We hebben meer dan 300 ransomware-herstelacties uitgevoerd en we kunnen u vertellen... dat dit niet waar is.

Onze ervaring is dat uw back-ups een primair doelwit zijn. Bedreigers zijn niet alleen geïnteresseerd in het versleutelen van gegevens. Ze willen herstel onmogelijk maken. Ze weten dat de snelste manier om betaald te krijgen is om u geen alternatief te bieden. Daarom is de back-upinfrastructuur een van de eerste plaatsen waar ze naartoe gaan.

Zelfs onder ideale omstandigheden is het herstellen van een productieomgeving geen kwestie van op een knop drukken. Het is een proces waarbij netwerksegmentatie, het opnieuw instellen van toegangsgegevens, het indammen van malware, het opnieuw opbouwen van de infrastructuur en het valideren van elk systeem dat weer online is gebracht komen kijken. Voeg daar nu ransomware aan toe en je hebt te maken met gedeeltelijke of mislukte back-ups, onduidelijke RPO/RTO-beslissingen, ontbrekende runbooks, verbrande referenties en druk vanuit de hele organisatie, van de directie tot juridische zaken, PR, leidinggevenden en toezichthouders.

Je "volwassen plan" kan tegen het tweede uur in elkaar storten.

Je hebt een ander soort beoordeling nodig

Hoewel ze soms waardevol zijn, bieden typische beoordelingen zelden een allesomvattende kijk op de kritieke onderlinge relaties tussen beleid, product, mensen en processen. Ze kunnen organisaties niet helpen zich voor te bereiden op ransomware-events, omdat ze zijn gebaseerd op aannames over de overlevingskansen, onveranderlijkheid en MTTR (Mean Time to Recover) van gegevens in plaats van een realistische beoordeling van hoe de infrastructuur en back-ups van een bedrijf een aanval door een moderne dreigingsactor zullen overleven.

Daarom hebben we onze Ransomware Backup & Resiliency Assessment (RBRA) zo ontworpen dat deze fundamenteel anders is.

De RBRA, gebouwd en geleverd door het Athena7 bataljon onder Fenix24, zet het traditionele beoordelingsmodel op zijn kop. Op basis van onze praktijkervaring als 's werelds toonaangevende ransomware recovery-experts analyseren we uw back-upconfiguraties en veerkracht door middel van "shoulder-surfing" en geautomatiseerde middelen, zodat we u kunnen vertellen hoe de back-ups en infrastructuur van uw bedrijf zullen presteren tegenover de bedreigingsactoren van vandaag. We baseren onze beoordelingen op hoe ransomware-aanvallers zich gedragen. Het is een praktische evaluatie op basis van duizenden uren in echte post-breach omgevingen.

De focus ligt op je overlevings- en herstelvermogen.

Uiteindelijk is de sleutel tot veerkracht van een organisatie het begrijpen van wat een aanval overleeft en hoe lang het duurt voordat je hersteld bent. Om dit te begrijpen, beoordelen we:

• Hoeveel van je gegevens zullen overleven? Zelden is het 100%, zelfs als er losgeld wordt betaald.
• Zullen uw back-ups overleven/bruikbaar zijn? Onze informatie toont aan dat 80% van de veronderstelde onveranderlijke back-ups het niet overleven.
• Zal uw infrastructuur, inclusief AD, overleven? Dit is nodig om herstelde gegevens te rehydrateren en identiteit te valideren.
• Heb je voldoende opslagruimte, bandbreedte en connectiviteit? Dit is nodig om snel te kunnen herstellen.

De RBRA legt de gaten bloot die u tijdens een echte aanval zouden verlammen, terwijl er nog tijd is om ze te dichten. We gaan in op elk van de bovenstaande vragen om u een realistische inschatting te geven van welke gegevens en welke applicaties zullen overleven en bruikbaar zullen zijn, en bieden een meerstappenplan voor uw herstel.

Valideer uw veerkracht voordat aanvallers dat voor u doen

Geen enkele bedreigende actor is ooit gestopt door een compliance checklist.

Het maakt ze niet uit hoe vaak je back-ups maakt of hoe goed georganiseerd je hersteldocumentatie is. Het maakt ze al helemaal niet uit hoe zeker je je voelt over je vermogen om te herstellen en terug te halen.

Het gaat hen om toegang, privileges en snelheid. Als je systemen ze de mogelijkheid bieden om back-ups te vernietigen, gegevens te versleutelen en je activiteiten lam te leggen, dan zullen ze die mogelijkheid benutten. En dat doen ze waarschijnlijk sneller dan je team aankan. Uit het 2025 Global Threat Report van CrowdStrike blijkt dat de uitbreektijd (de tijd die een aanvaller nodig heeft om zich zijdelings door je netwerk te verplaatsen) gemiddeld 48 minuten bedraagt. De snelste uitbreektijd die ze zagen was slechts 51 seconden.

Daarom hebben we de RBRA ontwikkeld: om uw back-up- en herstelbeleid onder druk te testen tegen de exacte tactieken die echte ransomware-aanvallers gebruiken. Geen hypotheses. Geen checkbox-oefeningen. Gewoon een duidelijke blik op waar u kwetsbaar bent en wat er nodig is om dit te herstellen.

Neem vandaag nog contact op met Fenix24 voor meer informatie over hoe de Ransomware Backup & Resiliency Assessment je kan helpen je voor te bereiden op de realiteit van een ransomware-aanval.