Beheer

Security
Backup-systeem

Opslag- en backupsystemen verzwakt door slordig beleid

Gemiddeld 3 kritieke lekken per opslagapparaat.

Backup-systeem © Shutterstock SeventyFour
27 maart 2023

Gemiddeld 3 kritieke lekken per opslagapparaat.

Opslag- en backupnetwerken zijn in de meeste organisaties slecht beveiligd en hebben gemiddeld 14 zwakke plekken per apparaat. Dat betekent dat de eerste verdedigingslinie tegen ransomware al gelijk erg zwak is.

Dat blijkt uit onderzoek van beveiliger Continuity Software onder 245 verschillende organisatorische omgevingen. Onderzocht werden ruim 700 enterprise storage & backup-apparaten. Daarbij werden bijna 10.000 beveiligingsproblemen gevonden zoals lekken en verkeerde beveiligingsconfiguraties.

Het gemiddelde enterprise storage & backup-apparaat heeft veertien beveiligingsproblemen, waarvan er gemiddeld drie uiterst kritiek zijn, wat betekent dat ze bij misbruik grote schade kunnen opleveren. De meeste gevonden zwakke punten zijn onveilige netwerksettings, lekken die niet zijn gepatcht en slordige toepassing van toegangsrechten.

Zwakke verdediging

Dat komt dus eigenlijk neer op slordig, onzorgvuldig werk. En daarmee is de verdediging tegen vooral ransomware-aanvallen gelijk al sterk verzwakt. Aanvallers richten zich namelijk in toenemende mate op NAS, cloudopslag en backupapparatuur. Voorbeelden zijn de aanvallen uit 2021 die zich richtten op een lek in enkele NAS-systemen van Western Digital.

Hackers maken voor hun aanvallen nog altijd het meest gebruik van niet gepatchte lekken. Door bekende lekken niet te patchen worden in feite alle andere maatregelen die ransomware zouden moeten voorkomen, waardeloos, aldus de onderzoekers van Continuity.

Die slordige beveiliging van de opslagnetwerken is wijd verbreid, ongeacht de sector waarin de organisaties werkzaam zijn of het volwassenheidsniveau van hun IT-beveiliging.

Het advies blijft om in elk geval offline een niet te wijzigen kopie van de backups te bewaren en die regelmatig te testen.

1
Reacties
Hans Duinhoven 18 april 2023 21:20

Uw artikel interesseert mij bijzonder. Sinds midden jaren 70 ben ik al bezig met IT en vooral dataopslag. Beveiliging is inderdaad soms een ondergeschoven kindje. Daarom mijn opmerking: wat valt bij u onder Enterprise?
In uw artikel werd enige lekken in NAS producten van Western Digital als voorbeeld genoemd.
Met respect heb ik dit merk altijd meer gepositioneerd gezien in de MKB markt.
Welke voorbeelden zijn er in dit kader te noemen van NAS enterprise merken?

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.