Voorkom lange downtime

Gepubliceerd op 26 mei 2026 Leestijd : 4 minuten

Schijnzekerheid van back-ups

Veel organisaties gaan ervan uit dat ransomware beheersbaar is zolang de back-ups succesvol draaien. In de praktijk blijkt juist dan hoe kwetsbaar de infrastructuur is. Aanvallers richten zich allang niet meer uitsluitend op bestanden, maar vooral op Active Directory, Entra ID, hypervisors en repositories voor back-ups. Zodra beheeraccounts worden misbruikt en herstelpunten zijn verwijderd, ligt niet alleen de IT stil, maar ook productie, logistiek en klantcommunicatie.

De grootste schade ontstaat meestal niet door verloren data, maar door langdurige downtime. Orders blijven hangen, facturatie stopt en medewerkers kunnen niet verder. Dan blijkt dat succesvolle back-ups weinig zeggen over de vraag of kritieke processen binnen enkele uren weer beschikbaar zijn. Zeker in omgevingen waar applicaties afhankelijk zijn van meerdere gekoppelde systemen, duurt herstel vaak veel langer dan vooraf werd verwacht.

Veel organisaties ontdekken pas tijdens een incident dat back-ups technisch wel aanwezig zijn, maar dat belangrijke onderdelen ontbreken. Denk aan DNS-instellingen die niet meer kloppen, replicatie tussen domeincontrollers die niet werkt of applicaties die afhankelijk zijn van specifieke netwerkinstellingen. Een virtuele machine kan dan wel opstarten, terwijl de dienst zelf onbruikbaar blijft.

Eén account opent alles

Ransomware begint vaak met een gecompromitteerd account. Een phishingmail, een gestolen sessietoken of een kwetsbare VPN-verbinding is voldoende om toegang te krijgen. Daarna zoekt een aanvaller naar domeinbeheerders, gebruikersaccounts met uitgebreide rechten en beheerinterfaces van VMware, Hyper-V of Proxmox. In veel omgevingen bevinden deze systemen zich in hetzelfde netwerksegment als productie.

Daardoor kan een aanvaller zich snel door de omgeving verplaatsen. Virtuele machines worden uitgeschakeld, snapshots verwijderd en storage versleuteld voordat monitoring iets afwijkends meldt. Omdat identiteiten centraal zijn geworden, is toegangsbeheer vaak de kortste route naar kritieke systemen.

Het risico neemt verder toe wanneer beheeraccounts permanent uitgebreide rechten hebben. In veel infrastructuren bestaan nog altijd vaste admin accounts zonder duidelijke scheiding tussen beheer van servers, storage en back-ups. Zodra één account wordt misbruikt, ontstaat direct toegang tot meerdere onderdelen van de infrastructuur. Vooral combinaties van Active Directory met gekoppelde accounts in Entra ID vergroten de impact van één gestolen sessie aanzienlijk.

Ook monitoring biedt dan vaak onvoldoende bescherming. Veel monitoringtools signaleren pas problemen wanneer systemen uitvallen, terwijl misbruik van beheerrechten eerder plaatsvindt. Tegen die tijd zijn snapshots vaak al verwijderd en zijn herstelpunten beschadigd of versleuteld.

Zonder segmentatie geen rem

De effectiefste maatregel is het beperken van bewegingsvrijheid. Netwerksegmentatie tussen gebruikers, servers, beheerinterfaces en platforms voor back-ups voorkomt dat één compromis direct de hele omgeving raakt. Beheeraccounts horen alleen beschikbaar te zijn via afgeschermde admin werkplekken en moeten worden beschermd met phishing-resistente meervoudige verificatie (MFA).

Back-ups moeten daarnaast immutabel zijn opgeslagen. Dat betekent dat herstelpunten gedurende een vooraf bepaalde periode niet kunnen worden verwijderd of aangepast, ook niet door beheerders. Zelfs met uitgebreide rechten kan een aanvaller deze kopieën dan niet wissen. In combinatie met een duidelijke verdeling van rechten en centrale monitoring blijft er altijd een betrouwbaar herstelpunt beschikbaar. Daarmee voorkom je dat een incident uitgroeit tot een keuze tussen losgeld betalen of dagenlange uitval.

Ook de inrichting van storage speelt hierin een belangrijke rol. Wanneer dezelfde beheeraccounts toegang hebben tot zowel productiesystemen als back-ups, ontstaat één centraal aanvalspunt. Een aanvaller kan dan niet alleen virtuele machines uitschakelen, maar ook herstelpunten verwijderen of replicatie verstoren. Door beheerrechten voor storage, virtualisatie en back-ups te scheiden, beperk je de impact van misbruikte accounts aanzienlijk. Dat geldt ook voor replicatie naar een tweede locatie of Cloudomgeving. Zonder aparte authenticatie kan een aanval zich namelijk eenvoudig uitbreiden naar de replica’s.

Pas getest is echt zeker

Succesvolle back-ups zeggen weinig over de daadwerkelijke herstelbaarheid. De relevante vraag is of kritieke systemen, databases en koppelingen tussen applicaties binnen de afgesproken RTO weer functioneren. Dat kun je alleen vaststellen door volledige restore tests uit te voeren en afhankelijkheden tussen systemen mee te nemen.

Organisaties die herstel periodiek testen, ontdekken vroegtijdig knelpunten in storage, netwerkconfiguraties en identity services. Daarmee wordt ransomware een beheersbaar scenario in plaats van een langdurige verstoring. Niet de aanwezigheid van back-ups, maar aantoonbaar herstel bepaalt hoe veerkrachtig een infrastructuur werkelijk is.

Daarbij is snelheid minstens zo belangrijk als beschikbaarheid van data. Een herstelproces dat technisch werkt maar pas na meerdere dagen operationeel is, veroorzaakt nog steeds forse financiële schade en operationele verstoringen. Denk aan stilgevallen ERP-systemen, ontbrekende klantgegevens of productielijnen die afhankelijk zijn van centrale authenticatie.

Door complete scenario’s periodiek te testen, inclusief herstel van Active Directory, netwerksegmentatie en virtuele infrastructuur, ontstaat inzicht in hoe snel systemen daadwerkelijk terugkomen na een aanval. Pas dan weet je of de omgeving bestand is tegen moderne ransomware.

Wil je inzicht in de werkelijke herstelbaarheid van jouw infrastructuur en weten waar de grootste risico’s zitten? Neem dan gerust contact op.