Witold Kepinski - 31 augustus 2023

SaaS back-up vaak onbruikbaar

Je hoeft niet lang te zoeken om te ontdekken dat het maken van back-ups nog steeds een van de belangrijkste (reactieve) beveiligingsmaatregelen is. In sommige onfortuinlijke gevallen is een goede back-up zelfs het laatste redmiddel om een ransomware eis af te kunnen wijzen of zelfs een faillissement te voorkomen. Zorg er dus voor dat jouw back-ups in orde zijn. Niet alleen voor de ICT voorzieningen die je in eigen beheer hebt, maar juist ook voor SaaS diensten waarbij de leverancier doorgaans verantwoordelijk is voor het beheer. Want zelfs wanneer de leverancier aangeeft dat er back-ups worden gemaakt, wil dat niet zeggen dat ze voor jouw organisatie bruikbaar zijn. Dit schrijft Dennis Baaten van Baaten ICT Security in onderstaande blog.

SaaS back-up vaak onbruikbaar image

In de terms & conditions van een SaaS dienst vindt je vaak meer informatie omtrent de maatregelen die de leverancier standaard implementeert als onderdeel van de dienstverlening. Zo trof ik recent bij drie verschillende SaaS leveranciers de volgende teksten aan omtrent het onderwerp ‘data protection’:

Our databases are backed up daily and securely transferred and stored with military grade encryption to off-site locations for disaster recovery purposes.

We replicate your data between data centers in different locations to make sure it’s always available when you need it. Your account is backed up and protected online in the cloud.

Our disaster recovery strategy uses a combination of snapshots of data and daily full backups to ensure that there are multiple copies of data available to be restored. Snapshots are designed to provide a quick recovery mechanism where the recovery can happen in minutes. Full backups are used when snapshots are not available to recover the data. We also maintains hourly and daily backups for each data store, these backups are maintained for 30 days. Backups are maintained on highly durable media. Backups of a critical subset of our customer’s data are also maintained in a different geographic region to protect against a regional disaster.

Dergelijke statements wekken de indruk dat het met de back-ups wel goed zit, maar de praktijk is weerbarstiger. Bij al deze leveranciers is het niet mogelijk om een restore on demand uit te (laten) voeren. De kans is groot dat hierdoor niet alle risico’s waartegen je jouw bedrijf (met behulp van back-ups) wil beschermen in voldoende mate zijn afgedekt. En dat kan serieuze gevolgen hebben. Navraag bij de leveranciers in kwestie resulteerde in de volgende (respectievelijke) reacties:

  • “These backups aren’t designed to be used by individual organizations to undo/reverse data changes performed by users in the organization.”
  • “We do not provide individual backup or data restoration services. What this is for if something were to happen to all accounts on our service, then we can recover for everyone.”
  • “We don’t offer a rollback service at the moment but you can export your content at any time.”

De back-ups die door deze SaaS leveranciers worden gemaakt zijn bedoeld om ongewenste risico’s in de eigen bedrijfsvoering af te dekken. Hoewel deze aanpak bescherming biedt tegen alomvattende verstoringen bij de leverancier, heb je er weinig aan wanneer er binnen jouw bedrijf incidenten optreden. Daarvoor moet je zelf aan de bak en apart iets regelen. Ik heb gelukkig ook voorbeelden gezien waarbij er wel restore on demand mogelijkheden worden geboden, maar feit blijft dat je er standaard niet vanuit kan gaan dat het (voor jou) goed is geregeld. Informeer ernaar bij je SaaS leveranciers en neem eventueel aanvullende maatregelen.

En als je er toch mee bezig bent, houdt dan ook rekening met het volgende:

  • Redundancy maatregelen worden genomen om te voorkomen dat het falen van hardware of nutsvoorzieningen tot gevolg hebben dat de dienstverlening hapert en de leverancier terug dient te vallen op een gemaakte back-up. Dat is dus niet hetzelfde als een back-up; het beschermt niet tegen dezelfde risico’s.
  • Het synchroniseren van data met versiehistorie (zoals bij OneDrive) is niet hetzelfde als een back-up. Een beetje slimme aanvaller werkt hier omheen. Bijvoorbeeld door bestanden tijdens een ransomware aanval 10x opnieuw weg te schrijven na versleuteling. Je versiehistorie is dan ook volledig versleuteld.
  • Indien er wel restore on demand mogelijkheden zijn, controleer dan of dit uitsluitend geldt voor de gehele organisatie of ook kan worden toegepast voor specifieke gebruikers. Dat kan in sommige gevallen handig zijn, en beperkt de impact op jouw organisatie wanneer een gedeeltelijke restore ook volstaat.
  • Vraag na hoe lang het duurt voordat een restore verzoek wordt gehonoreerd. Vaak is dit geen onderdeel van de SLA.

Door: Dennis Baaten CISSP CEH - Baaten ICT Security

Axians 12/11/2024 t/m 26/11/2024 BN+BW