Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat is de 3-2-1-back-upstrategie? Voorbeelden & Best Practices
Cybersecurity 101/Cyberbeveiliging/3-2-1-back-upstrategie

Wat is de 3-2-1-back-upstrategie? Voorbeelden & Best Practices

De 3-2-1-back-upstrategie vereist drie kopieën van data op twee typen media, waarvan één extern wordt opgeslagen. Leer moderne variaties en best practices voor bescherming tegen ransomware.

CS-101_Cybersecurity.svg
Inhoud
Wat is de 3-2-1-back-upstrategie?
Hoe de 3-2-1-back-upstrategie zich verhoudt tot cybersecurity
Kerncomponenten van de 3-2-1-back-upstrategie
Moderne variaties: Waarom 3-2-1 alleen niet genoeg is
Architectuur van de 3-2-1-back-upstrategie
Hoe implementeert u een 3-2-1-back-upstrategie?
Stap 1: Identificeer en classificeer kritieke data
Stap 2: Selecteer twee verschillende opslagmedia
Stap 3: Stel uw offsite kopie in
Stap 4: Automatiseer en monitor
Stap 5: Test herstel en documenteer resultaten
Belangrijkste voordelen van de 3-2-1-back-upstrategie
Uitdagingen en beperkingen van de 3-2-1-back-upstrategie
Veelvoorkomende fouten bij de 3-2-1-back-upstrategie
Best practices voor de 3-2-1-back-upstrategie
Hoe ransomware back-upinfrastructuur aanvalt
Belangrijkste inzichten

Gerelateerde Artikelen

  • Wat is het Purdue Model? Definitie, niveaus & best practices
  • Wat is een Secure Web Gateway (SWG)? Netwerkbeveiliging uitgelegd
  • Wat is OS Command Injection? Exploitatie, impact & verdediging
  • Malwarestatistieken
Auteur: SentinelOne | Recensent: Arijeet Ghatak
Bijgewerkt: May 25, 2026

Wat is de 3-2-1-back-upstrategie?

De 3-2-1-back-upstrategie, ook wel de 3-2-1-back-upregel genoemd, is een raamwerk voor gegevensbescherming gebaseerd op drie regels: houd 3 kopieën van uw data aan, bewaar deze op 2 verschillende typen media en houd 1 kopie offsite. Peter Krogh formaliseerde het concept in The DAM Book: Digital Asset Management for Photographers (O'Reilly Media, 2009), waarbij hij bestaande best practices samenvatte in een herkenbaar en toepasbaar raamwerk. De back-uprichtlijn van CISA noemt het als de canonieke back-upstandaard, en NIST CSF versterkt de principes via controle PR.DS-11: "Back-ups van data worden aangemaakt, beschermd, onderhouden en getest."

Het raamwerk vindt zijn oorsprong in de fotografie, niet in IT, wat de technologie-onafhankelijke universaliteit onderstreept. Maar universaliteit kent grenzen. De traditionele 3-2-1 is ontworpen voor hardwarestoringen en locatiegebonden rampen, niet voor aanvallen op back-upinfrastructuur. Ransomware-operators richten zich nu eerst op back-ups, waardoor herstelopties worden vernietigd voordat losgeld wordt geëist. Die verschuiving heeft geleid tot moderne variaties die het waard zijn te begrijpen voordat u een implementatiepad kiest.

Hoe de 3-2-1-back-upstrategie zich verhoudt tot cybersecurity

Back-upstrategie was vroeger een IT-operatie. Ransomware heeft het naar het bureau van het securityteam verplaatst.

NIST SP 800-209 waarschuwt expliciet dat ransomware zich heeft ontwikkeld om ook andere opslagcomponenten te omvatten, zoals NAS en back-upapparaten, waardoor credential theft, privilege escalation, datacorruptie, verlies of wijziging, en compromittering van toekomstige back-ups mogelijk worden. Wanneer aanvallers uw back-upinfrastructuur compromitteren, wordt de 3-2-1-strategie het verschil tussen een herstelbaar incident en een langdurige uitval.

In een Beast ransomware-rapport werden technieken voor back-upvernietiging beschreven als bewuste tradecraft die binnen het ransomware-ecosysteem wordt gedeeld. Uw back-ups zijn niet langer een vangnet. Ze zijn een primair aanvaldoel, en uw back-upstrategie is een beveiligingsmaatregel. Inzicht in elk onderdeel van het raamwerk is de eerste stap om het te verdedigen.

Kerncomponenten van de 3-2-1-back-upstrategie

Elk onderdeel van het 3-2-1-raamwerk adresseert een specifiek faalmechanisme. CISA's back-upoptiesgids en NCCoE-back-upstandaarden definiëren alle drie formeel:

  • Drie kopieën van data (1 primair + 2 back-ups) U elimineert single points of failure in alle scenario's. Als één back-up wordt gecorrumpeerd of verwijderd, blijft een tweede onafhankelijke kopie behouden. Dit is uw basisredundantie.
  • Twee verschillende mediatypen U slaat kopieën op verschillende onderliggende opslagtechnologieën op, zoals een disarray en cloud object storage, of SSD en tape. Een RAID-arraystoring heeft geen invloed op uw tapebibliotheek. Een storing bij een cloudprovider raakt uw on-premises opslag niet. Mediadiversiteit beschermt tegen technologie-specifieke catastrofale storingen.
  • Eén offsite kopie Minstens één kopie bevindt zich op een geografisch gescheiden locatie van uw primaire site. Brand, overstroming, fysieke diefstal of ransomware die zich lateraal over uw netwerk verspreidt, kan alles op één locatie vernietigen. Geografische scheiding doorbreekt die impactzone.

Deze drie componenten vormen de basis, maar moderne aanvalspatronen hebben hiaten blootgelegd die het oorspronkelijke raamwerk nooit heeft kunnen adresseren.

Moderne variaties: Waarom 3-2-1 alleen niet genoeg is

De traditionele 3-2-1-back-upregel gaat uit van accidentele, niet vijandige, storingen. Moderne ransomware-operators richten zich actief op back-uprepositories, verwijderen shadow copies en compromitteren back-upbeheerdersaccounts. Drie variaties pakken deze kloof aan:

  • 3-2-1-1-0 (Enterprise-standaard) Voegt één onveranderlijke of air-gapped kopie toe en nul fouten via geverifieerde hersteltests. Deze variant wordt breed gepresenteerd in moderne back-uprichtlijnen als een krachtigere enterprise-aanpak. De "0" vereist back-upmonitoring en regelmatige hersteltests, zodat u nooit een corrupte back-up ontdekt tijdens een actief incident.
  • 3-2-1-1 (Intermediaire aanpak) Voegt één offline of onveranderlijke kopie toe zonder de verplichte verificatietests van 3-2-1-1-0. Het is een praktische stap voor teams die sterkere ransomwarebestendigheid nodig hebben zonder volledige operationele complexiteit.
  • 4-3-2 (Focus op geografische veerkracht) Behoudt vier totale kopieën over drie locaties met twee kopieën offsite op gescheiden netwerken. Deze variant geeft prioriteit aan geografische spreiding en meerdere herstelpaden voor bedrijfscontinuïteit, in tegenstelling tot de focus op onveranderlijkheid van 3-2-1-1-0.
VariatiePrimaire krachtBelangrijkste afweging
3-2-1Eenvoud, NIST/CISA-goedgekeurdOnvoldoende tegen ransomware die zich op back-ups richt
3-2-1-1Voegt offline bescherming toeGeen geverifieerde herstelgarantie
3-2-1-1-0Onveranderlijkheid + verificatieHoogste implementatiekosten en operationele complexiteit
4-3-2Maximale veerkracht tegen rampen op locatieComplexiteit van geografische logistiek

De keuze voor een variatie hangt af van uw risicoprofiel en operationele volwassenheid. De volgende sectie beschrijft hoe u de strategie in de praktijk implementeert.

Architectuur van de 3-2-1-back-upstrategie

Implementatie beslaat drie lagen: opslagarchitectuur, beschermingsmaatregelen en verificatieprocessen.

  • Laag 1: Opslagarchitectuur U implementeert uw primaire data in productie, een eerste back-up op lokale of netwerkopslag voor snel herstel, en een tweede back-up op een geografisch gescheiden locatie. Elke laag dient een ander herstelscenario: lokale back-ups herstellen snel individuele bestanden, offsite back-ups herstellen bij rampen op locatie.
  • Laag 2: Beschermingsmaatregelen Elke kopie vereist onafhankelijke toegangscontroles. Volgens CISA's ransomwaregids proberen moderne ransomware-operators "back-upsnapshots te verwijderen, back-uprepositories te versleutelen, back-upsoftware uit te schakelen, [en] toegang te krijgen tot cloudback-ups met gecompromitteerde credentials." Gedeelde credentials over alle back-uplocaties betekenen dat één gecompromitteerd account aanvallers toegang geeft tot elke kopie.

Voor 3-2-1-1-0-implementaties gebruikt de onveranderlijke kopie retentielocks die wijziging of verwijdering voor ingestelde perioden voorkomen. Air-gapped kopieën vereisen fysieke of logische netwerkisolatie met strikte procescontroles voor wanneer de verbinding wordt gemaakt voor datatransfer.

  • Laag 3: Verificatie CISA's verdedigingsrichtlijn adviseert te verifiëren dat uw team data kan herstellen die minstens zeven dagen aan operaties dekt. Maandelijkse bestandsherstelverificatie, driemaandelijkse applicatiehersteltests en jaarlijkse volledige failover-oefeningen vormen een praktische testfrequentie. De "0" in 3-2-1-1-0 bestaat omdat niet-geteste back-ups geen betrouwbare hersteloptie bieden tijdens een crisis.

Het Singularity Platform van SentinelOne voegt hier een aanvullende verdedigingslaag toe. De gedrags-AI volgt continu activiteiten op beschermde endpoints, waardoor ransomware rollback recovery naar pre-infectiestatus mogelijk is. De agent beschermt de Windows Volume Shadow Copy Service (VSS)-infrastructuur, die door ransomwarevarianten vaak wordt verwijderd voordat encryptie begint.

Met de implementatielagen op hun plaats is de volgende stap het toepassen van de strategie in de praktijk.

Hoe implementeert u een 3-2-1-back-upstrategie?

De overgang van concept naar productie vereist een gestructureerde uitrol. De volgende stappen doorlopen een praktische implementatiereeks, van scope tot validatie.

Stap 1: Identificeer en classificeer kritieke data

Begin met het inventariseren van de data die essentieel zijn voor de bedrijfsvoering. Dit omvat productiedatabases, applicatieconfiguraties, authenticatiegegevens, encryptiesleutels en hersteldocumentatie. Classificeer data op bedrijfskritiek zodat u de juiste back-upfrequentie en retentieperioden per laag kunt toewijzen. Niet alles vereist uurlijkse snapshots; het afstemmen van de back-upfrequentie op daadwerkelijke RTO- en RPO-eisen voorkomt zowel overprovisionering als hiaten.

Stap 2: Selecteer twee verschillende opslagmedia

Kies twee opslagtechnologieën met onafhankelijke faalmechanismen. Veelvoorkomende combinaties zijn:

  • Lokale schijf of NAS + cloud object storage: Snelle lokale recovery met geografische scheiding via de cloud
  • SSD + tape (WORM): Snelle primaire back-up met fysiek offline secundaire kopie
  • On-premises array + tweede cloudprovider: Multi-cloudredundantie tegen single-vendorcompromittering

Het doel is ervoor te zorgen dat een storing in het ene medium, of het nu hardware, software of credential-based is, het andere niet kan bereiken.

Stap 3: Stel uw offsite kopie in

Uw offsite kopie moet geografisch en logisch gescheiden zijn van uw primaire locatie. Cloudback-up naar een andere regio of provider voldoet aan deze eis als het is geconfigureerd als een echte geplande back-up, niet als een real-time synchronisatie. Voor organisaties die 3-2-1-1-0 nastreven, configureert u hier ook onveranderlijke opslag met retentielocks en onafhankelijke toegangscredentials.

Stap 4: Automatiseer en monitor

Handmatige back-upprocessen falen onder operationele druk. Automatiseer back-upplanning, retentiehandhaving en waarschuwingen voor mislukte taken. Monitor op afwijkingen op back-upvolumes: onverwachte encryptieactiviteit, massale bestandswijzigingen of toegang door niet-back-upaccounts duiden op mogelijke compromittering. CISA's ransomwaregids waarschuwt specifiek dat aanvallers zich richten op back-upsoftware en credentials, dus het monitoren van uw back-upinfrastructuur is net zo belangrijk als het monitoren van productiesystemen.

Stap 5: Test herstel en documenteer resultaten

Een back-up die nooit is hersteld, is een aanname, geen controle. Voer maandelijkse bestandshersteltests uit, driemaandelijkse applicatiehersteltests en jaarlijkse volledige failovers. Documenteer de daadwerkelijke hersteltijden van elke test zodat uw RTO-doelen de realiteit weerspiegelen, niet schattingen.

Met een werkende implementatie levert de strategie verschillende concrete voordelen op voor organisaties die worden geconfronteerd met zowel accidenteel als vijandig dataverlies.

Belangrijkste voordelen van de 3-2-1-back-upstrategie

Een correct geïmplementeerde 3-2-1-back-upstrategie levert meetbare voordelen op het gebied van herstel, compliance en operationele veerkracht.

  • Herstel na ransomware zonder losgeldbetaling: Organisaties met een goede back-uparchitectuur zijn beter in staat om versleutelde data te herstellen zonder afhankelijk te zijn van losgeldbetaling. Gevalideerde back-ups bieden responders een herstelpad dat niet afhankelijk is van medewerking van de aanvaller.
  • Defensie-in-diepte tegen infrastructuurcompromittering: Hybride back-uparchitecturen die on-premises en cloudopslag combineren, behouden herstelmogelijkheden, zelfs als één omgeving volledig is gecompromitteerd. On-premises back-ups maken snel herstel mogelijk bij veelvoorkomende incidenten, terwijl cloudback-ups geografische scheiding bieden bij rampen.
  • Compliance en audituitlijning: De 3-2-1-structuur sluit direct aan op NIST CSF en ondersteunt basisvereisten voor gegevensbescherming. Deze mapping kan auditvoorbereiding en compliance-rapportage vereenvoudigen.
  • Vermindering van cloud vendor lock-in: Multi-cloud back-uparchitecturen verkleinen uw blootstelling aan beveiligingsincidenten bij één provider. CISA's back-uprichtlijn adviseert het gebruik van multi-cloudoplossingen om scenario's te voorkomen waarbij alle accounts bij één leverancier worden getroffen.
  • RTO/RPO-beheer over gedistribueerde operaties: Lokale kopieën maken snelle herstel mogelijk bij routinematige incidenten, terwijl offsite kopieën herstelmogelijkheden behouden bij catastrofale gebeurtenissen. Deze gelaagde aanpak stelt u in staat RTO en RPO af te stemmen op daadwerkelijke bedrijfskritiek in plaats van één herstelstandaard toe te passen op alle workloads.

Deze voordelen nemen toe in combinatie met moderne variaties zoals 3-2-1-1-0, die onveranderlijkheid en geverifieerd herstel toevoegen aan het basisraamwerk.

Uitdagingen en beperkingen van de 3-2-1-back-upstrategie

Het 3-2-1-raamwerk biedt sterke fundamentele bescherming, maar kent beperkingen die moderne omgevingen blootleggen.

  • Ransomware vernietigt actief back-ups De belangrijkste beperking is vijandige targeting. Aanvallers proberen routinematig back-ups te corrumperen of te verwijderen om herstelopties te elimineren. Traditionele 3-2-1 biedt geen specifieke verdediging tegen dit patroon. Als uw back-ups verbonden blijven met productiesystemen, kunnen aanvallers deze compromitteren voordat incident response begint.
  • Back-upinfrastructuur is een aanvalsvector Back-uptools hebben hun eigen kwetsbaarheden. Een CISA-kwetsbaarheidsbulletin documenteert CVE-2025-68435, een authentication bypass-kwetsbaarheid in back-upsoftware waarbij authenticatiemiddleware niet correct wordt toegepast op API-endpoints. U moet dezelfde kwetsbaarheidsmanagementdiscipline toepassen op back-upsoftware als op elk ander bedrijfssysteem.
  • Cloudsync is geen back-up Cloudsynchronisatiediensten voldoen niet aan de offsite kopie-eis. Continue synchronisatie betekent dat als ransomware uw primaire data versleutelt, beide datasets worden versleuteld. Dit misverstand creëert een vals gevoel van veiligheid zonder daadwerkelijke bescherming.
  • Onveranderlijkheid en complianceconflicten Dataretentie- en verwijderingsvereisten kunnen conflicteren met onveranderlijkheidsconfiguraties. Voordat u cloudgebaseerde onveranderlijke opslag implementeert in gereguleerde omgevingen, kan juridisch advies nodig zijn om gegevensbeschermingsverplichtingen te verzoenen met retentielocks.

Deze beperkingen zijn beheersbaar, maar negeren ervan creëert hiaten die aanvallers uitbuiten. Naast de inherente beperkingen van de strategie, brengen implementatiefouten extra risico met zich mee.

Veelvoorkomende fouten bij de 3-2-1-back-upstrategie

Zelfs goedbedoelde back-upimplementaties falen wanneer teams een aantal veelvoorkomende fouten herhalen. Het vermijden van deze fouten sluit de hiaten waar ransomware-operators op rekenen.

  • Gedeelde credentials over alle back-uplocaties: Eén gecompromitteerde credential geeft toegang tot elke kopie, waardoor geografische diversificatie volledig wordt tenietgedaan. Back-upsystemencredentials moeten apart worden beheerd van productiecredentialstores.
  • Netwerkverbonden opslag als "offsite" beschouwen: Een back-upserver op hetzelfde netwerk is niet offsite. Ransomware die zich lateraal verspreidt, bereikt netwerk-aangrenzende opslag. U heeft echte netwerk- en geografische isolatie nodig, wat aparte faciliteiten betekent, niet aparte servers in hetzelfde datacenter.
  • Nooit herstel testen: Een deskundige kritiek in een SANS-nieuwsbrief merkte op dat de traditionele 3-2-1-kopie-strategie geen herstel binnen uren tot dagen faciliteert voor bedrijfskritische applicaties. Als u nooit een volledig herstel heeft getest, heeft u geen back-upstrategie. U heeft een hoopstrategie.
  • Alleen incrementele back-upketens draaien: Corruptie of verwijdering van een enkele incrementele back-up breekt de hele herstelketen. Regelmatige volledige back-ups zijn vereist om totale ketenuitval te voorkomen.
  • Overprivilegeren van back-upaccounts: Volgens CISA's back-uprichtlijn worden back-upaccounts met domeinadminrechten waardevolle doelwitten. Rootaccounts mogen niet worden gebruikt voor dagelijkse back-upoperaties. Pas zero-trust-principes toe: alleen minimaal noodzakelijke privileges.
  • Back-upsoftwarepatches negeren: Back-upinfrastructuur kent net als andere software CVE's. Behandel back-upbeheerconsoles met dezelfde patchurgentie als uw endpoint security.
  • Herstelafhankelijkheden uitsluiten van de back-upscope: NIST-back-uprichtlijnen specificeren dat back-upplannen wachtwoorden, digitale certificaten, encryptiesleutels en andere informatie moeten omvatten die nodig is om snel de operatie te hervatten. Data back-uppen zonder de sleutels om deze te ontsleutelen levert hetzelfde resultaat op als helemaal geen back-up.

Elk van deze fouten vermindert de effectieve bescherming die uw 3-2-1-architectuur biedt. De volgende best practices pakken deze direct aan.

Best practices voor de 3-2-1-back-upstrategie

Deze zes praktijken versterken uw 3-2-1-implementatie tegen zowel accidentele storingen als gerichte aanvallen op back-upinfrastructuur.

  1. Implementeer onveranderlijke opslag met retentielocks Gehard back-uprepositories moeten single-use credentials, uitgeschakelde roottoegang en verwijdering van onnodige protocollen gebruiken. Het doel is een repository die moeilijk te wijzigen is, zelfs als een managementserver is gecompromitteerd.
  2. Stel air-gapped kopieën in NIST-back-uprichtlijn adviseert organisaties om back-upbestanden offline te beveiligen met update-intervallen die voldoen aan RPO- en RTO-eisen. Zowel fysieke air-gap als logische isolatie met strikte toegangscontroles zijn geldige implementaties.
  3. Versleutel alles, beperk herstelrechten Versleutel alle back-updata in rust en tijdens transport. Beperk herstelrechten strikter dan back-uprechten. Als aanvallers schrijfrechten verkrijgen, kunnen strengere herstelcontroles helpen om data-extractie te voorkomen.
  4. Implementeer gedragsmonitoring op back-upinfrastructuur Het Singularity Platform van SentinelOne detecteert gedragsafwijkingen op back-upvolumes in real time en stopt ransomware bij uitvoering voordat deze back-upbestanden bereikt.
  5. Onderhoud offline hersteldocumentatie NIST IR 8374 stelt dat responsplannen offline moeten bestaan omdat het incident toegang tot digitale kopieën binnen het doelnetwerk kan elimineren. Gedrukte of op versleutelde USB opgeslagen herstelrunbooks zijn een legitieme veerkrachtmaatregel.
  6. Diversifieer media en providers Gebruik een mix van schijf, cloud object storage en write-once-read-many (WORM) tape bij meerdere providers. WORM-tape blijft relevant omdat het standaard fysiek offline is. Multi-providerstrategieën verkleinen de kans op authenticatiecompromittering bij één leverancier.

Het toepassen van deze praktijken versterkt uw architectuur, maar inzicht in de werkwijze van aanvallers toont waarom ze belangrijk zijn. Incidenten uit de praktijk bevestigen dat aanvallers back-upsystemen als primaire doelen behandelen.

Hoe ransomware back-upinfrastructuur aanvalt

Back-upvernietiging is geen neveneffect van ransomwareoperaties; het is een bewuste, gedocumenteerde fase. De volgende incidenten illustreren hoe aanvallers in de praktijk te werk gaan bij back-upinfrastructuur.

  • Beast Ransomware: Back-upvernietiging als gedocumenteerde tactiek Een Beast ransomware-rapport onthulde dat het operationele draaiboek van de groep back-upgerichte tradecraft bevatte die openlijk werd gedeeld binnen het ransomware-ecosysteem, waarbij back-upvernietiging als standaardprocedure werd beschouwd.
  • Herstelweigering als formele aanvalsfase Een M-Trends 2026-rapport beschreef aanvallers die meer tijd besteden aan het in kaart brengen en compromitteren van back-upsystemen vóór detonatie. Als uw back-uprepositories netwerktoegankelijk zijn en niet onafhankelijk worden gemonitord, geeft dat verlengde venster aanvallers meer tijd om back-ups te compromitteren.
  • Disruptie in de publieke sector en herstelondersteuning Een GovTech-resilience-enquête meldde ransomware-gerelateerde verstoringen in de publieke sector, waaronder offline gaan van kantoren en impact op noodhulp, waarbij sterkere steun van het leiderschap voor cybersecurity correleerde met succesvoller herstel.

Deze incidenten onderstrepen dat alleen een back-upstrategie niet voldoende is. Het combineren van veerkracht met actieve endpointbescherming overbrugt de kloof tussen het hebben van back-ups en het daadwerkelijk kunnen gebruiken ervan.

Ontketen AI-aangedreven cyberbeveiliging

Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.

Vraag een demo aan

Belangrijkste inzichten

De 3-2-1-back-upstrategie blijft de basis van gegevensbescherming, en ransomware heeft het verheven van een IT-operatie tot een beveiligingsmaatregel. Moderne aanvallers richten zich primair op back-ups, waardoor variaties als 3-2-1-1-0 met onveranderlijkheid en geverifieerde hersteltests steeds belangrijker worden voor enterprise veerkracht. 

Combineer uw back-uparchitectuur met gedrags-AI en autonome rollbackmogelijkheden om ransomware te stoppen voordat deze uw back-ups bereikt en schade te herstellen wanneer dat toch gebeurt.

Veelgestelde vragen

De 3-2-1-back-upstrategie (ook bekend als de 3-2-1-back-upregel) is een raamwerk voor gegevensbescherming dat vereist dat u drie kopieën van uw data bewaart, opgeslagen op twee verschillende typen media, met één kopie extern opgeslagen. CISA en NIST bevelen dit beiden aan als basisstandaard. 

Het raamwerk beschermt tegen hardwarestoringen, rampen op locatie en gegevenscorruptie door ervoor te zorgen dat geen enkel incident alle kopieën van uw data tegelijkertijd kan vernietigen.

De 3-2-1-strategie vereist drie kopieën, twee mediatypen en één offsite kopie. De 3-2-1-1-0 voegt twee componenten toe: één onveranderlijke of air-gapped kopie die aanvallers niet kunnen wijzigen met gecompromitteerde inloggegevens, en nul fouten die worden geverifieerd door regelmatige hersteltests. 

Deze aanvullingen zijn specifiek gericht op de werkwijze van ransomware-operators om back-upinfrastructuur te targeten en te vernietigen voordat productiedata wordt versleuteld.

Cloudopslag voldoet alleen aan de offsite-vereiste als het een echte back-up is, geen synchronisatiedienst. Cloudsync spiegelt wijzigingen in realtime, wat betekent dat ransomware-versleuteling zich gelijktijdig naar beide kopieën verspreidt. 

Een juiste cloudback-up maakt gebruik van geplande snapshots met onafhankelijke retentiebeleid, aparte toegangsgegevens en bij voorkeur onveranderbare opslagvergrendelingen om wijziging te voorkomen.

Volg een gelaagde frequentie: maandelijkse verificatie van bestandsherstel uit willekeurige back-uprepositories, driemaandelijkse hersteltests op applicatieniveau in geïsoleerde omgevingen en jaarlijkse volledige failover-oefeningen van de omgeving. 

CISA raadt aan te verifiëren dat uw team ten minste zeven dagen aan operaties kan herstellen. Documenteer de werkelijke hersteltijden tijdens elke test om uw daadwerkelijke RTO te meten ten opzichte van de veronderstelde.

Correct geconfigureerde onveranderlijke back-ups kunnen tijdens de bewaarperiode niet worden versleuteld, gewijzigd of verwijderd. Echter, verkeerd ingestelde onveranderlijkheid, zoals bewaarvergrendelingen met hiaten of te veel rechten voor beheerdersaccounts, kan nog steeds risico’s veroorzaken. 

Air-gapping biedt een aanvullende maatregel: onveranderlijkheid beschermt tegen compromittering van inloggegevens, terwijl air-gapping beschermt tegen bredere compromittering van de infrastructuur.

NIST specificeert dat back-upplannen wachtwoorden, digitale certificaten, encryptiesleutels en alle informatie moeten omvatten die nodig is om de bedrijfsvoering te hervatten. 

Veel organisaties maken back-ups van data zonder de inloggegevens en sleutels te back-uppen die nodig zijn om toegang te krijgen, wat hetzelfde resultaat oplevert als geen back-up hebben. Hersteldocumentatie, netwerkconfiguraties en applicatieafhankelijkheden moeten ook in uw back-upscope worden opgenomen.

Ontdek Meer Over Cyberbeveiliging

Statistieken gegevensinbreukenCyberbeveiliging

Statistieken gegevensinbreuken

Bekijk de nieuwste statistieken over gegevensinbreuken in 2026 om te zien waar bedrijven mee te maken hebben. Ontdek hoe dreigingsactoren gegevensinbreuken veroorzaken, wie ze targeten en meer details.

Lees Meer
DDoS-aanvalstatistiekenCyberbeveiliging

DDoS-aanvalstatistieken

DDoS-aanvallen komen steeds vaker voor, duren korter en zijn moeilijker te negeren. In ons bericht over DDoS-aanvalstatistieken laten we zien wie er momenteel wordt aangevallen, hoe campagnes verlopen en meer.

Lees Meer
Insider Threat StatistiekenCyberbeveiliging

Insider Threat Statistieken

Krijg inzicht in trends, updates en meer over de nieuwste insider threat statistieken voor 2026. Ontdek met welke gevaren organisaties momenteel te maken hebben, wie getroffen zijn en hoe u beschermd blijft.

Lees Meer
Wat is een infostealer? Hoe malware voor het stelen van inloggegevens werktCyberbeveiliging

Wat is een infostealer? Hoe malware voor het stelen van inloggegevens werkt

Infostealers extraheren ongemerkt wachtwoorden, sessiecookies en browsergegevens van geïnfecteerde systemen. Gestolen inloggegevens voeden ransomware, accountovernames en fraude.

Lees Meer
Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ontdek hoe 's werelds meest intelligente, autonome cyberbeveiligingsplatform uw organisatie vandaag en in de toekomst kan beschermen.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch