Een Leider in het 2025 Gartner® Magic Quadrant™ voor Endpoint Protection Platforms. Vijf jaar op rij.Een Leider in het Gartner® Magic Quadrant™Lees Rapport
Ervaart u een beveiligingslek?Blog
Aan de slagContact Opnemen
Header Navigation - NL
  • Platform
    Platform Overzicht
    • Singularity Platform
      Welkom bij de geïntegreerde bedrijfsbeveiliging
    • AI voor beveiliging
      Toonaangevend in AI-Powered beveiligingsoplossingen
    • Beveiliging van AI
      Versnel de adoptie van AI met veilige AI-tools, applicaties en agents.
    • Hoe het werkt
      Het Singularity XDR verschil
    • Singularity Marketplace
      Integraties met één klik om de kracht van XDR te ontsluiten
    • Prijzen en Pakketten
      Vergelijkingen en richtlijnen in één oogopslag
    Data & AI
    • Purple AI
      SecOps versnellen met generatieve AI
    • Singularity Hyperautomation
      Eenvoudig beveiligingsprocessen automatiseren
    • AI-SIEM
      De AI SIEM voor het Autonome SOC
    • AI Data Pipelines
      Beveiligingsdatapijplijn voor AI SIEM en data-optimalisatie
    • Singularity Data Lake
      Aangedreven door AI, verenigd door Data Lake
    • Singularity Data Lake For Log Analytics
      Naadloze opname van gegevens uit on-prem, cloud of hybride omgevingen
    Endpoint Security
    • Singularity Endpoint
      Autonome preventie, detectie en respons
    • Singularity XDR
      Inheemse en open bescherming, detectie en respons
    • Singularity RemoteOps Forensics
      Forensisch onderzoek op schaal orkestreren
    • Singularity Threat Intelligence
      Uitgebreide informatie over tegenstanders
    • Singularity Vulnerability Management
      Rogue Activa Ontdekken
    • Singularity Identity
      Bedreigingsdetectie en -respons voor Identiteit
    Cloud Security
    • Singularity Cloud Security
      Blokkeer aanvallen met een AI-gebaseerde CNAPP
    • Singularity Cloud Native Security
      Cloud en ontwikkelingsbronnen beveiligen
    • Singularity Cloud Workload Security
      Platform voor realtime bescherming van de cloudwerklast
    • Singularity Cloud Data Security
      AI-gestuurde detectie van bedreigingen
    • Singularity Cloud Security Posture Management
      Cloud misconfiguraties opsporen en herstellen
    AI Beveiligen
    • Prompt Security
      AI-tools in de hele organisatie beveiligen
  • Waarom SentinelOne?
    Waarom SentinelOne?
    • Waarom SentinelOne?
      Cybersecurity Ontworpen voor What’s Next
    • Onze Klanten
      Vertrouwd door 's Werelds Meest Toonaangevende Ondernemingen
    • Industrie Erkenning
      Getest en Gevalideerd door Experts
    • Over Ons
      De Marktleider in Autonome Cybersecurity
    Vergelijk SentinelOne
    • Arctic Wolf
    • Broadcom
    • CrowdStrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Markten
    • Energie
    • Overheid
    • Financieel
    • Zorg
    • Hoger Onderwijs
    • Basis Onderwijs
    • Manufacturing
    • Retail
    • Rijksoverheid & lokale overheden
  • Services
    Managed Services
    • Managed Services Overzicht
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Wereldklasse expertise en Threat Intelligence.
    • Managed Detection & Response
      24/7/365 deskundige MDR voor uw volledige omgeving.
    • Incident Readiness & Response
      DFIR, paraatheid bij inbreuken & compromitteringsbeoordelingen.
    Support, Implementatie & Health
    • Technical Account Management
      Customer Success met Maatwerk Service
    • SentinelOne GO
      Begeleid Onboarden en Implementatieadvies
    • SentinelOne University
      Live en On-Demand Training
    • Services Overview
      Allesomvattende oplossingen voor naadloze beveiligingsoperaties
    • SentinelOne Community
      Community Login
  • Partners
    Ons Ecosysteem
    • MSSP Partners
      Versneld Succes behalen met SentinelOne
    • Singularity Marketplace
      Vergroot de Power van S1 Technologie
    • Cyber Risk Partners
      Schakel de Pro Response en Advisory Teams in
    • Technology Alliances
      Geïntegreerde, Enterprise-Scale Solutions
    • SentinelOne for AWS
      Gehost in AWS-regio's over de hele wereld
    • Channel Partners
      Lever de juiste oplossingen, Samen
    • SentinelOne for Google Cloud
      Geünificeerde, autonome beveiliging die verdedigers een voordeel biedt op wereldwijde schaal.
    Programma Overzicht→
  • Resources
    Resource Center
    • Case Studies
    • Datasheets
    • eBooks
    • Webinars
    • White Papers
    • Events
    Bekijk alle Resources→
    Blog
    • In de Spotlight
    • Voor CISO/CIO
    • Van de Front Lines
    • Cyber Response
    • Identity
    • Cloud
    • macOS
    SentinelOne Blog→
    Tech Resources
    • SentinelLABS
    • Ransomware Anthologie
    • Cybersecurity 101
  • Bedrijf
    Over SentinelOne
    • Over SentinelOne
      De Marktleider in Cybersecurity
    • Labs
      Threat Onderzoek voor de Moderne Threat Hunter
    • Vacatures
      De Nieuwste Vacatures
    • Pers & Nieuws
      Bedrijfsaankondigingen
    • Cybersecurity Blog
      De Laatste Cybersecuritybedreigingen, Nieuws en Meer
    • FAQ
      Krijg Antwoord op de Meest Gestelde Vragen
    • DataSet
      Het Live Data Platform
    • S Foundation
      Zorgen voor een veiligere toekomst voor iedereen
    • S Ventures
      Investeren in Next Generation Security en Data
Aan de slagContact Opnemen
Background image for Wat zijn Air Gapped Backups? Voorbeelden & Best Practices
Cybersecurity 101/Cyberbeveiliging/Air Gapped Backups

Wat zijn Air Gapped Backups? Voorbeelden & Best Practices

Air Gapped Backups houden ten minste één herstelkopie buiten het bereik van aanvallers. Lees hoe ze werken, de verschillende typen, voorbeelden en best practices voor herstel na ransomware.

CS-101_Cybersecurity.svg
Inhoud
Wat zijn air gapped back-ups?
Air gapped back-ups als cybersecuritymaatregel
Kerncomponenten van air gapped back-ups
Hoe werken air gapped back-ups?
Typen air gapped back-uparchitecturen
Praktijkvoorbeelden van air gapped back-ups
Tape-gebaseerde fysieke air gap
Netwerkgesegmenteerde logische air gap
Cloudkluis logische air gap
Belangrijkste voordelen van air gapped back-ups
Wie heeft air gapped back-ups nodig
Uitdagingen en beperkingen van air gapped back-ups
Veelvoorkomende fouten bij air gapped back-ups
Best practices voor air gapped back-ups
Ransomware-incidenten uit de praktijk en back-uplessen
Belangrijkste inzichten

Gerelateerde Artikelen

  • IT versus OT-beveiliging: Belangrijkste verschillen & best practices
  • Wat is OT-beveiliging? Definitie, uitdagingen & best practices
  • Wat is een Golden Ticket-aanval?
  • Digital Rights Management: Een Praktische Gids voor CISO's
Auteur: SentinelOne
Bijgewerkt: April 21, 2026

Wat zijn air gapped back-ups?

Ransomware-operators richten zich tegenwoordig eerst op back-upinfrastructuur voordat ze productiedata versleutelen. Volgens het cyberincident-kostenonderzoek van CISA bedraagt de gemiddelde kosten per incident $5,9 miljoen, waardoor uw laatste verdedigingslinie alleen nuttig is als aanvallers deze niet kunnen bereiken.

Air gapped back-ups zijn geïsoleerde kopieën van kritieke data die fysiek of logisch gescheiden zijn van productienetwerken. Ze creëren een beschermende barrière door omgevingen met gecontroleerde toegang op te zetten die niet bereikbaar zijn voor netwerkgebaseerde aanvallen. Of het nu gaat om fysiek losgekoppelde tapemedia, netwerkgesegmenteerde opslag met strikte toegangscontroles, of logisch geïsoleerde cloudkluizen, air gapped back-ups zorgen ervoor dat er altijd ten minste één herstelkopie moeilijker bereikbaar blijft voor aanvallers die zich lateraal door uw omgeving bewegen.

De NIST SP 800-209 stelt dat back-upoperaties opslagapparaten kunnen omvatten die offline zijn, terwijl de CISA ransomware-gids organisaties aanraadt om offline back-ups te behouden omdat ransomware vaak probeert toegankelijke back-updata te verwijderen of te versleutelen.

Air gapped back-ups als cybersecuritymaatregel

Air gapped back-ups bevinden zich op het snijvlak van dataprotectie en ransomwarebestendigheid. Moderne ransomwarefamilies voeren verkenning uit om back-upservers te lokaliseren, schaduwkopieën te verwijderen en back-uprepositories te versleutelen voordat ze productie-encryptie activeren. De CISA ransomware response-gids adviseert organisaties om "offline, versleutelde back-ups van kritieke data" te behouden omdat moderne ransomwarevarianten "proberen toegankelijke back-ups te vinden en vervolgens te verwijderen of te versleutelen."

Wanneer uw endpointbescherming een ransomwarepoging detecteert en stopt via Behavioral AI, eindigt de dreiging daar. Maar wanneer verdedigingen worden omzeild of doorbroken, kunnen air gapped back-ups een herstelpad bieden buiten de directe impactzone van een netwerkgebaseerde aanval. Om te begrijpen hoe die bescherming in de praktijk werkt, moet u de architectuur opdelen in de kerncomponenten.

Kerncomponenten van air gapped back-ups

Elke air gapped back-uparchitectuur, ongeacht het type, bestaat uit dezelfde zes lagen. Elke laag moet standhouden om de isolatie betekenisvol te maken.

  • Geïsoleerde opslaglaag. De fysieke of logische omgeving waar back-upkopieën zich bevinden, waaronder tapelibraries, verwijderbare schijfarrays, netwerkgesegmenteerde systemen of geïsoleerde cloudbeveiligingsdomeinen met aparte authenticatie.
  • Overdrachtsmechanismen. Data wordt van productie naar de geïsoleerde opslaglaag verplaatst via gecontroleerde paden, zoals handmatige of robotische mediatransport, of geplande replicatie met eenrichtingsdatastromen die omgekeerde besmetting voorkomen.
  • Immutabiliteitslaag. Zodra data de air gapped omgeving bereikt, moet deze bestand zijn tegen wijziging of verwijdering via hardware write-once tapemedia, softwarematige retentielocks of objectopslag compliance-modi.
  • Toegangscontroles. Fysieke implementaties vereisen sleutel- of combinatietoegang met gelogde toegang. Logische implementaties vereisen role-based access control, multi-factor authenticatie, least-privilege handhaving en auditlogging. De CISA data protection-gids vereist MFA voor administratieve toegang en role-based access met least-privilege principes over beschermde systemen.
  • Encryptie. Back-updata moet versleuteld zijn in rust en tijdens transport. De CISA encryptiestandaarden-gids specificeert FIPS 140-2 voor data in transit en in rust, of verbeterde encryptiemechanismen. Encryptiesleutelbeheersystemen moeten geïsoleerd blijven van back-updata om te voorkomen dat één compromis beide blootlegt.
  • Verificatie-infrastructuur. U moet de integriteit van back-ups kunnen bevestigen via regelmatige integriteitscontroles, checksums, back-upverificatieroutines en hersteltesten.

Zwakheid in één enkele laag kan de hele architectuur ondermijnen. De volgende stap is begrijpen hoe deze lagen functioneren over back-up, isolatie, opslag en herstel.

Hoe werken air gapped back-ups?

Air gapped back-ups volgen een cyclus van vier fasen: vastleggen, isolatie, beveiligde opslag en gecontroleerd herstel. Elke fase heeft specifieke vereisten die bepalen hoe goed de architectuur standhoudt wanneer een aanvaller uw omgeving bereikt.

  • Fase 1: Back-up en vastleggen. Productiedata wordt gekopieerd naar het back-updoel via uw standaard back-upprocessen. Voordat data de air gapped omgeving binnenkomt, valideert anti-malwarescanning de integriteit. Pre-gap scanning is essentieel omdat het back-uppen van gecompromitteerde data in een onveranderlijke, air gapped omgeving een vergiftigde kopie creëert die tijdens herstel herinfectie kan veroorzaken.
  • Fase 2: Isolatie. Voor fysieke air gaps betekent dit het verwijderen van tapecartridges of het loskoppelen van verwijderbare schijfarrays van alle systemen en netwerken. Voor logische air gaps wordt netwerkconnectiviteit uitgeschakeld tussen back-upcycli, met geplande replicatievensters die expliciete authenticatie per overdracht vereisen. Cloudgebaseerde kluizen handhaven isolatie via aparte beveiligingsdomeinen met alleen API-toegang en onafhankelijke authenticatie.
  • Fase 3: Beveiligde opslag. Geïsoleerde kopieën blijven in hun beschermde staat, met fysiek media opgeslagen in beveiligde off-site kluizen en logische kopieën achter netwerksegmentatie, toegangscontroles en immutabiliteitslocks. Deze back-upisolatie zorgt ervoor dat er altijd ten minste één herstelpad minder blootgesteld is wanneer aanvallers zich door verbonden systemen bewegen.
  • Fase 4: Herstel. Wanneer u de data nodig heeft, wordt het proces omgekeerd. Fysiek media wordt opgehaald uit beveiligde opslag en handmatig aangesloten. Logische kopieën worden benaderd via geauthenticeerde, gecontroleerde paden. Herstel naar een geïsoleerde stagingomgeving voor verificatie voordat u terugkeert naar productie.

Als u de workflow begrijpt, kunt u beoordelen welk implementatiemodel het beste bij uw omgeving past.

Typen air gapped back-uparchitecturen

U heeft drie primaire architectuuropties, elk met eigen afwegingen.

  1. Fysieke air gaps gebruiken verwijderbare opslagmedia met volledige netwerkontkoppeling. Tapecartridges worden gekopieerd, fysiek verwijderd en off-site opgeslagen. Deze aanpak biedt lage opslagkosten per gigabyte en de sterkste ransomware-isolatie. Het nadeel is trage data-toegang en ongeschiktheid voor organisaties die snelle, frequente restores vereisen.
  2. Logische air gaps gebruiken netwerksegmentatie, protocolrestricties en toegangscontroles om isolatie te creëren zonder fysiek media te verwijderen. Componenten omvatten aparte VLANs met firewallcontroles, uitschakeling van veelgebruikte protocollen zoals CIFS, NFS en SMB, en eenrichtingsdatastromen. Logische air gaps zijn geschikt voor grootschalige ondernemingen waar fysieke ontkoppeling onpraktisch is. Dit model is afhankelijk van sterke identiteit, segmentatie en beleidsafdwinging.
  3. Cloudgebaseerde air gapped kluizen creëren logisch geïsoleerde beveiligingsdomeinen binnen cloudinfrastructuur. Deze gebruiken aparte authenticatie, objectniveau-immutabiliteit zoals S3 Object Lock, alleen API-toegang en MFA. Alleen cloudopslag is geen air gap; aanvullende isolatiecontroles zijn vereist. Als uw omgeving cloudinfrastructuur en cloudapplicatieback-ups omvat, bepalen uw cloudbeveiligingscontroles hoe sterk die logische scheiding werkelijk is.

De architectuurkeuze bepaalt uw herstelbeperkingen. De onderstaande voorbeelden tonen hoe elk eruitziet in een echte omgeving.

Praktijkvoorbeelden van air gapped back-ups

De architectuur in abstracto begrijpen is één ding. Het in de praktijk zien maakt implementatiekeuzes duidelijker. Hier zijn drie scenario's die tonen hoe air gapped back-ups eruitzien in verschillende omgevingen.

Tape-gebaseerde fysieke air gap

Een fabrikant met industriële controlesystemen maakt elke nacht back-ups van kritieke OT-configuraties en productiehistorische data naar LTO-tape. Na elke taak verwijdert een technicus de cartridge, registreert deze in een chain-of-custody register en slaat deze op in een afgesloten brandwerende kluis buiten de productievloer. De tape heeft op geen enkel moment netwerkverbinding. Bij herstel wordt de tape opgehaald, aangesloten op een geïsoleerd werkstation, gescand op integriteit en vervolgens gebruikt voor herstel. De CISA ICS-beveiligingsrichtlijn identificeert offline mediastorage als een basismaatregel voor OT-omgevingen.

Netwerkgesegmenteerde logische air gap

Een onderneming draait back-upsoftware op een geharde server op een dedicated back-up VLAN, gescheiden van alle productie-segmenten door firewallbeleid. SMB, NFS en CIFS zijn uitgeschakeld op dat segment. Tijdens geplande replicatievensters wordt een eenrichtingsdatastroom gebruikt: elke taak vereist MFA-beschermde authenticatie met een serviceaccount zonder andere netwerkprivileges. Geen enkel domeingebonden productie-endpoint kan de back-upserver direct bereiken, waardoor de laterale bewegingspaden die ransomware gebruikt om back-upinfrastructuur te vernietigen worden afgesneden.

Cloudkluis logische air gap

Een cloud-native bedrijf slaat back-ups op in een AWS S3-bucket met Object Lock ingeschakeld in compliance-modus, binnen een apart AWS-account dat geïsoleerd is van het productieaccount. Geen enkele IAM-rol in de productieomgeving heeft schrijf- of verwijderrechten op de back-upbucket. Back-uptaken worden uitgevoerd via een eenrichtings-API-call geauthenticeerd met een dedicated credential set die alleen in het back-upaccount bestaat. Zelfs bij volledige compromittering van het productieaccount kan een aanvaller de inhoud van de kluis niet verwijderen of overschrijven tijdens de retentieperiode. Dit model sluit aan bij CISA ransomware-richtlijnen voor het bewaren van back-ups achter aparte credentials en toegangscontroles.

Elk van deze implementaties voldoet aan de offline kopie-eis in de moderne 3-2-1-1-0 back-uprule: één kopie die offline, onveranderlijk of air gapped is, met nul fouten bevestigd via hersteltesten in plaats van alleen checksums. Dat raamwerk wijst direct op de kernvoordelen van air gapped back-ups.

Belangrijkste voordelen van air gapped back-ups

Correct geïmplementeerd leveren air gapped back-ups vier beveiligings- en operationele voordelen die geen enkele altijd-verbonden back-uparchitectuur kan evenaren.

  • Ransomware-isolatie. Dit is de primaire waardepropositie. Air gapped back-ups elimineren de netwerktoegankelijke paden die back-upvernietiging mogelijk maken. Fysieke of logische isolatie betekent dat ransomware op productiesystemen niet eenvoudig de back-upkopie kan bereiken.
  • Herstelzekerheid. Air gapped back-ups kunnen herstelpunten behouden die minder blootgesteld zijn aan actieve aanvallen. Organisaties met gecompromitteerde back-ups moeten forensisch onderzoek doen om te bepalen welke generaties betrouwbaar zijn, een proces dat herstel aanzienlijk kan vertragen. Air gapped architecturen helpen die druk te verminderen door directe aanvallertoegang tot ten minste één herstelpad te beperken.
  • Regelgevingsafstemming. Air gapped back-upstrategieën zijn in lijn met de NIST SP 800-209, ondersteunen contingency planning in federale beveiligings- en zorgomgevingen, en ondersteunen algemeen back-up-, beschikbaarheids- en toegangscontrole-doelstellingen uit grote controleraamwerken. Voor gereguleerde sectoren kunnen air gapped architecturen verdedigbaar bewijs leveren van redelijke cybersecuritymaatregelen.
  • Vermindering van insider threats. Air gapped architecturen verkleinen het toegangsoppervlak door ontwerp. Zelfs bevoorrechte gebruikers kunnen back-uprepositories niet via standaard netwerkpaden benaderen, wat fysieke toegang of duale goedkeuringsworkflows vereist voor interactie met geïsoleerde kopieën. Dit is de herstelzijdecontrole die voorkomt dat één compromis een bedrijfskritisch incident wordt.

Deze voordelen zijn reëel, maar ze roepen een even belangrijke vraag op: welke organisaties hebben daadwerkelijk air gapped back-ups nodig, en op welk niveau?

Wie heeft air gapped back-ups nodig

De vraag is niet of uw organisatie groot genoeg is; het is of u zich kunt veroorloven de toegang tot productiedata te verliezen zonder een geverifieerde, tegen aanvallers bestendige herstelkopie. De onderstaande tabel koppelt organisatietype aan de meest praktische air gap-aanpak en de belangrijkste drijfveer.

OrganisatietypeAanbevolen aanpakBelangrijkste drijfveer
Kritieke infrastructuur (energie, nutsbedrijven, OT)Fysieke tape air gapNatiestaatdreiging, wettelijke verplichting
ZorgnetwerkenLogische air gap of cloudkluisHIPAA contingency planning, herstel patiëntgegevens
Financiële dienstverleningLogische air gap met immutabiliteitFFIEC, PCI DSS compliance, strikte RTO-eisen
MiddenmarktbedrijvenCloudkluis met Object LockKostenefficiëntie, beperkte on-site opslagcapaciteit
Cloud-native en SaaS-bedrijvenCloudkluis in een apart accountGeen on-premise infrastructuur, risico op productie-bereikbaarheid
OverheidsinstantiesFysieke tape (FIPS-conforme encryptie)FISMA, NIST SP 800-53 contingency planning

Kleinere organisaties gaan er vaak van uit dat air gapped back-ups operationeel onhaalbaar zijn. In de praktijk vereist een cloudkluis met Object Lock in een apart account geen on-premise hardware en kan deze binnen enkele uren worden geconfigureerd. Een medische praktijk met tien medewerkers heeft net zoveel herstelbelang te beschermen als een groot bedrijf; de ransomware-wiskunde is hetzelfde ongeacht het aantal medewerkers.

Weten welke aanpak bij uw omgeving past is essentieel, maar air gapped back-ups brengen ook echte afwegingen met zich mee. Deze begrijpen vóór implementatie voorkomt architectuurkeuzes die u later onder druk moet terugdraaien.

Uitdagingen en beperkingen van air gapped back-ups

Air gapped back-ups zijn geen kant-en-klare oplossing. Vier uitdagingen zorgen er consequent voor dat teams hun architectuur verkeerd configureren of de daadwerkelijke bescherming overschatten.

  • Definitie-ambiguïteit creëert schijnveiligheid. De meeste "air gapped" back-upimplementaties zijn niet echt air gapped. Een authentieke air gap vereist systemen die fysiek niet verbonden zijn en waarbij elke logische verbinding niet autonoom maar handmatig gecontroleerd is. U moet precies weten welk type u heeft geïmplementeerd.
  • Het automatisering versus echte isolatie-paradox. Ondernemingen staan voor een fundamentele spanning: echte air gapping vereist handmatige interventie, maar handmatige processen op schaal creëren onaanvaardbare kosten. Elke autonome route, zoals geplande rsync-taken, API-calls of back-upagents, creëert exploitatiekansen. Deze spanning kan niet volledig worden opgelost, alleen beheerd via bewuste architectuurkeuzes.
  • Operationele complexiteit en langere hersteltijden. Air gapped implementaties creëren operationele frictie die direct invloed heeft op hersteldoelstellingen. De toegenomen complexiteit van back-up- en herstelprocessen kan leiden tot langere hersteltijden vergeleken met altijd-verbonden oplossingen, een paradox waarbij verhoogde beveiliging het herstel vertraagt tijdens precies de incidenten waarvoor de architectuur bedoeld is.
  • Immutabiliteit is geen air gapping. Organisaties verwarren deze twee verschillende maatregelen vaak. Een onveranderlijke back-up die ransomware of malware bevat is nutteloos tijdens herstel en kan herinfectie veroorzaken. Een air gapped back-up die nooit is gescand kan corrupte data bevatten. Beide maatregelen zijn nodig, met een duidelijk begrip van wat elk adresseren. De meest voorkomende implementatiefouten ontstaan wanneer teams deze verschillen in de dagelijkse praktijk vervagen.

Daarom is het nuttig om de fouten te bekijken die herhaaldelijk anders solide ontwerpen verzwakken.

Veelvoorkomende fouten bij air gapped back-ups

Zelfs goed ontworpen air gap-architecturen falen in de praktijk wanneer dezelfde operationele fouten niet worden gecorrigeerd. Deze zes fouten verklaren het merendeel van de back-upomgevingen die geïsoleerd lijken maar toch bereikbaar blijven.

  • Logische isolatie "air gapped" noemen zonder het geaccepteerde risico te documenteren. Wanneer u netwerkgesegmenteerde back-upsystemen met geplande overdrachten implementeert, heeft u logische isolatie, geen echte air gap. Documenteer het geaccepteerde risico en compenseer met extra lagen: MFA, RBAC, onveranderlijke opslag met retentie langer dan de gemiddelde verblijftijd van aanvallers, en anomaliedetectie.
  • Back-upinfrastructuur op het productienetwerk laten staan. Back-upsystemen toegankelijk laten vanaf dezelfde netwerksegmenten als productiesystemen is een grote architectuurfout. Segmenteer back-upinfrastructuur naar dedicated segmenten. Beheerinterfaces mogen nooit toegankelijk zijn vanaf algemene bedrijfsnetwerken.
  • Standaardwachtwoorden op back-upsoftware negeren. Sommige back-upsoftware wordt nog steeds geleverd met standaardgebruikers en wachtwoorden. In combinatie met het ontbreken van MFA geeft dit aanvallers directe toegang. Verwijder standaardinstellingen, handhaaf MFA voor alle back-uptoegang en implementeer duale goedkeuringsworkflows voor destructieve handelingen zoals het verwijderen van back-updata vóór de geplande vervaldatum.
  • Nooit hersteltesten uitvoeren. Dit is de meest voorkomende lacune. De CISA ransomware response-gids benadrukt het regelmatig testen van back-upprocedures. U moet volledige systeemherstel testen vanaf air gapped media, niet alleen bestandsintegriteit verifiëren. Plan regelmatige volledige hersteltesten naar geïsoleerde omgevingen en meet de daadwerkelijke hersteltijden ten opzichte van uw Recovery Time Objective (RTO).
  • Pre-gap malwarescanning overslaan. Het back-uppen van gecompromitteerde data in een onveranderlijke, air gapped omgeving creëert een vergiftigde kopie die u niet kunt wijzigen. De NIST SP 800-209 vereist het vastleggen van anti-malwarescanresultaten voor back-upkopieën die worden gebruikt voor cyberincidentherstel. Toegewijde pre-back-up malwarescanning valideert de dataintegriteit voordat deze de geïsoleerde omgeving binnenkomt.
  • Air gapping als enige verdedigingslaag zien. Air gapped back-ups als enige back-upstrategie creëren een single point of failure. Volg de 3-2-1-1-0-regel zodat geen enkele laagcompromittering alle herstelmogelijkheden elimineert.

Als u deze fouten vermijdt, kunt u overgaan op de operationele praktijken die het ontwerp duurzaam maken.

Best practices voor air gapped back-ups

De juiste architectuur kiezen is het begin, maar operationele discipline houdt back-upisolatie effectief op de lange termijn. Deze acht praktijken richten zich op de gebieden waar air gapped back-upontwerpen het vaakst achteruitgaan na de initiële implementatie.

  1. Classificeer data vóór het ontwerpen van de architectuur. Niet alle data vereist dezelfde air gap-aanpak. Organiseer back-upvereisten op basis van wettelijke verplichtingen, bedrijfskritiek, Recovery Point Objective (RPO) en retentieschema's.
  2. Definieer RPO/RTO en test hiertegen. Als uw RPO één uur is, moeten back-ups elk uur of sneller draaien. Als uw RTO vier uur is, moet uw air gapped herstelproces binnen dat venster voltooid zijn, inclusief het ophalen van fysiek media. Documenteer deze cijfers en valideer ze via geplande oefeningen.
  3. Implementeer immutabiliteit op alle back-uprepositories. Schakel write-once of vergrendelde configuraties in die niet kunnen worden gewijzigd tijdens de retentieperiode. Dit vult air gapping aan door wijziging te voorkomen, zelfs als een aanvaller toegang krijgt tot de geïsoleerde omgeving. Samen bieden onveranderlijke back-ups en air gapped back-ups sterkere ransomwareherstelopties.
  4. Handhaaf MFA en duale goedkeuring voor alle back-uphandelingen. Elk toegangspad tot back-upinfrastructuur vereist MFA, inclusief administratieve toegang. Destructieve handelingen zoals verwijdering, retentiebeleidwijzigingen en het uitschakelen van immutabiliteit moeten duale goedkeuring van aparte beheerders vereisen. Sterke identity security-maatregelen zijn vooral belangrijk wanneer uw back-upisolatie afhankelijk is van bevoorrechte workflowcontroles.
  5. Scan back-ups met actuele tools vóór en na opslag. Scan periodiek historische back-upkopieën opnieuw met bijgewerkte anti-malwaretools. Dit identificeert vergiftigde kopieën met malware die bij het back-uppen niet herkenbaar was. Behavioral AI van uw endpointbeschermingsplatform biedt hier een validatielaag.
  6. Monitor op gedrag gericht op back-ups. CISA raadt specifiek aan te monitoren op afwijkend gebruik van vssadmin.exe, bcdedit.exe, wbadmin.exe, fsutil.exe met deletejournal, en wmic.exe met shadowcopy of shadowstorage commando's in haar CISA ransomware monitoring-gids. Uw XDR-platform moet deze als signalen met hoge prioriteit markeren.
  7. Test herstel regelmatig, simuleer jaarlijks rampen. Voer volledige hersteltesten uit naar geïsoleerde omgevingen op regelmatige basis. Voer jaarlijkse rampsimulaties uit die daadwerkelijke dataverlies nabootsen, niet alleen bestandscontroles. De NIST IR 8576 specificeert jaarlijkse testen van herstelprocedures vanaf back-up.
  8. Herstel naar geïsoleerde staging, niet productie. Air gapped herstelkopieën moeten worden teruggezet in een dedicated geïsoleerde omgeving waar u systemen verifieert voordat ze terugkeren naar productie. Voer gedragsanomalietools uit in de stagingomgeving om te bevestigen dat er geen herinfectie optreedt vóór heraansluiting.

Deze praktijken maken uw back-upontwerp veerkrachtiger bij echte incidenten. Ze vormen ook de basis voor de incidentvoorbeelden die laten zien wat er gebeurt als herstelpaden bereikbaar of niet geverifieerd zijn.

Ransomware-incidenten uit de praktijk en back-uplessen

Echte incidenten maken het back-uprisico concreet.

  1. Norsk Hydro, 2019, LockerGoga ransomware. Toen LockerGoga toesloeg in maart 2019, riep Norsk Hydro een bedrijfscrisis uit en schakelde over op handmatige operaties in 40 landen terwijl ransomware bestanden op duizenden servers en pc's vergrendelde. Het bedrijf rapporteerde later NOK 550–650 miljoen verlies voor de eerste helft van 2019. Het incident toonde aan hoe operationele verstoring zich over een hele organisatie kan verspreiden, zelfs als productie in gedegradeerde modus doorgaat — en hoe back-upweerbaarheid Norsk Hydro in staat stelde systemen te herstellen zonder losgeld te betalen.
  2. Colonial Pipeline, 2021, DarkSide ransomware. Het bedrijf stopte de pijpleidingoperaties na de aanval, en het DOJ recupereerde later $2,3 miljoen van de 75 Bitcoin losgeldbetaling. CISA's DarkSide-advies documenteerde hoe de aanval op bedrijfssystemen grote operationele verstoring veroorzaakte in kritieke infrastructuur.
  3. MGM Resorts, 2023, social engineering en ransomware-gerelateerde verstoring. Nadat aanvallers social engineering gebruikten om de identity-infrastructuur van MGM te compromitteren, schakelde het bedrijf operaties uit in hotel- en casinovestigingen om het incident in te dammen. MGM rapporteerde later een $100 miljoen EBITDAR-impact voor september 2023. Het incident toonde aan hoe identiteitscompromittering kan leiden tot brede uitval, wat aantoont dat alleen back-upisolatie niet voldoende is zonder identity controls.

Deze incidenten leiden direct tot de laatste vraag: hoe combineert u herstelweerbaarheid met maatregelen die aanvallers stoppen voordat ze uw back-uppaden kunnen vergiftigen, verwijderen of bereiken?

AI-gestuurde cyberbeveiliging

Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.

Vraag een demo aan

Belangrijkste inzichten

Air gapped back-ups bieden een architecturale manier om ten minste één herstelkopie buiten het bereik van routinematige netwerkgebaseerde aanvallen te houden. Isolatie is een essentieel onderdeel van elk verdedigbaar ransomwareherstelplan. 

Implementeer air gapped back-ups volgens de 3-2-1-1-0-regel, test herstel regelmatig, scan vóór en na opslag, en combineer back-upisolatie met Behavioral AI-preventie om dreigingen te stoppen voordat ze uw back-upinfrastructuur bereiken. Als u vertrouwt op offline back-ups en onveranderlijke back-ups als onderdeel van uw bredere cyberweerbaarheidsplan, heeft u nog steeds regelmatige validatie nodig om betrouwbare ransomwareherstel te ondersteunen.

Veelgestelde vragen

Air gapped-back-ups zijn geïsoleerde kopieën van kritieke gegevens die fysiek of logisch gescheiden zijn van productienetwerken. Fysieke air gaps gebruiken offline media zoals tape die wordt verwijderd en off-site opgeslagen. Logische air gaps maken gebruik van netwerksegmentatie, strikte toegangscontroles en onveranderlijkheid om de reikwijdte van aanvallers te beperken. 

Beide benaderingen zijn bedoeld om ten minste één herstelkopie buiten het bereik van netwerkgebaseerde aanvallen te houden, waaronder ransomware die specifiek back-upinfrastructuur aanvalt voordat productie-encryptie wordt geactiveerd.

Onveranderlijke back-ups voorkomen wijziging of verwijdering nadat gegevens zijn weggeschreven, maar kunnen nog steeds bereikbaar blijven via het netwerk. Air gapped back-ups isoleren gegevens van reguliere netwerktoegang, maar bieden geen garantie dat de kopie schoon was op het moment van vastleggen. 

Beide maatregelen zijn nodig voor sterkere veerkracht: onveranderlijkheid helpt manipulatie te blokkeren, terwijl air gapping de reikwijdte van aanvallers beperkt. Uw ransomware-herstelplan moet ook malware-scanning, toegangsbeheer en hersteltesten omvatten.

De NIST SP 800-209 beveelt regelmatige integriteitstests aan voor kritieke data, en de NIST IR 8576 specificeert jaarlijkse tests voor herstelprocedures vanaf back-ups. 

In de praktijk moet u de integriteit van kritieke back-ups regelmatig valideren, jaarlijks volledige hersteltests uitvoeren in een geïsoleerde stagingomgeving, en tijdens elke oefening de daadwerkelijke hersteltijd meten ten opzichte van uw gedocumenteerde RTO- en RPO-doelstellingen. Vaker testen is zinvol voor uw meest kritieke systemen.

Cloudback-ups kunnen als logisch air gapped worden beschouwd wanneer u ze isoleert via gescheiden beveiligingsdomeinen, onafhankelijke authenticatie, objectniveau-immutabiliteit en uitsluitend API-toegang met MFA. Standaard cloudopslag alleen creëert geen air gap. 

U moet de scheiding bewust configureren, de controlegrenzen duidelijk documenteren en verifiëren dat uw productie-inloggegevens tijdens normale operaties geen directe toegang hebben tot, wijzigingen kunnen aanbrengen in of het beschermde backup-set kunnen verwijderen.

Het grootste risico is aannemen dat u een echte air gap heeft terwijl u in werkelijkheid logische isolatie met autonome workflows heeft. Elke geplande replicatietaak, API-aanroep of backup-agentverbinding creëert een bereikbaar pad dat door geavanceerde aanvallers kan worden misbruikt. 

U dient uw architectuur eerlijk te auditen, deze correct te classificeren en compenserende maatregelen toe te voegen zoals onveranderlijkheid, MFA, segmentatie, goedkeuringsworkflows en herhaaldelijk hersteltesten, zodat uw herstelontwerp aansluit bij uw werkelijke blootstelling.

Air gapped-back-ups sluiten aan bij zero trust-principes door expliciete verificatie af te dwingen op de back-upinfrastructuurlaag. Elk toegangsverzoek vereist authenticatie, autorisatie volgt het least-privilege RBAC-principe en activiteiten worden gelogd en zijn controleerbaar. 

De air gap voegt een sterkere beperking toe door routinematige netwerktoegang tussen back-upcycli te verwijderen. Duale goedkeuringsworkflows voor destructieve handelingen vormen een extra controle, wat helpt voorkomen dat één gecompromitteerd account uw herstelmogelijkheden vernietigt of uw cyberweerbaarheid verzwakt.

Ontdek Meer Over Cyberbeveiliging

Wat is Remote Monitoring and Management (RMM) Security?Cyberbeveiliging

Wat is Remote Monitoring and Management (RMM) Security?

Ontdek hoe dreigingsactoren RMM-tools misbruiken voor ransomware-aanvallen en leer detectiestrategieën en beveiligingsmaatregelen om uw omgeving te beschermen.

Lees Meer
Address Resolution Protocol: Functie, Typen & BeveiligingCyberbeveiliging

Address Resolution Protocol: Functie, Typen & Beveiliging

Address Resolution Protocol vertaalt IP- naar MAC-adressen zonder authenticatie, waardoor spoofingaanvallen mogelijk zijn. Zie hoe SentinelOne ARP-gebaseerde laterale beweging detecteert en stopt.

Lees Meer
Wat is typosquatting? Methoden van domeinaanvallen & preventieCyberbeveiliging

Wat is typosquatting? Methoden van domeinaanvallen & preventie

Typosquatting-aanvallen maken misbruik van typefouten om gebruikers om te leiden naar valse domeinen die inloggegevens stelen. Leer de aanvalsmethoden en preventiestrategieën voor ondernemingen.

Lees Meer
Wat zijn onveranderlijke back-ups? Autonome bescherming tegen ransomwareCyberbeveiliging

Wat zijn onveranderlijke back-ups? Autonome bescherming tegen ransomware

Onveranderlijke back-ups gebruiken WORM-technologie om herstelpunten te creëren die ransomware niet kan versleutelen of verwijderen. Lees best practices voor implementatie en veelvoorkomende fouten.

Lees Meer
Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ervaar het meest geavanceerde platform voor cyberbeveiliging

Ontdek hoe 's werelds meest intelligente, autonome cyberbeveiligingsplatform uw organisatie vandaag en in de toekomst kan beschermen.

Vraag een demo aan
  • Aan de slag
  • Vraag een demo aan
  • Product Tour
  • Waarom SentinelOne
  • Prijzen & Pakketten
  • FAQ
  • Contact
  • Contact
  • Support
  • SentinelOne Status
  • Taal
  • Platform
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Technical Account Management
  • Support Services
  • Markten
  • Energie
  • Overheid
  • Financieel
  • Zorg
  • Hoger Onderwijs
  • Basis Onderwijs
  • Manufacturing
  • Retail
  • Rijksoverheid & lokale overheden
  • Cybersecurity for SMB
  • Resources
  • Blog
  • Labs
  • Case Studies
  • Product Tour
  • Events
  • Cybersecurity 101
  • eBooks
  • Webinars
  • Whitepapers
  • Pers
  • Nieuws
  • Ransomware Anthology
  • Bedrijf
  • Over SentinelOne
  • Onze klanten
  • Vacatures
  • Partners
  • Legal & Compliance
  • Security & Compliance
  • S Foundation
  • S Ventures

©2026 SentinelOne, Alle rechten voorbehouden.

Privacyverklaring Gebruiksvoorwaarden

Dutch