Appuyez sur Entrée pour rechercher

Comment vos sauvegardes peuvent vous protéger contre les ransomwares

06/12/2021
Author Avatar
Dirk Slechten
Executive System Engineer, EASI

La cybercriminalité est de plus en plus courante de nos jours. Comme avec le COVID-19, nous devons apprendre à vivre avec, prendre les précautions nécessaires et nous protéger du mieux que nous pouvons.

Nous avons pris de nombreuses mesures : vaccination, port d'un masque buccal et maintien d'une distance de 1,5 mètre. Mais ces mesures fonctionnent mieux lorsqu'elles sont combinées. Quelle est la mesure qui fera une différence à court terme ? Le moyen le plus rapide et le plus simple de lutter contre le virus semble, statistiquement, être la vaccination.

Je suis sûr que vous vous demandez déjà : « Pouvons-nous également nous protéger contre la cybercriminalité ? » Peut-être que nous pouvons...

Première ligne de défense

Les entreprises doivent évaluer leurs plates-formes et processus de sauvegarde. De cette façon, ils peuvent s'assurer qu'ils sont capables de se remettre d'une attaque de ransomware.

Les sauvegardes ne sont pas la seule approche pour défendre votre entreprise contre ces attaques. Mais ils sont un élément essentiel dans le processus de récupération. En fait, ils sont la dernière ligne de défense.

La première ligne de défense consiste à détecter rapidement les comportements suspects. Ceci est principalement effectué par des agents de point de terminaison antivirus et malveillants. La sensibilisation des utilisateurs, comme le port d'un masque buccal et le maintien d'une distance de 1,5 m des autres pour prévenir l'infection au COVID-19, en est un autre exemple.

Comme un virus qui mute, les ransomwares sont devenus plus sophistiqués. Leurs progrès récents incluent le cryptage partiel des fichiers pour éviter les mesures de sécurité. Il ne crypte pas le début du fichier ; au lieu de cela, il change tous les 16 octets.

La sauvegarde pour une victoire rapide contre la cybercriminalité

Le nombre d'attaques de ransomware réussies ne cesse d'augmenter. En tant que tel, il est clair que se fier uniquement à la détection ne suffit pas pour assurer la sécurité de votre entreprise.

Un « cuirassé » est une autre métaphore que nous pourrions utiliser. Les sauvegardes sont comparables au canot de sauvetage d'un navire. Et la micro-segmentation est comparable à la compartimentation d'une seule.

Lorsqu'un navire n'a qu'un seul compartiment, il est presque certain qu'il coulera. Lorsqu'un navire compartimenté est endommagé, il peut généralement se rendre dans un port pour des réparations.

Pour garantir que la récupération est impossible, les sauvegardes deviennent la cible principale des ransomwares. La seule alternative serait de payer la rançon.

Une bonne conception est nécessaire pour vous assurer que vos sauvegardes sont protégées et utilisables.

Le radeau de sauvetage d'une entreprise (lire Plan de reprise après sinistre) doit être rapide, minutieusement testé et capable de récupérer dès que possible pour minimiser les dommages.

Plus une entreprise est hors ligne, plus elle perd d'argent, de consommateurs, de réputation et d'autres actifs.

Ce qu'il faut garder à l'esprit pour la mise en œuvre

Vous devez tenir compte des éléments suivants lors de l'élaboration d'un plan de sauvegarde et de récupération.

  • Lorsque vous utilisez le stockage pour la sauvegarde, assurez-vous de ne pas utiliser de méthodes de partage réseau telles que CIFS - NFS
  • Évitez également le DAS (Direct Attached Storage) pour le stockage de sauvegarde
  • Compartimenter au maximum l'environnement
  • Testez régulièrement les sauvegardes et les restaurations
  • Créez un environnement de sauvegarde isolé pour protéger les sauvegardes et le système
  • Créer une stratégie de reprise après sinistre avec un RTO/RPO défini pour chaque application
  • Configurer 2FA pour les administrateurs de sauvegarde
  • Plusieurs flux de travail autorisés (principe des quatre yeux)
  • Analyser les données de sauvegarde à la recherche d'anomalies
  • Établissez une relation avec un service de sauvegarde tiers digne de confiance. De cette façon, vous pouvez automatiser l'externalisation hors site et éliminer les sauvegardes par Airgap
  • Garantir l'immuabilité de la sauvegarde
  • Créez et stockez plusieurs copies des sauvegardes
  • Avoir la capacité de travailler dans une salle blanche pour la récupération et l'analyse des données.

Récupération rapide et sûre

Les logiciels malveillants peuvent être intégrés à tout moment dans les données de sauvegarde, vous ne pouvez donc jamais être certain qu'ils ne sont pas contaminés.

La plupart du temps, les ransomwares et autres logiciels nuisibles sont déployés avant d'être activés. La durée moyenne d'infiltration est de 230 jours. Cela signifie qu'il y a de fortes chances que les fichiers de sauvegarde aient déjà été infectés.

AI/ML (artificial intelligence/machine learning) est utilisé dans la détection précoce des anomalies dans les données de sauvegarde par un logiciel de sauvegarde.

Voici ses principaux avantages :

  • Il peut utiliser l'apprentissage automatique pour détecter les comportements suspects en analysant le contenu complet des données des sauvegardes
  • Il permet d'identifier la dernière sauvegarde sûre connue

Chambre propre

Étant donné que la sauvegarde est susceptible d'être corrompue, il est essentiel de supposer que c'est le cas.

Suite à une attaque de ransomware, les entreprises sont généralement confrontées à des problèmes cruciaux.

Premièrement, il est difficile de déterminer quand la violation initiale s'est produite.

Deuxièmement, la restauration des données sur site n'est probablement pas possible pour les raisons suivantes :

  • Le réseau a été infecté et n'est plus sûr.
  • Il n'y a pas assez de ressources gratuites pour effectuer une récupération complète.
  • Étant donné que l'environnement touché est toujours nécessaire pour récupérer des données ou exécuter des analyses, il est difficile de libérer les ressources.

Les infections par ransomware sont souvent de nature locale, rapide et destructrice. Pour cette raison, les équipes de sécurité doivent établir un environnement de récupération isolé (salle blanche). C'est là que le système peut être restauré. Et comme ça, ce n'est pas accessible aux personnes non autorisées qui pourraient tenter de réactiver le logiciel malveillant.

La salle blanche doit être équipée d'un dispositif de sécurité qui agit comme un pare-feu pour restreindre l'accès au réseau. Cela garantit que l'environnement ne peut pas recevoir de nouvelles anomalies via Internet.

Conclusion

Le but d'une attaque de ransomware est de faire échouer les opérations d'une organisation. Un tel événement met l'entreprise sous beaucoup de pression et de confusion.

Une organisation de récupération de données doit également être prête et formée pour exécuter un plan de récupération après sinistre.

Pour être efficace, un bon plan de reprise après sinistre doit être créé de manière à ce que l'entreprise (ou un composant) puisse rapidement reprendre ses activités normales.

Vous devez d'abord savoir ce qui doit être récupéré pour assurer la continuité des activités. Ainsi que la façon dont vous allez communiquer à ce sujet, en interne et en externe. Mais aussi sur la manière dont vos utilisateurs finaux seront impactés.

Les organisations qui n'ont pas de plan de reprise après sinistre clair se retrouvent souvent dans une approche chaotique de la catastrophe. Cela entraîne de nombreuses pertes de temps de restauration critiques qui ont un impact négatif sur la continuité des activités de l'organisation.

Vous voulez remettre en question votre stratégie de sauvegarde et de reprise après sinistre ? Contactez les experts Backup & DR d'Easi ! Nous avons également des solutions pour Intel X86 ainsi qu'IBM Power i Systems.

Nouveau call-to-action

Offres d'emploi actuelles

Nous sommes toujours à la recherche de nouveau collègues

Si vous partagez nos valeurs et que vous êtes à la recherche d'un emploi stimulant au sein du meilleur lieu de travail de Belgique, visitez notre site web.

Postule maintenant

Abonnez-vous

Suivez-nous

  

Partage cet article