Cet article, vous permettra de mieux comprendre et surtout d’appliquer quelques méthodes de protection contre les Ransomware.
Matériel et logiciel renforcé
Pour se prémunir contre les attaques, il est important de renforcer la partie matérielle ainsi que la partie logicielle. Il est indispensable de diminuer les failles de sécurité, en mettant à jour les différents composants régulièrement.
D’ajouter l’authentification multiple, par la gestion des profils et celle des mots de passe. De sortir l’infrastructure de sauvegarde du domaine de production.
Sécurisation de la sauvegarde grâce au stockage immuable
La sauvegarde est le dernier rempart de sécurité contre les Ransomware, et toute autre attaque cybercriminel. En cas d’intrusion, il reste peu de recours contre le paiement d’une rançon.
En mettant en place l’immuabilité, la donnée écrite sur disque ne pourra être altérée. Cette fonctionnalité permet de se protéger contre la suppression et le chiffrement.
L’immuabilité de la donnée sur un serveur ou un stockage est mise en place, soit en combinant le logiciel et/ou un stockage sous le système de fichier adéquat (XFS, S3, Conteneur).
Quelques liens de solutions de sauvegarde avec stockage immuable :
Les Appliances de sauvegarde permettent aussi de rendre la donnée immuable par le biais de leur communication avec le logiciel de sauvegarde et les méthodes de protection de la donnée.
Les différentes Appliances de sauvegarde du marché :
- https://www.quantum.com/en/products/backup-appliances/
- https://www.hpe.com/fr/fr/storage/storeonce.html
- https://www.exagrid.com/exagrid-products/exagrid-product-line/
- https://www.delltechnologies.com/fr-fr/data-protection/data-domain-series/data-domain-dd6300-data-backup-appliance.htm#scroll=off
Malheureusement, pour un cyber-attaquant en devenant administrateur du système, il pourra supprimer, chiffrer les données. Il est donc primordial d’avoir une sauvegarde hors-ligne dite « AIR-GAP ».
Protection de la donnée grâce au »AIR-GAP »
Les sauvegardes se trouvant sur le réseau sont vulnérables contre toute attaque. Le dernier rempart pour protéger et récupérer les données reste donc la sauvegarde hors-ligne.
Il est recommandé de mettre en place une protection des données hors-ligne, soit par une copie des sauvegardes sur une baie de stockage déconnectée du réseau soit par une copie sur bandes LTO.
- La copie des données en-dehors des locaux, permet d’éviter toute perte de la donnée en cas de sinistre ;
- La copie des données sur bandes externalisées permet d’empêcher toute suppression, chiffrement.
Les sauvegardes hors ligne permettent donc d’avoir une protection accrue, empêchant tout accès aux données.
Les différentes librairies du marché :
- https://www.quantum.com/en/products/tape-storage/
- https://www.hpe.com/fr/fr/storage/storeever-tape-storage.html
- https://www.ibm.com/ca-fr/products/ts4300/details
Mise en oeuvre d’alertes et de rapports
Afin de remonter toutes les anomalies, la mise en oeuvre d’une solution d’identification des failles de sécurité, y comprit l’analyse des sauvegardes et de ses copies est nécessaire.
Une fois que les alertes sont remontées aux équipes informatiques, ils pourront agir rapidement avant toute intrusion d’un cyber-attaquant.
Les alertes créent permette de remonter divers changements, comme l’augmentation de la consommation de CPU, le nombre d’écriture sur disques, la charge réseau et tout autre alerte mise en place.
Lors de tout changement, il est possible de déclencher automatiquement des scripts permettant de réaliser des actions sur les VM, comme par exemple un Snapshot.
Lien Veeam One : https://www.veeam.com/fr/virtualization-management-one-solution.html
Orchestration et automatisation
Lors d’une cyber-attaque, ce dernier supprime/chiffre les données sur plusieurs systèmes d’exploitation et stockage de l’infrastructure. Afin de garder un contrôle face à une attaque, il est important de mettre en place un processus de récupération automatisé et orchestré.
La mise en oeuvre d’une solution permettant de réaliser des tests de reprise sur la totalité ou sur une partie de l’infrastructure, vous prépare à la récupération en effectuant des tests fréquents et complets sans impacter la production.
En cas de Ransomware, il est important de pouvoir tester les données de sauvegarde pour s’assurer qu’elles ne sont pas infectées de logiciels malveillants avant de lancer les restaurations.
Lien d’un outil d’orchestration : https://www.veeam.com/fr/disaster-recovery-orchestrator.html
Audit de l’infrastructure
En complément, il est utile de réaliser un audit de temps en temps de votre infrastructure. Cela permettra de relever certains points de votre infrastructure :
- Faire le constat des points forts et des points faibles,
- Identifier les axes d’améliorations qu’ils soient techniques, fonctionnels ou organisationnels,
- Conseiller la direction informatique sur les évolutions visant à améliorer la sécurité de l’infrastructure.
Pour l’audit, contacter moi 😀