Infinidat Blog

Les ransomwares visent vos sauvegardes !

Depuis quelques années, le ransomware est devenu une activité très lucrative, certains états en font un usage militarisé quand d’autres s'en servent pour gagner de l’argent. Tous les articles qui vous invitent à vous préparer à lutter contre les ransomwares vous diront qu’il y a deux choses à faire :

 

 

Prévenir : investir dans la sensibilisation des salariés et tester leur degré de sensibilité au moyen de tests d’intrusion.

Réagir : une fois qu’un ransomware s’est infiltré dans votre périmètre et qu’il se propage dans l’organisation, c’est la rapidité d’intervention de votre équipe IT qui décidera de l’impact sur les opérations.

 

Mais les cybercriminels lisent les mêmes articles et évoluent constamment. L’un de leurs vecteurs consiste à attaquer la sauvegarde, qu’ils chiffrent pour que vous ne puissiez pas l’utiliser, d’autres corrompent les fichiers de sauvegarde (ex. WannaCrypt0r) et d’autres attaquent les fichiers de sauvegarde de MAC Time Machine ou Windows Volume Shadow Copy Service (VSS).

 

 

Comment les entreprises peuvent-elles se préparer pour le jour de l’attaque ?

Dans un précédent article de blog, j’ai déjà évoqué le rôle des instantanés pour identifier une attaque de ransomware active et en quoi ils peuvent permettre une restauration optimale sans qu’il faille déplacer des téraoctets de données depuis la sauvegarde.

Toutefois, si des criminels recherchent activement les moyens de corrompre des sauvegardes, on peut partir du principe qu’ils cherchent également à les supprimer, et nous devons nous préparer de façon proactive à cette éventualité, car nul ne souhaite être le premier à constater que ses instantanés ont été supprimés par la dernière variante de ransomware en circulation (qui s’appelle probablement WannaSnap…).

A ce stade, les clients auront raison de demander pourquoi on n’a pas recours à des sauvegardes déconnectées, pourquoi prendre le risque d’exposer des sauvegardes en ligne dans un tel contexte ? Le délai de restauration est décisif ici. Une entreprise qui doit restaurer de gros volumes de données à partir de bandes aura besoin de beaucoup de temps pour ce faire, avec des répercussions directes sur les clients et le chiffre d’affaires.

 

C’est aussi une question de capacité de restauration, car les sauvegardes sur bandes ne sont pas toujours restaurables (pour le dire gentiment) ; certains clients rapportent que 94% seulement de leurs sauvegardes étaient restaurables le jour de la sauvegarde et que ce pourcentage diminue avec le temps.

 

 

Les sauvegardes en ligne peuvent-elles être protégées des ransomwares ?

La réponse est Oui ! Il convient de mettre en place des mécanismes de sécurité adaptés pour convertir un instantané en un instantané WORM (Write Once Read Many), impossible à modifier ou à supprimer jusqu’à un certain délai où le verrouillage est levé. Dans le même temps, nous voulons que l’instantané reste parfaitement opérationnel et qu’il préserve ses capacités originelles :

Qu’il soit restaurable (dans tous les cas, pas juste en cas de ransomware)

Qu’il permette la gestion de copies des données aux fins de test & dev

Qu’il soit accessible aux utilisateurs : en stockage NAS, les instantanés WORM devraient toujours être accessibles via le dossier caché .snapshot / .ckpt pour la restauration par l’utilisateur

 

Autres scénarios d’utilisation

Other use cases

 

Les instantanés WORM peuvent servir dans d’autres contextes :

Protection contre l’erreur humaine : les humains sont à l’origine de la plupart des défaillances IT. Il est toujours bon d’entourer l’administrateur de défenses. Il est possible notamment de verrouiller les instantanés pour empêcher toute suppression accidentelle avant la fin de la règle de rétention.

Conservation juridique : dans certaines situations, la loi impose que les données demeurent accessibles pendant une longue durée afin de protéger les preuves, préserver l’efficacité de découverte, etc. Le verrouillage d’une copie des données permet de préserver l’accès dans la durée. Et la durée de verrouillage peut être prolongée au besoin.

 

Longtemps mais pas trop

 

Quiconque a déjà travaillé avec des solutions WORM connaît cette histoire d’un administrateur du stockage qui a accidentellement verrouillé un gros dossier pour une trop longue durée (j’ai déjà vu un dossier verrouillé pour 70 ans, pas par mois heureusement...). Ceci induit de grosses dépenses pour l’entreprise qui invite alors le salarié à mettre toutes ses affaires personnelles dans un carton et à prendre la porte. Les solutions WORM devraient donc proposer des protections contre les délais de rétention déraisonnables. Ces protections devraient être configurables en fonction de l’utilisation prévue, sachant que les clients du secteur de la finance doivent souvent conserver les données 7 ans, alors que les hôpitaux doivent les conserver 80 ans.

 

Présentation de SnapSecure

SnapSecure est une des dernières actualités d’INFINIDAT, disponible sous forme de mise à niveau gratuite pour tous nos clients ayant un contrat de support en règle (j’écrirai bientôt un article sur la philosophie qui sous-tend l’absence de licences). SnapSecure permet aux administrateurs du stockage de programmer un délai de rétention sur l’instantané, pour la suppression / modification des données, tout en conservant l’ensemble des capacités précitées d’un instantané.

 

Comme l’accès à InfiniBox se fait via l’API et que l’API empêche toute modification, même si le ransomware était capable d’usurper les identifiants admin, il ne pourrait pas corrompre ou supprimer vos sauvegardes. Ainsi, vous pouvez compter dessus pour restaurer vos données en moins d’une seconde et reprendre rapidement le cours de vos opérations.

Concernant le scénario de la « conservation juridique », l’admin qui étudie une copie WORM où le délai de rétention a expiré doit pouvoir dire si les données sont toujours dans leur état d’origine (sans avoir été modifiées) ou si des utilisateurs y ont eu accès avec le risque qu’ils aient pu apporter des modifications. C’est plus facile avec SnapSecure puisque les instantanés se classent désormais en 3 catégories (voir la capture d’écran ci-après) :

Verrouillé : impossible de changer/modifier l’instantanée, le cadenas est fermé

Expiré : le cadenas qui verrouillait l’instantané a expiré mais les données n’ont jamais été modifiées, le cadenas est ouvert.

Les données n’ont jamais été verrouillées ou ont été verrouillées mais modifiées entre temps, aucun symbole

 

Capture d’écran 1 : instantanés dans différents états WORM

 

Ainsi, les administrateurs qui souhaitent étendre la durée de conservation juridique d’un instantané peuvent être certains que les données n’ont jamais été touchées y compris en mode déverrouillé.

À propos Eran Brown
Eran Brown is the EMEA CTO at INFINIDAT.
Over the last 14 years, Eran has architected data center solutions for all layers — application, virtualization, networking and most of all, storage. His prior roles include Senior Product Management, systems engineering and consulting roles, working with companies in multiple verticals (financials, oil & gas, telecom, software, and web) and helping them plan, design and deploy scalable infrastructure to support their business applications.