Infinidat Blog

Revoir votre stratégie de stockage à la lumière du RGPD et des attaques de ransomware

Depuis l’application officielle du Règlement général de protection des données (RGPD) fixée à fin mai 2018, les discussions quant aux risques de compromission de données vont bon train. C’est un scénario à haut risque pour toute entreprise détentrice de données privées qui requiert donc toute notre attention (voir mon précédent article de blog à ce sujet). L’intérêt porté aux compromissions de données néglige toutefois une autre préconisation majeure du RGPD, à certains égards diamétralement opposée, celle qui concerne la perte de données.

 

Quelle est donc la différence ?

 

  • Une compromission de données intervient quand une tierce partie accède à des données privées auxquelles seule l’entreprise est censée accéder.
  • La perte de données intervient quand l’entreprise elle-même n’a plus accès aux données privées de ses clients.

 

Ces dernières années, la cause la plus courante de perte de données revient aux attaques de ransomwares, les plus connues étant WannaCry, Petya (puis « NotPetya ») et CryptoLock. En 2017, les attaques de ransomware étaient les attaques de malware les plus courantes dépassant la barre des 70% dans certains secteurs (ex. santé).

 

Compte tenu des défis qui se profilent à l’horizon, votre entreprise a-t-elle développé une stratégie robuste contre les attaques de ransomwares ?

 

Défi n°1 – Détecter une attaque de ransomware

Les attaques de ransomware modernes demeurent indétectées longtemps, le temps de chiffrer autant de données que possible. Une fois qu’un seuil critique est atteint, l’utilisateur se voit bloquer l’accès et il reçoit une demande de rançon en crypto monnaie. Ce type de comportement est très efficace mais c’est aussi le talon d’Achille de ce vecteur d’attaque : comme les changements s’accumulent avec le temps, ils peuvent être détectés en présence d’un mécanisme de suivi des changements. Ce type de mécanisme est livré par défaut avec toute solution de stockage moderne : c’est ce que l’on appelle les instantanés de stockage ou snapshots !

 

Ces instantanés, qui ne consomment généralement qu’un pourcentage minimal de la taille d’un volume de données, vont commencer à grossir sous l’effet de la consommation de capacité des données chiffrées. Si votre baie de stockage assure une surveillance de la consommation de capacité ou prévoit le déclenchement d’alarmes, le service IT peut facilement détecter cette augmentation de capacité et réagir bien avant que les criminels bloquent l’accès des utilisateurs.

 

Défi n°2- Rapidité de réponse en cas d’attaque de ransomware

Si l’attaque de ransomware perpétrée en silence a permis de chiffrer 100 téraoctets (To) de données, par exemple, les sauvegardes réalisées cette semaine-là sont également compromises et ne peuvent servir à restaurer les données. Les administrateurs sont donc forcés de restaurer les 100 To sur le réseau à partir d’une cible de sauvegarde, ce qui prendra des heures sans aucune garantie que la restauration est exempte de fichiers corrompus.

Toutefois, la taille de l’instantané permet de savoir immédiatement s’il contient des données chiffrées.

 

Donc une entreprise qui utilise des instantanés et y a accès peut tester les données qu’ils contiennent et ne restaurer immédiatement que l’instantané qui convient. Ainsi, les délais de restauration sont réduits de plusieurs jours à quelques minutes.

 

Défi n°3 – Prévenir l’explosion de la capacité de stockage

Un risque que l’on néglige souvent dans le contexte d’une attaque de ransomware concerne la capacité supplémentaire consommée lors de la phase de silence. En effet, la capacité moyenne des baies de stockage de 80% peut être portée à 100%, avec à la clé le plantage des applications.

 

Une plus grande baie de stockage offre davantage d’espace disponible pour donner le temps aux administrateurs d’identifier l’attaque de ransomware et d’y répondre, mais une baie plus grande suppose aussi plus de consolidation et requiert un degré de fiabilité supérieur. Les architectures à double contrôleur, conçues initialement dans les années 1990 pour quelques téraoctets, ne sont pas suffisamment fiables pour absorber des volumes de l’ordre du pétaoctet.

La solution InfiniBox pour combattre les attaques de ransomware

Quand des consommateurs se partagent et mutualisent la capacité physique de solutions InfiniBox, ceux-ci peuvent séparer les données de leurs applications critiques. Grâce aux pools de capacité InfiniBox, les clients sont assurés que l’explosion de capacité à un endroit, provoquée par la corruption d’un ransomware, ne risquera pas de faire planter les applications d’un autre pool. Cela s’apparente à la segmentation du réseau des clients pour limiter le risque que les cybercriminels passent d’hôtes en hôtes.

Outre cette segmentation qui protège les données applicatives au niveau du pool, InfiniBox assure également la protection au niveau système, la capacité disponible étant centralisée et non distribuée entre plusieurs petites baies. Ceci vient prolonger le temps imparti aux administrateurs pour détecter une attaque de ransomware et y réagir.

Voici les autres avantages offerts par les pools de capacité pour se protéger des attaques de ransomware :

  • Garanties de capacité : séparation de la capacité préallouée (garantie) de la capacité partagée non allouée vouée à être consommée à la demande.
  • Alertes : surveillance en temps réel de la capacité pour alerter les administrateurs d’une menace
  • Réponse automatique : quand un pool est plein, le système répond selon la politique de croissance établie pour ce pool spécifique.
  • Ces règles peuvent :
    • empêcher le pool de grossir automatiquement ; s’applique généralement aux applis jugées non critiques
    • empêcher le pool de grossir au-delà de certaines limites ; s’applique généralement aux seules applis plus importantes
    • autoriser le pool à grossir autant que nécessaire ; s’applique aux applis stratégiques qui ne doivent en aucun cas planter même si leur croissance est très rapide

Une stratégie de protection contre les attaques de ransomware (et contre la perte de données en général) suppose une approche plurielle : avec des instantanés qui assurent à la fois la détection des attaques et la restauration rapide, des pools de capacité qui établissent la séparation des applis stratégiques pour les préserver, ainsi qu’une gestion dynamique de la capacité qui évite la provision anticipée de capacité. Si vous luttez toujours avec le RGPD ou que vous recherchez de nouveaux moyens pour lutter contre les menaces constantes d’attaques de ransomware, consultez INFINIDAT pour mieux comprendre comment nos solutions de stockage peuvent protéger vos données et maintenir le fonctionnement de votre activité sans interruption.

A propos d’Eran Brown

Eran Brown est le directeur technique (CTO) d’INFINIDAT pour la zone EMEA. Ces 14 dernières années, Eran a conçu l’architecture de solutions de datacentre toutes couches confondues : applications, virtualisation, mise en réseau et, surtout, stockage. Précédemment, il a occupé des postes de Responsable produit senior, d’ingénierie et de consulting, auprès d’entreprises de divers segments verticaux (finance, secteur pétrolier/gazier , télécom, logiciels et web), qu’il a aidées à planifier, concevoir et déployer une infrastructure évolutive en soutien de leurs applications métier.

About Eran Brown

Eran Brown is the EMEA CTO at INFINIDAT.
Over the last 14 years, Eran has architected data center solutions for all layers — application, virtualization, networking and most of all, storage. His prior roles include Senior Product Management, systems engineering and consulting roles, working with companies in multiple verticals (financials, oil & gas, telecom, software, and web) and helping them plan, design and deploy scalable infrastructure to support their business applications.