Quelle est la stratégie de sauvegarde de l’Écart d’air ? Cybersécurité, réseau et systèmes de l’École de l’air

Introduction

La menace d’une cyberattaque est aujourd’hui plus réelle que jamais, le nombre de violations de données et de cybercrimes augmentant à un rythme alarmant d’année en année. En fait, ces taux de croissance sont si inquiétants que Cybersecurity Ventures prévoit qu’une attaque par ransomware se produira quelque part sur la planète toutes les 2 secondes d’ici l’année 2031, le coût annuel des ransomwares s’élevant à la somme colossale de 265 milliards de dollars. La sécurité des données étant devenue une priorité aussi importante au cours des dernières années (et la tendance en question ne montrant aucun signe d’arrêt), il est facile de comprendre pourquoi la sécurité des données est devenue l’un des sujets les plus prioritaires pour la plupart des entreprises dans le monde.

L’approche traditionnelle de la sécurité posait souvent des problèmes pour protéger les données qui n’étaient pas stockées à l’intérieur du « périmètre de sécurité » autour du réseau interne de l’entreprise. Elle a été remplacée par une approche de la sécurité centrée sur les données. La méthode de sécurité centrée sur les données utilise beaucoup de contexte pour protéger les données elles-mêmes plutôt que le périmètre fixe.

La définition de l’air gapping et de l’air gapped backup

L’air gapping est un concept relativement ancien dans le contexte de la sécurité des données. C’est aussi souvent la dernière ligne de défense contre les pannes de système ou les actes malveillants visant les informations sensibles d’une entreprise. L’air gapping est une mesure de sécurité qui utilise l’isolation physique des autres appareils et réseaux pour empêcher l’accès non autorisé à des informations sensibles.

La façon la plus simple de décrire le fonctionnement de l’air gapping est le mot « isolation ». L’air gapping implique la séparation physique d’un appareil ou d’un réseau d’appareils de toute influence extérieure, y compris les connexions physiques et sans fil – ce qui signifie que les clients FTP, les navigateurs et les clients de messagerie au sein de ce réseau sont entièrement déconnectés du reste du monde.

Les sauvegardes « airgapped » suivent la même logique – il s’agit de sauvegardes de systèmes stockées d’une manière très particulière, coupant complètement la capacité des données « airgapped » à être connectées avec le reste de l’infrastructure. C’est l’une des protections les plus élémentaires contre les formes modernes de ransomware qui peuvent désormais trouver et affecter les sauvegardes en même temps que les fichiers originaux.

Différents types de systèmes à air comprimé

Il n’y a pas qu’une seule norme de sécurité en matière d’air gap à respecter. En fait, il existe différents types de stratégie de sauvegarde air gap, tels que :

1. L’air gapping logique est un type quelque peu inhabituel ou « impur », puisque la définition même de l’air gapping implique qu’il doit y avoir une isolation physique pour que le concept fonctionne. Cependant, l’air gapping logique vise à maintenir physiquement les appareils ou les systèmes dans le même réseau, tout en les séparant logiquement. Il existe de multiples façons d’effectuer ce type de séparation. La plupart d’entre elles nécessitent des systèmes et des technologies avancés, tels qu’une combinaison de RBAC (contrôle d’accès basé sur les rôles) et de cryptage des données.
2. Le cloisonnement isolé consiste à avoir un système situé dans le même environnement que le reste des appareils, mais qui n’est pas connecté au même réseau. Cette disposition peut être utile dans certains cas, mais elle va également à l’encontre de l’objectif de l’étanchéité à l’air dans une certaine mesure.
3. L’étanchéité physique est le cas principal dont nous avons parlé plus haut – une séparation physique complète d’un système ou d’un réseau, y compris le matériel et les logiciels. Une séparation complète du matériel correspond à ce type d’air gapping, et il existe également de nombreux cas où des mesures de sécurité supplémentaires sont installées pour ce nouvel emplacement distant – la plupart du temps autour de restrictions d’accès physiques.

Variations d’une stratégie de sauvegarde dans l’intervalle d’air

Les stratégies de sauvegarde à trou d’air peuvent être délicates, car seules quelques méthodes de stockage peuvent prendre en charge cette technique. Nous pouvons utiliser deux catégories principales pour expliquer les différentes variations des sauvegardes de l’air gap : le cloud et la bande.

Nuage

Le stockage dans le nuage, qu’il soit public ou privé, répond à la définition de l’air gapping d’un point de vue technique, puisque les données en question sont stockées dans un stockage dans le nuage distinct de l’infrastructure physique d’origine. Ainsi, le ransomware ne peut pas passer de l’infrastructure physique au stockage en nuage.

Certains fournisseurs de stockage en nuage disposent également de services spécifiques pour l’archivage à long terme des données, ce qui constitue une contre-mesure directe contre les ransomwares. Cette solution est généralement moins coûteuse et plus longue à récupérer en cas de besoin. Toutefois, le fait que ces données ne puissent pas être accessibles immédiatement constitue une autre couche de protection qui correspond techniquement au terme « air gapping ».

Tape

La sauvegarde sur bande est souvent considérée comme la stratégie de sauvegarde « originale » à air gap, car elle se prête facilement à une séparation physique de tout réseau lorsque la bande proprement dite est retirée du lecteur. Par conséquent, le stockage sur bande est un environnement parfait pour le stockage de données hors ligne, à l’abri de l’air. Pour être clair, la bande elle-même peut même être éjectée du stockage sur bande une fois le processus d’écriture terminé, ce qui crée une séparation physique complète entre la copie de données et sa version originale.

La nécessité d’une interaction manuelle avec le stockage sur bande n’est pas toujours en harmonie avec la numérisation et l’automatisation en cours dans le secteur de la sauvegarde, où la tendance est aux architectures informatiques « toujours actives ». Cependant, cette tendance s’est développée avant l’augmentation massive des attaques de ransomware, et c’est un petit prix à payer pour une mesure de protection des données très efficace contre les ransomwares et d’autres types d’attaques.

À ce propos, une autre tactique de sauvegarde mérite d’être mentionnée dans le contexte de l’air gapping, même s’il ne s’agit pas du même processus. Il s’agit de l’immutabilité des données.

Immutabilité vs air gapping

L’air gapping en tant que sujet partage de nombreuses similitudes avec un autre élément de l’industrie de la sauvegarde – l’immutabilité des données. Les sauvegardes immuables et air gapping sont toutes deux censées fournir une certaine forme de protection contre les ransomwares tout en respectant les cadres de conformité nécessaires. Cependant, il existe également plusieurs différences entre ces deux types de sauvegardes.

Le facteur potentiel le plus important d’augmentation des coûts du stockage immuable est la croissance exponentielle de l’entreprise et l’augmentation du volume de stockage de données qui en découle. À l’inverse, les sauvegardes par air gap présenteraient une augmentation des coûts à long terme en raison de la nécessité de maintenir l’état physique adéquat du stockage par air gap (tel que la bande).

Les valeurs de l’objectif de temps de récupération diffèrent également de manière significative entre ces stratégies de sauvegarde. Le stockage immuable est plus rapide en moyenne, mais il est également sensible à de nombreux problèmes auxquels l’air gapping n’a pas à faire face, qu’il s’agisse d’une usurpation d’identité, d’une défaillance du réseau, etc.

En fin de compte, les deux stratégies contribuent de manière significative à une stratégie de sauvegarde réussie. Elles ne doivent pas non plus s’exclure mutuellement – il existe de nombreux exemples de sauvegardes immuables et de technologies d’air gapping fonctionnant à l’unisson pour une meilleure protection des données, une meilleure résilience des données, etc.

Les failles de sécurité de l’air gap

L’air gapping offre un niveau de protection considérable et très significatif de vos sauvegardes contre les cybermenaces. Cependant, il est important de comprendre que l’air gapping n’est pas une solution à tous les problèmes de sécurité des sauvegardes. Les systèmes de sauvegarde avec air gapping ont leurs problèmes et leurs vulnérabilités, même si la plupart d’entre eux sont extrêmement spécifiques et qu’il est peu probable qu’ils soient utilisés par quelqu’un qui n’a pas de réelles intentions malveillantes.

Comme nous l’avons déjà mentionné, bien qu’il soit extrêmement difficile d’infecter ou d’influencer un système de sauvegarde air gapped en utilisant des réseaux câblés ou sans fil, il existe encore des moyens (bien que plutôt exotiques !) de pénétrer dans les sauvegardes air gapped. Par exemple, une solution appelée AirHopper a été présentée en 2014, montrant un moyen de transférer des données d’un système de sauvegarde air gapped vers un téléphone portable avec un modèle d’attaque bifurqué transféré via des signaux de fréquence FM.

Une autre méthode (publiée en 2015) appelée GSMem utilise une idée similaire d’extraction de données à partir d’un système air gapped – mais celle-ci utilise des fréquences cellulaires pour le faire, en utilisant un bus interne standard qui peut être connecté à presque n’importe quel ordinateur ordinaire.

Il existe également de nombreuses recherches sur la façon dont les périphériques USB infectés peuvent faire fuir les données des systèmes air gapped – ProjectSauron en est un exemple, découvert en 2016 (même s’il a fonctionné sans être détecté pendant environ cinq ans auparavant) et montrant comment des partitions Windows cachées peuvent être utilisées comme canaux de transport d’un système air gapped vers un ordinateur ordinaire.

La communication en champ proche (NFC) était également une technologie transformée en passerelle pour les systèmes air gapped, avec une solution appelée NFCdrip qui a été présentée en 2018. Elle a également montré comment la NFC a des capacités bien plus importantes que ce à quoi la plupart des gens pensent – offrant jusqu’à 100 mètres de portée effective dans des cas spécifiques.

Bien sûr, il ne s’agit que de quelques exemples de la manière dont une personne peut théoriquement accéder à des systèmes à trous d’air suffisamment expérimentés dans ces technologies. Toutefois, il convient de noter qu’une grande partie de cette recherche a été effectuée en tant que preuve de concept plutôt que comme une solution prête à l’emploi pour pénétrer dans les systèmes à trous d’air.

Avantages d’un système de sauvegarde à air comprimé

• Immunité à la plupart des menaces de sécurité. La principale raison pour laquelle les sauvegardes par trou d’air sont considérées comme avantageuses en termes de sécurité est assez simple – l’écrasante majorité des menaces de sécurité se propage soit via Internet, soit via la capacité des stations de travail et des PC ordinaires à se connecter, ainsi qu’à toutes sortes d’autres appareils différents.
• Complément utile aux mesures de sécurité de sauvegarde existantes. L’état général d’un système à air gappé qui fait office de copie de sauvegarde est également un excellent moyen de contrer certaines des méthodes plus non conventionnelles que les ransomwares ou les menaces d’initiés peuvent apporter. C’est notamment le cas lorsqu’un virus ou une personne malveillante tente de saboter chaque copie des données de l’entreprise avant d’altérer l’original – pour s’assurer qu’aucune récupération n’est possible à la suite d’une attaque par ransomware ou d’un événement de suppression de données. En tant que tel, la nature isolée d’un système à air comprimé rend ce type de sabotage beaucoup plus difficile à réussir à 100 %, ce qui améliore les chances de récupération de l’entreprise. Il convient toutefois de préciser que certains fournisseurs décrivent leur produit comme étant « Air Gapped » alors qu’il n’y a pas de séparation physique réelle de l’unité de stockage. Bacula recommande vivement aux lecteurs de se méfier de cette affirmation.
• Déploiement plus facile du matériel ou des logiciels hérités. En ce qui concerne les avantages de l’air gapping, l’un d’entre eux peut concerner les logiciels hérités. L’absence de connexion Internet peut permettre de déployer des logiciels patrimoniaux sensibles de manière plus fiable lorsqu’ils se trouvent dans un environnement hermétique, en veillant à ce qu’ils ne puissent pas se mettre à jour accidentellement vers une version plus récente et devenir potentiellement inutilisables pour l’usage auquel ils sont destinés. L’utilisation de logiciels anciens comporte des risques ; cependant, il est difficile pour certains types de logiciels d’être mis à jour assez souvent pour suivre la vitesse globale du développement technologique, en particulier lorsqu’il s’agit de logiciels ou de matériels particuliers.

Un autre avantage de l’air gapping réside dans ses qualités complémentaires qui garantissent qu’au moins une copie des données d’une entreprise survit quoi qu’il arrive. Dans ce contexte, l’air gapping fait partie intégrante de la fameuse stratégie de sauvegarde « 3-2-1 » déjà utilisée par de nombreuses organisations.

Stratégies de sauvegarde : 3-2-1 et 3-2-1-1-0

L’essentiel de la règle de sauvegarde « 3-2-1 » est qu’il devrait toujours y avoir au moins trois copies de vos données, avec au moins deux supports de stockage différents impliqués dans le stockage de vos sauvegardes, et au moins une copie de vos données est toujours stockée hors site – loin du réseau interne de votre entreprise et physiquement éloignée de l’emplacement du bureau principal. La dernière partie de cette règle – une copie de sauvegarde stockée hors site – est un cas d’utilisation parfait pour la mise en œuvre de l’air gapping, garantissant que vos données ne peuvent pas être complètement perdues, quel que soit le type de problème que vous rencontrez.

Bien entendu, la stratégie de sauvegarde « 3-2-1 » a été introduite il y a longtemps, et le secteur a évolué à plusieurs reprises depuis lors. L’air gapping n’est qu’un des nombreux exemples de l’introduction de nouvelles technologies dans ce domaine pour améliorer la sécurité des données. Dans ce contexte, de nouvelles versions de stratégies existantes commencent également à apparaître. C’est le cas de la stratégie de sauvegarde « 3-2-1-1-0 », qui est une extension de la stratégie « 3-2-1 » mentionnée précédemment.

La stratégie en question développe la logique de la stratégie « 3-2-1 ». Elle ajoute la nécessité qu’au moins une copie des données soit complètement hors ligne et placée sous surveillance aérienne, tout en effectuant des contrôles d’intégrité des données sauvegardées pour s’assurer qu’il n’y a pas d’éléments corrompus ou manquants. De cette façon, les tentatives du ransomware d’affecter les données de sauvegarde et les erreurs humaines potentielles sont résolues ou fortement atténuées.

Cependant, il est également important de se rappeler que l’air gapping n’est pas nécessairement une solution parfaite à tous les problèmes de sécurité. Il existe de nombreux problèmes liés à l’approche de sécurité de l’air gap, allant de l’inconvénient général à un inconvénient important sous la forme du facteur humain.

Les inconvénients d’un système de sauvegarde par coupure d’air

• Difficultés d’interaction avec un stockage de sauvegarde à air comprimé. Le problème en question comprend le surcroît de travail potentiel lié à l’ajout, à la modification et à la suppression de données d’un dispositif de stockage à air comprimé. Étant donné que toutes les interfaces de connexion filaires et sans fil sont supprimées, le seul moyen d’accéder à ces périphériques de stockage est d’utiliser une méthode de transfert de données pouvant être fixée à l’extérieur – et bien sûr, c’est là tout l’intérêt de l’air-gapping.
• « Facteur humain ». Étant donné que l’ensemble des interactions avec un système à étanchéité à l’air repose généralement sur une intervention humaine, il y a toujours un risque que l’une des mesures de sécurité en place ne soit pas réinitialisée correctement ou ne soit pas suffisamment sécurisée, créant ainsi une porte d’entrée pour les attaquants. Il peut s’agir, par exemple, d’une porte non verrouillée, d’un port USB non protégé ou même d’un employé malveillant. Les mises à jour de sécurité régulières et les appareils IoT à proximité du serveur posent également des problèmes. Cependant, ces deux problèmes peuvent être résolus si l’on y accorde suffisamment d’attention.
• Gestion des problèmes. La question qui se pose ici est celle de l’aspect purement pratique de la gestion d’un tel système, de systèmes ou de réseaux autonomes qui ont besoin d’être protégés par des bouches d’aération. Un exemple pourrait être celui d’un grand aéroport militaire. Un employé ou un tiers mal intentionné pourrait l’affecter ou le compromettre. Le nombre de personnes et de systèmes informatiques augmente le risque de compromission ; les grands aéroports militaires ont généralement des processus qui requièrent souvent des dizaines, voire des centaines de personnes dans leur périmètre physique ; il est facile de voir comment cela devient un problème pour le concept de sas d’étanchéité. Il peut être difficile de mettre en œuvre et d’appliquer en permanence des mesures de sécurité (telles que la stratégie de sauvegarde de l’air gap), notamment en surveillant et en contrôlant toutes les personnes se trouvant à proximité de ports USB ou de lecteurs de bandes magnétiques.

En tant que tel, le système à air comprimé présente à la fois des avantages et des inconvénients. Il a le potentiel d’être une excellente option de sécurité. Cependant, la quantité de travail nécessaire pour le renforcer explique pourquoi certaines organisations n’utilisent l’air gapping que pour certaines de leurs données les plus critiques.

Exemples de systèmes de cybersécurité à air comprimé

Voici quelques exemples de cas d’utilisation de l’air gapping :

• Les serveurs de jeux de la loterie nationale et d’État doivent être complètement isolés par défaut afin d’exclure toute possibilité de fraude à la loterie.
• Les bourses et autres systèmes informatiques financiers doivent être isolés pour une raison similaire : la possibilité de diffusion d’informations frauduleuses.
• Les systèmes critiques pour la vie, sous de nombreuses formes, doivent être protégés par des coussins d’air – et il existe de nombreux exemples de ces systèmes, du matériel médical informatisé aux systèmes de contrôle de l’aviation, en passant par les commandes des centrales nucléaires. Les conséquences désastreuses de la compromission d’un seul de ces systèmes illustrent les raisons pour lesquelles ils doivent tous être protégés par un système d’étanchéité à l’air.
• Les systèmes de contrôle industriels dans divers domaines doivent être dotés des meilleures mesures de sécurité possibles pour plusieurs raisons. Un bon exemple est le domaine de la production de pétrole et de gaz, avec les systèmes SCADA (Supervisory control and data acquisition) qui ont besoin d’être protégés.
• De nombreux réseaux et systèmes gouvernementaux doivent être protégés par des sas, de même que les réseaux militaires, les centrales nucléaires, etc.

Notez que certaines versions de ces systèmes peuvent ne plus être considérées comme étant véritablement à air gap, car certains d’entre eux ont ajouté des fonctionnalités qui leur permettent d’établir une connexion temporaire soit à l’intranet, soit à l’internet public – que ce soit pour des mises à jour de sécurité, de la surveillance ou du transfert de données.

Sauvegarde de l’air gap et conformité

La recommandation – voire l’exigence – d’utiliser la règle 3-2-1 (et le vide d’air comme son extension) est incluse dans de nombreux cadres de conformité bien connus. Parmi les exemples les plus populaires, citons HIPAA, GDPR, PCI et NIST. Dans notre exemple, il serait judicieux d’expliquer le raisonnement derrière une telle nécessité en utilisant l’un de ces cadres – NIST.

Le cadre de cybersécurité du National Institute of Standards and Technology a pour but de fournir à tous les types d’entreprises une compréhension claire et concise de la manière dont leurs informations sensibles peuvent être protégées et gérées. Il s’agit d’un cadre volontaire par nature ; il agit davantage comme un ensemble de lignes directrices sur les pratiques et les méthodes que les entreprises peuvent utiliser pour protéger leurs informations, se concentrer sur les points faibles potentiels, etc.

Il convient de noter que les solutions de sauvegarde peuvent avoir des interprétations différentes des normes NIST, offrant des outils et des méthodes meilleurs (ou pires) pour être conformes aux normes NIST. Par exemple, l’air gapping et l’immutabilité peuvent avoir des interprétations différentes dans le contexte de divers logiciels de sauvegarde. Un autre bon exemple est la variété des types de données avec lesquels la solution peut fonctionner de manière transparente.

Le respect des diverses exigences de conformité dans le contexte des sauvegardes aériennes spécifiquement et de la sécurité des sauvegardes dans son ensemble nécessite une solution de sauvegarde qualifiée et complète avec plusieurs approches pour des exigences informatiques spécifiques, divers outils centrés sur la sauvegarde, la prise en charge de nombreux types de stockage, etc.

Conclusion

L’air gapping est un concept qui offre un niveau de sécurité pratiquement sans précédent pour les données les plus essentielles et les plus sensibles d’une entreprise. L’air gapping reste à ce jour une approche populaire de la sécurité des données, sauvegardant les informations de centaines et de milliers d’entreprises. En raison des fréquentes attaques de ransomware – qui ciblent même les systèmes de sauvegarde et de restauration eux-mêmes, l’air gapping est, dans une certaine mesure, revenu sur le devant de la scène.

Pour les nombreuses organisations qui ont besoin de l’air gapping dans le cadre de leur stratégie de sécurité et de leurs besoins de continuité d’activité, Bacula Enterprise offre un logiciel particulièrement sûr, avancé et flexible pour fournir rapidement et facilement une sauvegarde et une récupération hautement sécurisées, en intégrant les méthodologies d’air gapping même dans les environnements informatiques les plus complexes.

Bacula est utilisé par certaines des plus grandes organisations de défense au monde, ainsi que par un grand nombre de moyennes et grandes entreprises qui considèrent la sécurité et la continuité des activités comme primordiales. L’architecture logicielle de Bacula et ses fonctions de sécurité spécifiques lui confèrent une robustesse exceptionnelle contre les ransomwares et autres logiciels malveillants, par rapport à d’autres fournisseurs de solutions de sauvegarde et de restauration. Bacula recommande que la protection des données de toute organisation soit prise exceptionnellement au sérieux ; veuillez contacter Bacula pour parler avec un expert senior en logiciels de sauvegarde et de restauration hautement sécurisés.