Stratégies et bonnes pratiques de sauvegarde contre les ransomwares. Comment protéger les sauvegardes contre les ransomwares ?

Le ransomware et son importance dans le paysage moderne de la cybersécurité

Les attaques par ransomware font des ravages dans de nombreuses organisations depuis plus d’une décennie, entraînant la perte de données critiques et sensibles, entre autres conséquences fâcheuses, comme le versement d’énormes sommes d’argent à des organisations criminelles. Il est difficile de trouver une industrie moderne qui n’ait pas été touchée par les ransomwares d’une manière ou d’une autre. On dit que le nombre d’attaques par ransomware au dernier trimestre 2022 était de 154,93 millions, et ce chiffre continue d’augmenter régulièrement.

Si les mesures préventives restent un élément clé de la défense contre les ransomwares, le maintien de sauvegardes régulières des données sert de moyen le plus efficace de récupération des données à la suite d’une attaque. La protection des données est primordiale : comme de nombreuses formes de ransomware ciblent également les données sauvegardées, il est absolument nécessaire de prendre des mesures pour protéger les sauvegardes contre les ransomwares.

Le ransomware est un type de logiciel malveillant qui s’infiltre dans l’ordinateur ou le(s) serveur(s) d’une victime, crypte ses données et les rend inaccessibles. Les auteurs exigent ensuite le paiement d’une rançon – généralement sous forme de crypto-monnaie – en échange de la clé de déchiffrement. Les attaques de ransomware peuvent avoir des conséquences dévastatrices, entraînant d’importantes pertes financières, perturbant la productivité et provoquant même des faillites.

Après avoir réussi à chiffrer les fichiers ciblés, les attaquants exigent généralement une rançon. Cette demande informe la victime du chiffrement et exige le paiement d’une rançon pour retrouver l’accès à ses données. Les paiements de rançon sont souvent demandés en bitcoins ou autres crypto-monnaies, ce qui les rend difficiles à retracer pour les forces de l’ordre.

Si la victime ne se conforme pas aux exigences de la rançon, les attaquants peuvent recourir à d’autres menaces, telles que la publication en ligne des fichiers cryptés ou leur suppression définitive. Dans certains cas, après le paiement d’une rançon, les attaquants peuvent même publier un outil de décryptage, mais son efficacité peut être limitée ou ne pas décrypter tous les fichiers concernés.

Les cibles courantes des ransomwares

Bien que l’énoncé concernant pratiquement tout appareil soit une cible potentielle pour les ransomwares, il existe certaines catégories d’informations et certains groupes d’utilisateurs que les créateurs de ransomwares ont tendance à cibler le plus :

• Organismes gouvernementaux – cibles principales de la plupart des variantes de ransomware en raison de la quantité de données sensibles qu’ils détiennent ; il est également communément admis que le gouvernement préférerait payer la rançon plutôt que de laisser les données sensibles d’importance politique être rendues publiques ou vendues à des tiers.
• Organisations de soins de santé – une cible relativement facile pour les ransomwares en raison du grand nombre d’infrastructures de soins de santé reposant sur des logiciels et du matériel obsolètes, ce qui réduit considérablement la quantité d’efforts nécessaires pour briser toutes ses mesures de protection ; les données de soins de santé sont également extrêmement importantes en raison de leur lien direct avec les moyens de subsistance de centaines ou de milliers de patients, ce qui les rend encore plus précieuses.
• Appareils mobiles – une cible courante en raison de la nature des smartphones modernes et de la quantité de données qu’un seul smartphone tend à contenir (qu’il s’agisse de vidéos et de photos personnelles, d’informations financières, etc.
• Institutions universitaires – l’une des plus grandes cibles des ransomwares, en raison de la combinaison du travail avec de grands volumes de données sensibles et des groupes informatiques plus petits, des contraintes budgétaires et d’autres facteurs qui contribuent à la moindre efficacité globale de leurs systèmes de sécurité.
• Départements des ressources humaines – ils ne disposent peut-être pas de beaucoup d’informations précieuses, mais ils ont la chance d’avoir accès aux dossiers financiers et personnels des autres employés ; ils sont également une cible courante en raison de la nature même du travail (en ouvrant des centaines de courriels par jour, un employé moyen des ressources humaines a beaucoup plus de chances d’ouvrir un courriel contenant un logiciel malveillant).

Le nombre d’attaques par ransomware semble croître à un rythme alarmant, atteignant 155 millions d’instances rien qu’au quatrième trimestre 2022. De nouveaux types et variantes de ransomware sont également développés régulièrement. Il existe désormais un modèle commercial entièrement nouveau appelé RaaS, ou Ransomware-as-a-Service, qui offre un accès constant aux derniers exemples de logiciels malveillants moyennant un abonnement mensuel, ce qui simplifie grandement le processus global d’attaque par ransomware.

Les dernières informations de Statista confirment les déclarations ci-dessus en ce qui concerne les plus grandes cibles des ransomwares dans leur ensemble – les organisations gouvernementales, les soins de santé, la finance, la fabrication, etc. Les organisations financières semblent également être en constante augmentation en tant que l’une des plus grandes cibles de ransomware jusqu’à présent.

Il existe des moyens de protéger votre entreprise contre les diverses attaques de ransomware, et le premier, essentiel, est de vous assurer que vous avez des sauvegardes à l’épreuve des ransomwares.

Types de ransomware

Examinons tout d’abord les différents types de menaces. Les ransomwares liés au chiffrement (cryptoware) sont l’un des types de ransomwares les plus répandus à l’heure actuelle. Voici quelques exemples moins courants de types de ransomware :

• Lock screens (interruption avec demande de rançon, mais sans cryptage),
• Ransomware pour appareils mobiles (infection des téléphones portables),
• MBR encryption ransomware (infecte une partie du système de fichiers de Microsoft utilisée pour démarrer l’ordinateur, empêchant ainsi l’utilisateur d’accéder au système d’exploitation),
• Extorsionware/leakware (cible les données sensibles et compromettantes, puis demande une rançon en échange de la non-publication des données ciblées), et ainsi de suite.

La fréquence des attaques par ransomware devrait augmenter considérablement en 2022 et au-delà, et ce de manière de plus en plus sophistiquée. Une recherche de Palo Alto Networks montre que rien qu’au premier semestre 2021, le montant moyen des paiements de rançon est généralement supérieur à un demi-million de dollars (570 000+, pour être exact).

Bien que les mesures préventives soient le moyen privilégié de faire face aux ransomwares, elles ne sont généralement pas efficaces à 100 %. Pour les attaques qui réussissent à pénétrer, la sauvegarde est le dernier bastion de défense qu’un service informatique peut utiliser. La sauvegarde et la récupération des données s’avèrent être un élément de protection efficace et essentiel contre la menace des ransomwares. Toutefois, pour pouvoir récupérer efficacement les données, il faut maintenir un calendrier strict de sauvegarde des données et prendre diverses mesures pour éviter que votre sauvegarde ne soit également capturée et chiffrée par un ransomware.

Pour qu’une entreprise protège suffisamment ses sauvegardes contre les ransomwares, une préparation et une réflexion préalables sont nécessaires. La technologie de protection des données, les meilleures pratiques de sauvegarde et la formation du personnel sont essentielles pour atténuer les perturbations menaçant l’activité que les attaques de ransomware peuvent infliger aux serveurs de sauvegarde d’une entreprise.

Les attaques de ransomware sur les systèmes de sauvegarde sont fréquemment opportunistes – pas nécessairement ciblées. Le processus exact diffère selon le programme, mais le ransomware explore généralement un système à la recherche de types de fichiers spécifiques et, s’il détecte une extension de fichier de sauvegarde, il la crypte. Il tente ensuite de se propager et d’infecter autant de systèmes qu’il le peut. Le mouvement de ces programmes malveillants est latéral et non délibéré.

L’une des meilleures protections contre ces attaques consiste à disposer d’une solution de sauvegarde des données et des ransomwares d’une architecture correcte, correctement configurée, associée à des stratégies de sauvegarde fondées sur les meilleures pratiques. Il s’agit notamment de s’assurer que les sauvegardes dans le nuage sont correctement protégées et disponibles, et que vous disposez d’une stratégie garantissant que vous ne synchronisez pas les fichiers locaux infectés avec ceux qui devraient être conservés en toute sécurité dans le nuage. Cela signifie également que vous devez disposer de copies actualisées de ces données ailleurs. Pour les moyennes et grandes entreprises, il est essentiel de disposer d’une solution de sauvegarde de niveau professionnel, car des pratiques correctes en matière de sauvegarde, de stockage et de conformité des données peuvent faire la différence entre la survie et l’échec d’une entreprise en cas d’attaque par un ransomware.

Mythes courants sur les ransomwares et les sauvegardes

Si vous recherchez comment protéger les sauvegardes contre les ransomwares, il se peut que vous tombiez sur des conseils erronés ou obsolètes. En réalité, la protection des sauvegardes contre les ransomwares est un peu plus complexe, alors examinons quelques-uns des mythes les plus populaires qui entourent le sujet.

Mythe de la sauvegarde contre les ransomwares 1 :Les ransomwares n’infectent pas les sauvegardes. Vous pensez peut-être que vos fichiers sont en sécurité. Cependant, tous les ransomwares ne s’activent pas au moment où vous êtes infecté. Certains attendent avant de commencer. Cela signifie que vos sauvegardes pourraient déjà contenir une copie du ransomware.

Mythe de la sauvegarde du ransomware 2 : Les sauvegardes cryptées sont protégées des ransomwares. Le fait que vos sauvegardes soient chiffrées n’a pas vraiment d’importance. Dès que vous exécutez une restauration de sauvegarde, l’infection peut redevenir exécutable et s’activer.

Mythe de la sauvegarde par ransomware 3 : Seul Windows est affecté. De nombreuses personnes pensent qu’elles peuvent exécuter leurs sauvegardes sur un système d’exploitation différent pour éliminer la menace. Malheureusement, si les fichiers infectés sont hébergés sur le cloud, le ransomware peut passer de l’un à l’autre.

Mythe de la sauvegarde par ransomware 4 : Payer l’argent de la rançon est plus facile et moins coûteux que d’investir dans des systèmes de récupération des données. Il y a deux arguments forts contre cela. Numéro un – les entreprises qui paient la rançon se présentent aux intrus comme des cibles faciles qui ne sont pas disposées à lutter contre les attaques de ransomware. Deuxièmement, le paiement intégral de la rançon n’est pas un moyen garanti d’obtenir les clés de décryptage.

Mythe de la sauvegarde des ransomwares 5 : Les attaques de ransomwares sont principalement faites dans un but de vengeance contre les grandes entreprises qui maltraitent les gens ordinaires. Il y a un lien qui pourrait être fait entre les entreprises qui ont des politiques clients douteuses et les attaques de vengeance, mais la grande majorité des attaques sont simplement à la recherche de quelqu’un à qui profiter.

Mythe de la sauvegarde des ransomwares 6 : Les ransomwares n’attaquent pas les petites entreprises et ne ciblent que les sociétés massives. Alors que les grandes entreprises pourraient être des cibles plus importantes en raison d’une rançon potentiellement plus importante qui pourrait leur être acquise, les petites entreprises se font attaquer par des ransomwares tout aussi souvent que les grandes – et même les utilisateurs privés subissent un nombre important d’attaques de ransomwares sur une base régulière. Un récent rapport de Sophos montre que ce mythe particulier n’est tout simplement pas vrai, puisque les grandes et les petites entreprises ont à peu près le même pourcentage d’être touchées par un ransomware en un an (72 % pour les entreprises ayant un chiffre d’affaires de 5 milliards de dollars et 58 % pour les entreprises ayant un chiffre d’affaires de moins de 10 millions de dollars).

Bien sûr, il existe encore de nombreuses façons de protéger les sauvegardes contre les ransomwares. Vous trouverez ci-dessous quelques stratégies importantes que vous devriez envisager pour votre entreprise.

Les 17 principales stratégies pour protéger les sauvegardes contre les ransomwares

Voici quelques considérations techniques spécifiques à l’environnement informatique de votre entreprise, pour protéger votre serveur de sauvegarde contre de futures attaques de ransomware :

1. Identifiants uniques et distincts

Il s’agit d’une meilleure pratique de base pour la sauvegarde contre les ransomwares ; et avec la quantité croissante d’attaques de ransomwares sur les serveurs de sauvegarde, elle est plus que jamais nécessaire. Le contexte que quelqu’un utilise pour accéder au stockage de sauvegarde doit être totalement confidentiel et n’être utilisé que dans ce seul but précis.

Pour protéger les sauvegardes contre les ransomwares, vous devez éviter de travailler en tant que root ou administrateur. Utilisez des comptes de service qui sont restreints autant que possible, chaque fois que c’est possible. Par défaut, Bacula intègre l’authentification à deux facteurs dans la conception et permet à l’utilisateur d’appliquer autant de séparation que possible lorsqu’il s’agit de charges de travail de production, établissant ainsi une sauvegarde plus résistante aux ransomwares. Par exemple, son installation par défaut garantit que ses démons s’exécutent avec des comptes de service dédiés.

2. Stockage hors ligne

Le stockage hors ligne est l’une des meilleures défenses contre la propagation du chiffrement par ransomware au stockage de sauvegarde. Il existe un certain nombre de possibilités de stockage qui peuvent être utilisées :

3. Les tâches de copie de sauvegarde

Une tâche de copie de sauvegarde copie les données de sauvegarde existantes sur un autre système de disque afin qu’elles puissent être restaurées ultérieurement ou envoyées vers un emplacement hors site.

L’exécution d’une tâche de copie de sauvegarde est un excellent moyen de créer des points de restauration avec des règles de conservation différentes de celles de la tâche de sauvegarde régulière (et qui peuvent se trouver sur un autre stockage). La tâche de copie de sauvegarde peut être un mécanisme précieux qui peut vous aider à protéger les sauvegardes contre les ransomwares parce qu’il y a différents points de restauration en cours d’utilisation avec la tâche de copie de sauvegarde.

Par exemple, si vous ajoutez un périphérique de stockage supplémentaire à votre infrastructure (par exemple un serveur Linux), vous pouvez définir un référentiel pour celui-ci et créer le job de copie de sauvegarde qui fonctionnera comme votre sauvegarde contre les ransomwares.

4. Évitez de multiplier les types de systèmes de fichiers

Bien que l’implication de différents protocoles puisse être un bon moyen d’empêcher la propagation des ransomwares, sachez que ce n’est certainement pas une garantie contre les attaques de sauvegarde de ransomwares. Les différents types de ransomware ont tendance à évoluer et à devenir plus efficaces régulièrement, et de nouveaux types apparaissent assez fréquemment.

Il est donc conseillé d’utiliser une approche de sécurité de niveau entreprise : le stockage des sauvegardes doit être inaccessible dans la mesure du possible, et il ne doit y avoir qu’un seul compte de service sur les machines connues qui a besoin d’y accéder. Les emplacements du système de fichiers utilisés pour stocker les données de sauvegarde doivent être accessibles uniquement par les comptes de service concernés afin de protéger toutes les informations contre les attaques de ransomware.

5. Utilisez la règle 3-2-1-1

Suivre la règle du 3-2-1 signifie avoir trois copies distinctes de vos données, sur deux supports différents, dont l’un est hors site. La puissance de cette approche pour la sauvegarde des ransomwares est qu’elle peut répondre à pratiquement tous les scénarios de défaillance et ne nécessitera pas l’utilisation de technologies spécifiques. À l’ère du ransomware, Bacula recommande d’ajouter un deuxième  » 1  » à la règle ; celui où l’un des supports est hors ligne. Il existe un certain nombre d’options qui vous permettent de faire une copie hors ligne ou semi-hors ligne de vos données. En pratique, chaque fois que vous effectuez une sauvegarde sur des cibles autres que des systèmes de fichiers, vous êtes déjà proche de respecter cette règle. Les bandes et les cibles de stockage d’objets dans le nuage vous sont donc utiles. Placer les bandes dans un coffre-fort une fois qu’elles ont été écrites est une pratique exemplaire de longue date.

Les cibles de stockage dans le cloud peuvent faire office de stockage semi-hors ligne du point de vue de la sauvegarde. Les données ne sont pas sur site et leur accès nécessite des protocoles personnalisés et une authentification secondaire. Certains fournisseurs de services en nuage permettent de placer les objets dans un état immuable, ce qui répondrait à l’exigence de les empêcher d’être endommagés par un attaquant. Comme pour toute mise en œuvre du cloud, on accepte un certain risque de fiabilité et de sécurité en confiant des données critiques au fournisseur de cloud, mais en tant que source de sauvegarde secondaire, le cloud est très convaincant.

6. Évitez les instantanés de stockage

Les instantanés de stockage sont utiles pour récupérer des fichiers supprimés à un moment donné, mais ne constituent pas une sauvegarde au sens propre. Les instantanés de stockage sont généralement dépourvus de gestion avancée de la conservation, de rapports, et toutes les données sont toujours stockées sur le même système et peuvent donc être vulnérables à toute attaque affectant les données primaires. Un instantané n’est rien de plus qu’une copie ponctuelle de vos données. En tant que telle, la sauvegarde peut encore être vulnérable aux attaques de ransomware si celles-ci ont été programmées pour rester en sommeil jusqu’à un certain moment.

7. Récupération de métal nu

La récupération sur métal nu s’effectue de différentes manières. De nombreuses entreprises se contentent de déployer une image standard, de fournir des logiciels, puis de restaurer les données et/ou les préférences des utilisateurs. Dans de nombreux cas, toutes les données sont déjà stockées à distance et le système lui-même n’a que peu d’importance. Cependant, dans d’autres, cette approche n’est pas pratique et la capacité à restaurer complètement une machine à un point dans le temps est une fonction essentielle de la mise en œuvre de la reprise après sinistre qui peut vous permettre de protéger les sauvegardes contre les ransomwares.

La capacité de restaurer un ordinateur crypté par un ransomware à un point récent dans le temps, y compris toutes les données utilisateur stockées localement, peut être une partie nécessaire d’une défense en couches. La même approche peut être appliquée aux systèmes virtualisés, bien qu’il existe généralement des options préférables au niveau de l’hyperviseur.

8. Test du plan de sauvegarde

S’il est judicieux de mettre en place une politique de sauvegarde/récupération complète, on ne sait jamais comment elle fonctionnerait si on ne la teste pas au préalable. Le test du plan de sauvegarde est un processus qui peut aider à calculer le temps de récupération, l’accessibilité des données et de nombreux autres paramètres essentiels pour protéger les sauvegardes contre les ransomwares. Il permet également de déterminer quelles parties de votre système doivent être prioritaires dans le processus de récupération, à quelle vitesse vous pouvez restaurer des données à partir d’un stockage hors ligne, si vous avez besoin d’un réseau entièrement séparé à des fins de récupération, etc.

9. Stockage immuable

Le terme « stockage immuable » n’est pas nouveau, mais il n’a pas eu beaucoup de succès auparavant en raison de la complexité globale de l’utilisation de ces données. Il s’agit de données qui ne peuvent être modifiées en aucune façon une fois qu’elles sont stockées d’une manière spécifique. La version la plus moderne de ce concept devient de plus en plus populaire auprès de divers fournisseurs de services en nuage et d’autres fournisseurs de services de stockage grâce à une technologie appelée WORM (Write-Once-Read-Many storage, ou stockage en écriture unique et en lecture multiple). Cette technologie permet à ses utilisateurs de verrouiller des objets spécifiques dans leurs données pour une période de temps spécifique, rendant les objets susmentionnés insensibles à toute modification quelle qu’elle soit.

10. Cryptage des sauvegardes

Le cryptage est un autre moyen d’empêcher les ransomware de trouver ou d’affecter les données de sauvegarde d’une manière ou d’une autre, car le cryptage transforme les données normales en données illisibles impossibles à décoder sans une sorte de clé appropriée. La meilleure approche consiste à crypter à la fois les données déjà stockées localement ou dans le nuage, ainsi que les données envoyées ou récupérées d’une manière ou d’une autre. La norme de cryptage la plus répandue dans l’industrie est AES-256 pour les données au repos et SSL/TLS pour les informations cryptées à mi-parcours.

11. Politiques de sauvegarde

L’examen et la mise à jour régulière de vos politiques de sauvegarde contre les ransomwares peuvent constituer une méthode étonnamment efficace pour minimiser l’effet d’une attaque par ransomware ou carrément la prévenir. Pour que la politique de sauvegarde soit efficace, elle doit être à jour et flexible, et inclure des solutions pour toutes les méthodes modernes d’attaque par ransomware.

L’une des meilleures défenses contre les ransomwares est la restauration des informations à partir de sauvegardes propres, car le paiement d’une rançon ne garantit pas à 100 % le décryptage de vos données, ce qui souligne une fois de plus l’importance des sauvegardes. Les sujets qui doivent être abordés lors d’un audit approfondi de l’ensemble de votre structure de données interne sont les suivants :

• La règle des 3-2-1 est-elle en place ?
• Y a-t-il des systèmes critiques qui ne sont pas couverts par des opérations de sauvegarde régulières ?
• Ces sauvegardes sont-elles correctement isolées pour ne pas être affectées par le ransomware ?
• Y a-t-il déjà eu un exercice de restauration d’un système à partir d’une sauvegarde pour tester son fonctionnement ?

12. Plan de reprise après sinistre

Un plan de reprise après sinistre est un document qui peut être utilisé comme un aperçu de la manière dont votre entreprise réagirait à une menace spécifique pesant sur ses activités régulières. Les problèmes potentiels peuvent être des erreurs humaines, des conditions météorologiques, la cybercriminalité, des défaillances matérielles, etc.

Un plan de reprise après sinistre (PRS) adéquat peut répondre à de nombreuses questions, notamment, mais pas exclusivement :

• Quelles sont les données à sauvegarder ? Comme couvrir l’intégralité de votre système est souvent à la fois extrêmement difficile et étonnamment coûteux, c’est une excellente idée d’évaluer vos données pour en déterminer les parties les plus importantes. Pour de nombreuses organisations, les données telles que les courriels professionnels constituent l’une des ressources les plus précieuses dont elles disposent. Connaître les priorités de sauvegarde de vos données aide beaucoup à mettre en place un système de sauvegarde et de récupération adéquat.
• Où la sauvegarde sera-t-elle stockée ? Chaque type d’emplacement de stockage présente des avantages et des inconvénients qui doivent être pris en compte lors de la planification de votre système de sauvegarde. Bien entendu, la meilleure option consiste à utiliser plusieurs emplacements de stockage pour vos sauvegardes, à la fois sur site et dans le cloud, mais cette option peut également être plus coûteuse que les autres.
• Quelles sont les mesures de sécurité pour les sauvegardes ? Les contrôles de sécurité pour vos sauvegardes sont assez nécessaires dans de nombreux cas différents, en particulier lorsque vous avez affaire à des types de données spécifiques. À titre d’exemple, les entreprises qui travaillent avec des PHI (informations de santé protégées) doivent adhérer à la fois à l’HIPAA et au GDPR (si elles travaillent avec des clients de l’UE).
• À quelle fréquence les sauvegardes seront-elles effectuées ? De manière assez surprenante, effectuer des sauvegardes aussi souvent que possible n’est pas toujours la meilleure option, car cela a tendance à être extrêmement coûteux en termes de coûts de stockage. Il est donc recommandé de procéder à une évaluation de votre système afin de déterminer quel est le meilleur intervalle entre les sauvegardes pour votre entreprise spécifique et quelle quantité de temps d’arrêt peut être tolérée sans ruiner complètement l’entreprise en question.

13. Formation des employés en matière de sécurité

Les sauvegardes peuvent se produire à la fois à l’échelle du système et sur les systèmes individuels des employés, en particulier lorsqu’il s’agit de divers courriels et d’autres infos spécifiques. Enseigner à vos employés l’importance de leur participation au processus de sauvegarde est un excellent moyen de combler encore plus de lacunes dans votre défense contre les ransomwares.

Dans le même temps, si les employés réguliers peuvent aider au processus de sauvegarde, ils ne doivent en aucun cas avoir accès aux sauvegardes elles-mêmes. Plus les personnes ont accès aux données sauvegardées – plus les risques d’erreur humaine ou d’un autre moyen pour votre système et vos sauvegardes d’être compromis sont élevés.

14. Mises à jour logicielles

Le plus souvent, les ransomware peuvent utiliser les vulnérabilités de votre système pour s’introduire et endommager vos données d’une manière ou d’une autre. Effectuer des mises à jour logicielles régulières est l’un des meilleurs moyens de lutter contre cela, même si cela doit toujours être utilisé en conjonction avec des méthodes de protection par sauvegarde et d’autres tactiques de cette liste.

15. L’air gapping

La force des sauvegardes par air gapping réside dans leur isolement inhérent. En cas d’attaque réussie d’un ransomware, la sauvegarde déconnectée n’est pas affectée, fournissant une copie propre de vos données pour la récupération. Vous pouvez alors isoler les systèmes affectés, éradiquer l’infection et restaurer les données à partir de la sauvegarde air-gapped.

Les sauvegardes « air-gapped » représentent l’une des formes les plus robustes et les plus exigeantes de protection contre les ransomwares. Cette approche implique de déconnecter physiquement le stockage de sauvegarde de vos locaux, en l’isolant de l’infrastructure cloud, des réseaux locaux et de toute autre forme de connectivité.

En pratique, les sauvegardes  » air-gapped  » utilisent des solutions de stockage locales telles que des disques durs, des périphériques NAS ou des serveurs de fichiers. Ces appareils ne sont connectés à vos locaux que pendant les opérations de sauvegarde.

Malgré son efficacité, la méthode de sauvegarde en réseau aérien présente également certaines limites. Par exemple, le stockage de sauvegarde sur réseau aérien peut constituer une solution de stockage supplémentaire à côté de votre stockage de production. Cela nécessite la définition, la construction et la maintenance d’une infrastructure de stockage distincte.

La mise en œuvre de sauvegardes en mode « air-gapped » nécessite également une planification minutieuse et une intégration avec vos politiques de sauvegarde existantes afin d’éviter toute perturbation des opérations commerciales. Par ailleurs, les sauvegardes « air-gapped » conviennent aux données statiques et non critiques qui peuvent être récupérées en quelques heures – mais pas aux applications ou bases de données nécessitant une réplication de basculement, puisqu’il est nécessaire de connecter le stockage détaché pour chaque opération de récupération.

Les sauvegardes « air-gapped » offrent une protection exceptionnelle contre les ransomwares, mais leur pertinence dépend d’exigences spécifiques. Souvent, les sauvegardes air-gapped servent de dernière ligne de défense, ne sauvegardant que les données les plus critiques.

16. Verrouillage d’objet Amazon S3

Object Lock est une fonctionnalité du stockage en nuage d’Amazon qui permet de renforcer la protection des informations stockées dans les buckets S3. Cette fonctionnalité, comme son nom l’indique, peut empêcher toute action non autorisée avec un objet spécifique ou un ensemble d’objets pendant une période de temps spécifique, ce qui rend les données pratiquement immuables pendant un laps de temps déterminé.

L’un des principaux cas d’utilisation de l’Object Lock est la conformité avec divers cadres et réglementations, mais il s’agit également d’une fonctionnalité utile pour les efforts généraux de protection des données. Elle est également relativement simple à mettre en place – il suffit à l’utilisateur final de choisir une période de rétention, transformant ainsi les données en format WORM pour le moment.

Le verrou d’objet S3 propose deux modes de conservation principaux : le mode Conformité et le mode Gouvernance. Le mode Conformité est le moins strict des deux, car il permet de modifier le mode de conservation pendant que les données sont « verrouillées ». Le mode Gouvernance, quant à lui, empêche la plupart des utilisateurs de modifier les données de quelque manière que ce soit – les seuls utilisateurs autorisés à faire quoi que ce soit avec les données pendant la période de conservation sont ceux qui disposent d’autorisations de contournement spéciales.

Il est également possible d’utiliser le verrouillage d’objet pour activer une « mise en suspens juridique » sur des données spécifiques, qui fonctionne en dehors des périodes et des modes de conservation et empêche les données en question d’être manipulées pour des raisons juridiques telles qu’un litige.

17. Sécurité zéro confiance

Le passage de la sécurité traditionnelle à la sécurité centrée sur les données a introduit de nombreuses nouvelles technologies qui offrent d’incroyables avantages en matière de sécurité, même s’il y a un prix à payer en termes d’expérience utilisateur. Par exemple, une approche de sécurité de confiance zéro est une tactique relativement courante pour les systèmes de sécurité modernes, servant de grande barrière de protection contre les ransomwares et autres menaces potentielles.

L’approche globale de la sécurité zéro confiance adopte l’idée principale de la sécurité centrée sur les données, en essayant de vérifier et de contrôler tous les utilisateurs et les dispositifs accédant à des informations spécifiques, quels qu’ils soient et où qu’ils se trouvent. Ce type d’approche s’articule autour de quatre « piliers » principaux :

• Le principe du moindre privilège fournit à chaque utilisateur le moins de privilèges possible dans le système, en essayant d’atténuer le problème de l’accès trop privilégié que la plupart des industries ont connu pendant des années.
• La segmentation extensive est surtout utilisée pour limiter la portée d’une faille de sécurité potentielle, en éliminant la possibilité qu’un seul attaquant acquière l’accès à l’ensemble du système en une seule fois.
• La vérification constante est un principe de base de la sécurité zéro confiance, sans aucune sorte de liste d' »utilisateurs de confiance » pouvant être utilisée pour contourner complètement le système de sécurité.
• Le contrôle permanent est également une nécessité pour s’assurer que tous les utilisateurs sont légitimes et réels, au cas où une forme de programme d’attaque moderne ou un mauvais acteur parviendrait à contourner la première couche de sécurité.

Outils de sauvegarde spécifiques au système comme moyen de protection supplémentaire contre les ransomwares

En allant vers une approche augmentée du même problème de sauvegarde infectée par un ransomware, il est possible – et conseillé – d’utiliser les outils des systèmes de sauvegarde comme moyen supplémentaire de protection contre l’attaque. Voici cinq bonnes pratiques en matière de sauvegarde contre les ransomwares – pour protéger davantage une entreprise contre les ransomwares :

• Vérifiez que les sauvegardes elles-mêmes sont exemptes de ransomware et/ou de malware. Vérifier que votre sauvegarde n’est pas infectée doit être l’une de vos plus grandes priorités, car toute l’utilité de la sauvegarde en tant que mesure de protection contre les ransomwares est annulée si vos sauvegardes sont compromises par un ransomware. Apportez régulièrement des correctifs à votre système pour éliminer les vulnérabilités du logiciel, investissez dans des outils de détection des logiciels malveillants et mettez-les à jour régulièrement, et essayez de déconnecter vos fichiers multimédias le plus rapidement possible après les avoir modifiés. Dans certains cas, vous pouvez envisager une approche WORM (Write-One-Read-Many) pour protéger vos sauvegardes contre les ransomwares – un type de support spécifique qui n’est prévu que pour certains types de bandes et de disques optiques, ainsi que pour quelques fournisseurs de stockage en nuage.
• Ne comptez pas sur les sauvegardes en nuage comme seul type de stockage de sauvegarde. Si le stockage en nuage présente un certain nombre d’avantages, il n’est pas totalement imperméable aux ransomwares. S’il est plus difficile pour un attaquant de corrompre physiquement des données, il est toujours possible pour les attaquants de ransomware d’accéder à vos données soit en utilisant une infrastructure partagée du stockage en nuage dans son ensemble, soit en connectant ledit stockage en nuage à l’appareil d’un client infecté.
• Revoyez et testez vos plans de récupération et de sauvegarde existants. Votre plan de sauvegarde et de récupération doit être testé régulièrement pour vous assurer que vous êtes protégé contre les menaces. Découvrir que votre plan de récupération ne fonctionne pas comme prévu seulement après une attaque de ransomware n’est clairement pas souhaitable. La meilleure stratégie de sauvegarde contre les ransomwares est celle qui n’aura jamais à faire face à des violations de données malveillantes. Étudiez plusieurs scénarios différents, vérifiez certains résultats liés à la restauration, tels que le délai de récupération, et déterminez quelles parties du système sont prioritaires par défaut. N’oubliez pas que de nombreuses entreprises peuvent – et doivent – mesurer en dollars par minute le coût de l’interruption des services.
• Clarifier ou mettre à jour les politiques de conservation et élaborer des calendriers de sauvegarde. Un examen régulier de vos stratégies de sauvegarde contre les ransomwares est fortement recommandé. Il se peut que vos données ne soient pas sauvegardées assez souvent, ou que votre période de conservation des sauvegardes soit trop courte, ce qui rend votre système vulnérable à des types de ransomware plus avancés qui peuvent cibler les copies de sauvegarde via des délais et d’autres moyens d’infection.
• Auditez minutieusement tous vos emplacements de stockage de données. Pour protéger les sauvegardes contre les ransomwares, il convient de les auditer afin de s’assurer qu’aucune donnée n’est perdue et que tout est sauvegardé correctement – y compris éventuellement les systèmes des utilisateurs finaux, les stockages dans le cloud, les applications et autres logiciels système.

Comment les ransomwares peuvent altérer vos sauvegardes

S’il est vrai que les systèmes de sauvegarde et de récupération sont capables de protéger les organisations contre les ransomwares dans la plupart des cas, ces systèmes ne sont pas les seuls à continuer à progresser et à évoluer au fil des ans – car les ransomwares deviennent également de plus en plus inhabituels et sophistiqués au fil du temps.

L’un des problèmes les plus récents de toute cette approche avec les sauvegardes est que maintenant beaucoup de variantes de ransomware ont appris à cibler et à attaquer non seulement les données de l’entreprise en premier lieu, mais aussi les sauvegardes de cette même entreprise – et c’est un problème important pour l’ensemble de l’industrie. De nombreux auteurs de ransomware ont modifié leurs logiciels malveillants pour traquer et éliminer les sauvegardes. De ce point de vue, si les sauvegardes peuvent encore protéger vos données contre les ransomwares, vous devrez également protéger les sauvegardes contre les ransomwares.

Il est possible de comprendre certains des principaux angles qui sont généralement utilisés pour altérer vos sauvegardes dans leur ensemble. Nous allons mettre en évidence les principaux d’entre eux et expliquer comment vous pouvez les utiliser pour protéger les sauvegardes contre les ransomwares :

L’augmentation du potentiel de dommages causés par les ransomwares avec des cycles de récupération plus longs

Bien qu’il ne soit pas aussi évident que les autres possibilités, le problème des cycles de récupération longs est encore assez important dans l’industrie, et il est principalement causé par des produits de sauvegarde obsolètes qui ne peuvent effectuer que des sauvegardes complètes lentes. Dans ces cas, les cycles de récupération après une attaque de ransomware peuvent prendre des jours, voire des semaines – et c’est un désastre massif pour la majorité des entreprises, car les coûts liés à l’indisponibilité du système et à l’arrêt de la production peuvent rapidement éclipser les estimations initiales des dommages causés par le ransomware.

Deux solutions possibles ici pour aider à protéger vos sauvegardes contre les ransomwares seraient : a) d’essayer d’obtenir une solution qui peut vous fournir une copie de votre système entier aussi rapidement que possible, afin que vous n’ayez pas à passer des jours ou même des semaines en mode de récupération, et b) d’essayer d’obtenir une solution qui offre la restauration de masse comme une fonctionnalité, permettant de remettre en marche plusieurs VM, bases de données et serveurs très rapidement.

Votre police d’assurance peut également devenir votre responsabilité

Comme nous l’avons déjà mentionné, de plus en plus de variantes de ransomware apparaissent et peuvent cibler à la fois vos données d’origine et vos sauvegardes, ou parfois même essayer d’infecter et/ou de détruire vos données sauvegardées avant de se déplacer vers sa source. Vous devez donc faire en sorte qu’il soit le plus difficile possible pour un ransomware d’éliminer toutes vos copies de sauvegarde – une défense multicouche, en quelque sorte.

Les cybercriminels utilisent des attaques très sophistiquées qui ciblent les données, en s’attaquant directement à vos sauvegardes, car il s’agit de votre principale police d’assurance pour assurer le fonctionnement de votre entreprise. Vous devriez disposer d’une copie unique des données dans un état tel qu’elle ne puisse jamais être montée par un système externe (souvent appelée copie de sauvegarde immuable), et mettre en œuvre diverses fonctions de sécurité complètes, comme le WORM susmentionné, ainsi que l’isolation moderne des données, le cryptage des données, la détection des altérations et la surveillance des anomalies de comportement des données.

Il existe deux mesures que nous pouvons examiner plus en détail :

• Copie de sauvegarde immuable. La copie de sauvegarde immuable est l’une des plus grandes mesures contre les attaques de ransomware – il s’agit d’une copie de votre sauvegarde qui ne peut être modifiée en aucune façon une fois que vous l’avez créée. Elle existe uniquement pour être votre principale source de données si vous avez été ciblé par un ransomware et que vous avez besoin de retrouver vos informations telles qu’elles étaient auparavant. Les sauvegardes immuables ne peuvent pas être supprimées, changées, écrasées ou modifiées de quelque manière que ce soit, mais seulement copiées vers d’autres sources. Certains fournisseurs présentent l’immuabilité comme une garantie infaillible, mais en termes de sauvegarde contre les ransomwares, rien de tel n’est possible. Mais vous ne devez pas craindre les attaques de ransomware par sauvegarde immuable. Assurez-vous simplement d’avoir une stratégie holistique qui inclut la détection et la prévention des attaques, et mettez en œuvre une gestion solide des informations d’identification.
• Cryptage des sauvegardes. Il est quelque peu ironique que le chiffrement soit également utilisé comme l’une des mesures pour contrer les attaques de ransomware – puisque de nombreux ransomware utilisent le chiffrement pour exiger une rançon pour vos données. Le chiffrement ne met pas vos sauvegardes à l’abri des ransomwares et n’empêche pas les exploits. Cependant, à la base, le chiffrement des sauvegardes est censé agir comme une mesure supplémentaire contre les ransomwares, en chiffrant vos données au sein des sauvegardes afin que les ransomwares ne puissent pas les lire ou les modifier en premier lieu.

Les problèmes de visibilité de vos données deviennent un avantage pour les ransomwares

Par nature, le ransomware est le plus dangereux lorsqu’il s’introduit dans un système mal géré – des « données sombres », en quelque sorte. Là, il peut faire beaucoup de dégâts, une attaque de ransomware peut chiffrer vos données et/ou les vendre sur le dark web. Il s’agit d’un problème important qui nécessite les technologies les plus avancées pour être détecté et combattu efficacement.

Si la détection précoce des ransomwares n’est possible qu’avec une solution moderne de gestion des données et un bon système de sauvegarde, la détection de ces menaces en temps réel nécessite une combinaison d’apprentissage automatique et d’intelligence artificielle – afin que vous puissiez recevoir des alertes sur les activités suspectes des ransomwares en temps réel, ce qui accélère d’autant la découverte de l’attaque.

La fragmentation des données est une vulnérabilité massive

Il est évident qu’un grand nombre d’organisations traitent régulièrement de grandes quantités de données. Il n’est pas rare que les données d’une entreprise se trouvent à différents endroits et utilisent différents types de stockage. La fragmentation peut également créer d’importants caches de données secondaires (qui ne sont pas toujours essentielles aux activités de l’entreprise) qui peuvent affecter vos capacités de stockage et vous rendre plus vulnérable.

Chacun de ces emplacements et de ces types de sauvegarde ajoute un autre lieu potentiel d’exploitation de vos données par un ransomware – ce qui rend l’ensemble du système de l’entreprise encore plus difficile à protéger en premier lieu. Dans ce cas, il est recommandé d’utiliser une solution de découverte de données au sein de votre système, ce qui présente de nombreux avantages, notamment une meilleure visibilité de l’ensemble de vos données, ce qui permet de repérer plus facilement les menaces, les activités inhabituelles et les vulnérabilités potentielles.

Les identifiants des utilisateurs peuvent être utilisés plusieurs fois pour des attaques de ransomware

Les identifiants des utilisateurs ont toujours été l’un des plus gros problèmes dans ce domaine, offrant aux attaquants de ransomware un accès clair à des données précieuses au sein de votre entreprise – et toutes les entreprises ne peuvent même pas détecter le vol en premier lieu. Si vos identifiants sont compromis, les attaquants par ransomware peuvent exploiter les différents ports ouverts et accéder à vos appareils et applications. La situation des identifiants s’est aggravée lorsque, à cause de Covid, les entreprises ont été contraintes de passer en grande partie au travail à distance vers 2019 – et ce problème est toujours d’actualité.

Selon le 2021 Data Breach Investigation Report de Verizon, plus de 60 % des violations de données en un an ont été réalisées à l’aide d’informations d’identification compromises. Ces vulnérabilités peuvent également affecter vos sauvegardes et les exposer davantage aux ransomwares. Généralement, le seul moyen de lutter contre ce type de faille de sécurité est d’investir dans des contrôles d’accès utilisateur stricts – y compris des fonctionnalités telles que l’authentification multifactorielle, les contrôles d’accès basés sur les rôles, la surveillance constante, etc.

Testez et retestez toujours vos sauvegardes

De nombreuses entreprises ne réalisent que leurs sauvegardes ont échoué ou sont trop difficiles à récupérer qu’après avoir été victimes d’une attaque de ransomware. Si vous voulez vous assurer que vos données sont protégées, vous devez toujours effectuer une sorte d’exercice régulier et documenter les étapes exactes de création et de restauration de vos sauvegardes.

Comme certains types de ransomware peuvent également rester en sommeil avant de chiffrer vos informations, il vaut la peine de tester régulièrement toutes vos copies de sauvegarde – car vous pourriez ne pas savoir quand précisément l’infection a eu lieu. N’oubliez pas que les ransomwares ne feront que continuer à trouver des moyens plus complexes de se cacher et de rendre vos efforts de récupération des sauvegardes plus coûteux.

Conclusion

Pour une protection maximale de votre sauvegarde contre les ransomwares et autres menaces similaires, Bacula Systems conseille vivement à votre organisation de se conformer pleinement aux meilleures pratiques de sauvegarde et de récupération des données énumérées ci-dessus. Les méthodes et outils décrits dans ce billet de blog sont utilisés régulièrement par les clients de Bacula Systems pour protéger leurs sauvegardes contre les ransomwares. Pour les entreprises qui ne disposent pas de solutions de sauvegarde de données de niveau avancé, Bacula Systems conseille vivement à ces organisations de procéder à un examen complet de leur stratégie de sauvegarde et d’évaluer une solution moderne de sauvegarde et de récupération.

Téléchargez le livre blanc de Bacula sur la protection contre les ransomwares.