Contents
- Besoins accrus en matière de protection contre les rançongiciels (Ransomware)
- Mythes courants sur les ransomwares et les sauvegardes
- Les 7 meilleures stratégies de sauvegarde contre les ransomwares
- Outils spécifiques au système de sauvegarde comme moyen de protection supplémentaire contre les ransomwares
- Comment les ransomwares peuvent altérer vos sauvegardes
- Conclusion
Besoins accrus en matière de protection contre les rançongiciels (Ransomware)
Malgré les nombreux incidents de cybersécurité qui font régulièrement la une de l’actualité internationale ces dernières années, c’est spécifiquement l’attaque par ransomware WannaCry en mai 2017 qui a suscité une attention renouvelée et urgente sur ce que les organisations doivent faire pour protéger leurs activités et leurs services contre les ransomwares. Cette attaque a sérieusement impacté des milliers d’organisations dans le monde, ayant touché plus de 150 pays et plus de 200 000 ordinateurs.
L’attaque par ransomware WannaCry est un exemple de crypto-ransomware, un type de malware utilisé pour exhorter de l’argent. Dans ce cas, les cybercriminels ont crypté des fichiers précieux, prenant les données en otage et promettant de ne les restituer que si une rançon en bitcoins était payée. Cette attaque particulière a démontré de façon spectaculaire pourquoi il est si important de faire des sauvegardes régulières et de protéger ces sauvegardes contre les rançongiciels.
Les méthodes les plus courantes de diffusion des ransomwares sont les courriels d’hameçonnage, le spam et l’ingénierie sociale, mais de nouvelles méthodes se développent constamment, comme les téléchargements à partir d’un lecteur ou les sites web infectés. L’objectif principal d’un ransomware est de s’introduire dans un système en réseau. Il peut alors crypter les données d’une entreprise et demander une rançon pour lever le cryptage. Il existe des moyens de protéger votre entreprise contre ces attaques, et le premier, le plus important, est de vous assurer que vous disposez de sauvegardes à l’épreuve des ransomwares.
Examinons d’abord les différents types de menaces. Les ransomwares liés au cryptage (cryptoware) sont l’un des types de ransomwares les plus répandus à l’heure actuelle. Voici quelques exemples moins courants de types de ransomware :
- Lock screens (interruption avec la demande de rançon, mais sans cryptage),
- Ransomware de dispositif mobile (infection du téléphone portable),
- MBR encryption ransomware (infecte une partie du système de fichiers de Microsoft qui est utilisée pour démarrer l’ordinateur, empêchant l’utilisateur d’accéder au système d’exploitation en premier lieu),
- Extortionware/leakware (cible des données sensibles et compromettantes, puis exige une rançon en échange de la non publication des données ciblées), et ainsi de suite.
La fréquence des attaques par ransomware devrait augmenter considérablement en 2022 et au-delà, et avec une sophistication croissante. Par exemple, il existe déjà des logiciels malveillants plus sophistiqués que WannaCry, qui recherchent en fait les systèmes de sauvegarde faibles et chiffrent eux-mêmes les données sauvegardées. Il est primordial que nous soyons prêts à faire face à ces menaces et à comprendre le lien nécessaire entre ransomware et sauvegardes. Une étude de Palo Alto Networks montre que rien qu’au cours de la première moitié de 2021, le montant moyen du paiement d’une rançon est généralement supérieur à un demi-million de dollars (plus de 570 000 $, pour être exact).
Si les mesures préventives sont le moyen privilégié de faire face aux ransomwares, elles ne sont généralement pas efficaces à 100 %. Pour les attaques qui réussissent à pénétrer, la sauvegarde est le dernier bastion de défense qu’un service informatique peut utiliser. La sauvegarde et la récupération des données se sont avérées être un élément de protection efficace et essentiel contre la menace des ransomwares. Cependant, pour être en mesure de récupérer efficacement les données, il faut maintenir un calendrier strict de sauvegarde des données et prendre diverses mesures pour éviter que votre sauvegarde ne soit également capturée et cryptée par un ransomware.
Pour qu’une entreprise puisse protéger suffisamment ses sauvegardes contre les ransomwares, une préparation et une réflexion préalables sont nécessaires. La technologie de protection des données, les meilleures pratiques de sauvegarde et la formation du personnel sont essentielles pour atténuer les perturbations menaçant l’activité que les attaques par ransomware peuvent infliger aux serveurs de sauvegarde d’une entreprise.
Les attaques de ransomware sur les systèmes de sauvegarde sont souvent opportunistes, et pas nécessairement ciblées. Le processus exact varie en fonction du programme, mais le ransomware va généralement parcourir un système à la recherche de types de fichiers spécifiques et, s’il trouve une extension de fichier de sauvegarde, le crypter. Ensuite, il essaiera de se propager et d’infecter autant d’autres systèmes que possible. Le mouvement de ces programmes malveillants est latéral et non délibéré.
L’une des meilleures protections contre ces attaques consiste à disposer d’une solution de sauvegarde des données et des ransomwares d’une architecture correcte, correctement configurée, associée à des stratégies de sauvegarde conformes aux meilleures pratiques. Il s’agit notamment de s’assurer que les sauvegardes dans le nuage sont correctement protégées et disponibles, et que vous avez une stratégie pour vous assurer que vous ne synchronisez pas des fichiers locaux infectés avec ceux qui devraient être conservés en sécurité dans le nuage. Cela signifie également qu’il faut disposer de copies à jour de ces données ailleurs. Pour toute entreprise de taille moyenne à grande, il est essentiel de disposer d’une solution de sauvegarde de qualité professionnelle, car des pratiques correctes en matière de sauvegarde, de stockage et de conformité des données peuvent faire la différence entre la survie et l’échec d’une entreprise en cas d’attaque par ransomware.
Mythes courants sur les ransomwares et les sauvegardes
Si vous recherchez comment protéger les sauvegardes contre les ransomwares, vous risquez de tomber sur des conseils erronés ou périmés. La réalité est que la protection des sauvegardes contre les ransomwares est un peu plus complexe, alors examinons certains des mythes les plus populaires entourant le sujet.
Mythe 1 de la sauvegarde des ransomwares : Les ransomwares n’infectent pas les sauvegardes. Vous pourriez penser que vos fichiers sont en sécurité. Cependant, tous les ransomwares ne s’activent pas dès que vous êtes infecté. Certains attendent avant de se lancer. Cela signifie que vos sauvegardes peuvent déjà contenir une copie du ransomware.
Mythe 2 de la sauvegarde contre les ransomwares : Les sauvegardes cryptées sont protégées contre les ransomwares. Cela n’a pas vraiment d’importance si vos sauvegardes sont cryptées. Dès que vous exécutez une restauration de sauvegarde, l’infection peut redevenir exécutable et s’activer.
Mythe 3 de la sauvegarde par ransomware : Seul Windows est affecté. Beaucoup de gens pensent qu’ils peuvent exécuter leurs sauvegardes sur un système d’exploitation différent pour éliminer la menace. Malheureusement, si les fichiers infectés sont hébergés sur le cloud, le ransomware peut traverser.
Bien sûr, il existe encore de nombreuses façons de protéger les sauvegardes contre les ransomwares. Vous trouverez ci-dessous quelques stratégies importantes que vous devriez envisager pour votre entreprise.
Les 7 meilleures stratégies de sauvegarde contre les ransomwares
Voici quelques considérations techniques spécifiques à l’environnement informatique de votre entreprise, pour protéger votre serveur de sauvegarde contre de futures attaques de ransomware :
1. Utilisez des informations d’identification distinctes, uniquement pour le stockage de sauvegarde
Il s’agit d’une bonne pratique de base pour la sauvegarde des ransomwares ; et avec le nombre croissant d’attaques de ransomwares sur les serveurs de sauvegarde, elle est plus que jamais nécessaire. Le contexte utilisé par une personne pour accéder au stockage de sauvegarde doit être totalement confidentiel et utilisé uniquement dans ce but spécifique. Les autres contextes de sécurité ne doivent pas non plus être en mesure d’accéder au stockage de sauvegarde, à l’exception du ou des comptes qui pourraient être nécessaires pour les opérations de sauvegarde proprement dites. Pour protéger les sauvegardes contre les ransomwares, vous devez éviter de travailler en tant que root ou administrateur. Utilisez des comptes de service restreints autant que possible, chaque fois que c’est possible. Par défaut, Bacula intègre l’authentification à deux facteurs dans sa conception et permet à l’utilisateur d’appliquer autant de séparation que possible lorsqu’il traite des charges de travail de production, établissant ainsi une sauvegarde plus résistante aux ransomwares. Par exemple, son installation par défaut garantit que ses démons s’exécutent avec des comptes de service dédiés.
2. Intégrer le stockage hors ligne dans la stratégie de sauvegarde
Le stockage hors ligne est l’une des meilleures défenses contre la propagation du chiffrement des ransomwares au stockage de sauvegarde. Il existe un certain nombre de possibilités de stockage qui peuvent être utilisées :
Type de média | Ce qui est important |
Sauvegarde des cibles dans le nuage | Ceux-ci utilisent un mécanisme d’authentification différent. Ils ne peuvent être que partiellement connectés au système de sauvegarde. L’utilisation de sauvegardes ciblées sur le cloud est un bon moyen de protéger les sauvegardes contre les ransomwares, car vos données sont conservées en sécurité dans le cloud. En cas d’attaque, vous pouvez restaurer votre système à partir de celui-ci, bien que cela puisse s’avérer coûteux. Vous devez également garder à l’esprit que la synchronisation avec le stockage de données local peut également télécharger l’infection vers votre sauvegarde dans le cloud. |
Stockage primaire Snapshots | Les copies instantanées ont un cadre d’authentification différent et peuvent être utilisées pour la récupération. Les copies instantanées sont des sauvegardes en lecture seule, de sorte que les nouvelles attaques de ransomware ne peuvent pas les infecter. Si vous identifiez une menace, vous pouvez simplement la restaurer à partir d’une copie prise avant que l’attaque n’ait lieu. |
VMs répliquées | Il est préférable de le faire lorsqu’il est contrôlé par un cadre d’authentification différent, par exemple en utilisant des domaines différents pour, par exemple, les hôtes vSphere et Hyper-V, et de le faire fonctionner. Vous devez simplement vous assurer que vous suivez attentivement votre calendrier de conservation. Si une attaque par ransomware se produit et que vous ne vous en apercevez pas avant que vos sauvegardes ne soient cryptées, vous risquez de n’avoir aucune sauvegarde à restaurer. |
Disques durs/SSD | Détachés, non montés ou hors ligne, à moins qu’ils ne soient lus ou qu’on y écrive. Certains lecteurs à semi-conducteurs ont été ouverts avec malware, mais cela va au-delà de la portée de certains ransomware de sauvegarde traditionnels. |
La bande | On ne peut pas faire plus hors ligne qu’avec des bandes qui ont été déchargées d’une bibliothèque de bandes. Elles sont également pratiques pour le stockage hors site. Comme les données sont généralement conservées hors site, les sauvegardes sur bande sont normalement à l’abri des attaques de ransomware et des catastrophes naturelles. Les bandes doivent toujours être cryptées. |
Appareils ménagers | Les appliances, étant des boîtes noires, doivent être correctement sécurisées contre les accès non autorisés afin de se protéger contre les attaques de ransomware. Il est conseillé de renforcer la sécurité du réseau par rapport aux serveurs de fichiers ordinaires, car les appareils peuvent présenter des vulnérabilités plus inattendues que les systèmes d’exploitation ordinaires. |
3. Utilisez les tâches de copie de sauvegarde pour atténuer les risques
Une tâche de copie de sauvegarde copie les données de sauvegarde existantes sur un autre système de disque afin qu’elles puissent être restaurées ultérieurement ou envoyées vers un emplacement hors site.
L’exécution d’une tâche de copie de sauvegarde est un excellent moyen de créer des points de restauration avec des règles de rétention qui sont différentes de la tâche de sauvegarde régulière (et qui peuvent être situées sur un autre stockage). La tâche de copie de sauvegarde peut être un mécanisme précieux qui peut vous aider à protéger les sauvegardes contre les ransomwares car il existe différents points de restauration utilisés avec la tâche de copie de sauvegarde.
Par exemple, si vous ajoutez un périphérique de stockage supplémentaire à votre infrastructure (par exemple un serveur Linux), vous pouvez définir un référentiel pour celui-ci et créer une tâche de copie de sauvegarde qui fonctionnera comme votre sauvegarde contre les ransomwares.
4. Ne pas s’appuyer sur des systèmes de fichiers différents pour protéger le stockage de sauvegarde
Bien que l’implication de différents protocoles puisse être un bon moyen d’empêcher la propagation des ransomwares, sachez que cela ne constitue certainement pas une garantie contre les attaques de sauvegarde des ransomwares. Les différents types de ransomware ont tendance à évoluer et à devenir plus efficaces régulièrement, et de nouveaux types apparaissent assez fréquemment.
Il est donc conseillé d’adopter une approche de la sécurité digne d’une entreprise : le stockage des sauvegardes doit être inaccessible dans la mesure du possible, et un seul compte de service sur les machines connues doit pouvoir y accéder. Les emplacements du système de fichiers utilisés pour stocker les données de sauvegarde ne doivent être accessibles que par les comptes de service concernés afin de protéger toutes les informations contre les attaques de ransomware.
Il n’y a aucune raison pour que les utilisateurs finaux de différents systèmes aient la permission d’y accéder. L’utilisation d’un autre ensemble d’informations d’identification pour permettre l’accès aux systèmes de fichiers partagés, par exemple pour les instantanés, les partages hors ligne ou le stockage dans le nuage, est une approche intrinsèquement peu sûre – tous ces accès doivent être réservés exclusivement au compte de service de sauvegarde.
5. Veillez à utiliser la règle 3-2-1-1
Suivre la règle 3-2-1 signifie avoir trois copies distinctes de vos données, sur deux supports différents, dont l’un est hors site. La puissance de cette approche pour la sauvegarde des ransomwares est qu’elle peut répondre à pratiquement tous les scénarios de défaillance et ne nécessite pas l’utilisation de technologies spécifiques. A l’ère des ransomwares, Bacula recommande d’ajouter un second « 1 » à la règle ; celui où l’un des supports est hors ligne. Il existe un certain nombre d’options qui vous permettent de faire une copie hors ligne ou semi-hors ligne de vos données. En pratique, chaque fois que vous sauvegardez sur des cibles autres que des systèmes de fichiers, vous êtes déjà proche de cette règle. Les bandes et les cibles de stockage d’objets dans le nuage vous sont donc utiles. Placer les bandes dans un coffre-fort après leur écriture est une bonne pratique de longue date.
Les cibles de stockage en nuage peuvent servir de stockage semi-hors ligne du point de vue de la sauvegarde. Les données ne sont pas sur site, et leur accès nécessite des protocoles personnalisés et une authentification secondaire. Certains fournisseurs de cloud permettent de placer les objets dans un état immuable, ce qui répondrait à l’exigence d’empêcher qu’ils soient endommagés par un attaquant. Comme pour toute mise en œuvre du cloud, un certain degré de fiabilité et de risque de sécurité est accepté en confiant des données critiques au fournisseur de cloud, mais en tant que source de sauvegarde secondaire, le cloud est très convaincant.
6. Attention à l’utilisation de snapshots de stockage sur le stockage de sauvegarde
Les instantanés de stockage sont utiles pour récupérer des fichiers supprimés à un moment donné, mais ne sont pas des sauvegardes au sens propre. Les instantanés de stockage ont tendance à manquer de gestion avancée de la rétention, de rapports, et toutes les données sont toujours stockées sur le même système et peuvent donc être vulnérables à toute attaque qui affecte les données primaires. Un instantané n’est rien de plus qu’une copie ponctuelle de vos données. En tant que telle, la sauvegarde peut encore être vulnérable aux attaques de ransomware si celles-ci ont été programmées pour rester en sommeil jusqu’à un certain moment.
7. Assurez-vous que vous pouvez récupérer tous les systèmes à partir de métal nu
La récupération de données sur métal nu s’effectue de différentes manières. De nombreuses entreprises se contentent de déployer une image standard, de fournir des logiciels, puis de restaurer les données et/ou les préférences des utilisateurs. Dans de nombreux cas, toutes les données sont déjà stockées à distance et le système lui-même n’a guère d’importance. Cependant, dans d’autres, cette approche n’est pas pratique et la capacité de restaurer complètement une machine à un moment donné est une fonction essentielle de la mise en œuvre de la reprise après sinistre qui peut vous permettre de protéger les sauvegardes contre les ransomwares.
La capacité de restaurer un ordinateur chiffré par un ransomware à un point récent dans le temps, y compris toute donnée utilisateur stockée localement, peut être une partie nécessaire d’une défense en couches. La même approche peut être appliquée aux systèmes virtualisés, bien qu’il existe généralement des options préférables disponibles au niveau de l’hyperviseur.
Outils spécifiques au système de sauvegarde comme moyen de protection supplémentaire contre les ransomwares
Pour aborder le même problème de sauvegarde infectée par un ransomware, il est possible – et conseillé – d’utiliser les outils des systèmes de sauvegarde comme moyen supplémentaire de protection contre les attaques. Voici cinq bonnes pratiques en matière de sauvegarde contre les ransomwares – pour protéger davantage une entreprise contre les ransomwares :
- Vérifiez que les sauvegardes elles-mêmes sont exemptes de ransomware et/ou de malware. Vérifier que votre sauvegarde n’est pas infectée devrait être l’une de vos plus grandes priorités, car toute l’utilité de la sauvegarde en tant que mesure de protection contre les ransomwares est annulée si vos sauvegardes sont compromises par un ransomware. Appliquez régulièrement des correctifs au système pour éliminer les vulnérabilités du logiciel, investissez dans des outils de détection des logiciels malveillants et mettez-les à jour régulièrement, et essayez de mettre hors ligne vos fichiers multimédias le plus rapidement possible après les avoir modifiés. Dans certains cas, vous pouvez envisager une approche WORM (Write-One-Read-Many) pour protéger vos sauvegardes contre les ransomwares – un type de support spécifique qui n’est prévu que pour certains types de bandes et de disques optiques, ainsi que pour quelques fournisseurs de stockage en nuage.
- Ne comptez pas sur les sauvegardes dans le cloud comme seul type de stockage de sauvegarde. Si le stockage en nuage présente un certain nombre d’avantages, il n’est pas totalement imperméable aux ransomwares. Bien qu’il soit plus difficile pour un attaquant de corrompre physiquement des données, il est toujours possible pour les attaquants de ransomware d’accéder à vos données soit en utilisant une infrastructure partagée du stockage en nuage dans son ensemble, soit en connectant ledit stockage en nuage à l’appareil d’un client infecté. C’est pourquoi il est fortement recommandé de toujours disposer d’une stratégie de sauvegarde alternative autre que la sauvegarde en ligne, ainsi que d’un support et d’une destination de sauvegarde distincts en combinaison avec le cloud, comme une bande hors site. En disposant de protections redondantes, vous serez en mesure de protéger vos données contre les ransomwares. N’oubliez pas non plus qu’une récupération importante à partir d’une source en nuage peut être très coûteuse et lente.
- Revoir et tester vos plans de récupération et de sauvegarde existants. Votre plan de sauvegarde et de récupération doit être testé régulièrement pour vous assurer que vous êtes protégé contre les menaces. Découvrir que votre plan de récupération ne fonctionne pas comme prévu seulement après une attaque de ransomware est clairement indésirable. La meilleure stratégie de sauvegarde contre les ransomwares est celle qui n’aura jamais à faire face à des violations de données malveillantes. Travaillez sur plusieurs scénarios différents, vérifiez dans le temps certains de vos résultats liés à la restauration, comme le délai de récupération, et établissez quelles parties du système sont prioritaires par défaut. N’oubliez pas que de nombreuses entreprises peuvent – et doivent – mesurer en dollars par minute le coût de l’interruption des services.
- Clarifiez ou mettez à jour les politiques de conservation et élaborez des programmes de sauvegarde. Un examen régulier de vos stratégies de sauvegarde contre les ransomwares est fortement recommandé. Il se peut que vos données ne soient pas sauvegardées assez souvent, ou que la période de rétention de vos sauvegardes soit trop courte, ce qui rend votre système vulnérable à des types de ransomware plus avancés qui peuvent cibler les copies de sauvegarde via des délais et d’autres moyens d’infection.
- Audit minutieusement tous vos lieux de stockage de données. Pour protéger les sauvegardes contre les ransomwares, celles-ci doivent être auditées pour s’assurer qu’aucune donnée n’est perdue et que tout est sauvegardé correctement – y compris éventuellement les systèmes des utilisateurs finaux, les stockages dans le cloud, les applications et autres logiciels système.
Comment les ransomwares peuvent altérer vos sauvegardes
S’il est vrai que les systèmes de sauvegarde et de récupération sont capables de protéger les organisations contre les ransomwares dans la plupart des cas, ces systèmes ne sont pas les seuls à progresser et à évoluer au fil des ans – car les ransomwares deviennent également de plus en plus inhabituels et sophistiqués au fil du temps.
L’un des problèmes les plus récents de cette approche des sauvegardes est que de nombreuses variantes de ransomwares ont appris à cibler et à attaquer non seulement les données de l’entreprise, mais aussi les sauvegardes de cette même entreprise – ce qui constitue un problème important pour l’ensemble du secteur. De nombreux auteurs de ransomware ont modifié leurs logiciels malveillants pour traquer et éliminer les sauvegardes . De ce point de vue, si les sauvegardes peuvent encore protéger vos données contre les ransomwares – vous devrez également protéger les sauvegardes contre les ransomwares.
Il est possible de comprendre certains des principaux angles qui sont généralement utilisés pour altérer vos sauvegardes dans leur ensemble. Nous allons mettre en évidence les principaux d’entre eux et expliquer comment vous pouvez les utiliser pour protéger les sauvegardes contre les ransomwares :
- Les dommages potentiels des rançongiciels augmentent avec l’allongement des cycles de récupération
Bien qu’il ne soit pas aussi évident que d’autres possibilités, le problème des longs cycles de récupération est encore assez important dans le secteur, et il est principalement causé par des produits de sauvegarde obsolètes qui ne peuvent effectuer que des sauvegardes complètes lentes. Dans ces cas, les cycles de récupération après une attaque de ransomware peuvent prendre des jours, voire des semaines – et c’est un désastre massif pour la majorité des entreprises, car les coûts liés à l’arrêt du système et de la production peuvent rapidement éclipser les estimations initiales des dommages causés par le ransomware.
Deux solutions possibles pour protéger vos sauvegardes contre les ransomwares : a) essayer d’obtenir une solution capable de vous fournir une copie de l’ensemble de votre système aussi rapidement que possible, afin que vous n’ayez pas à passer des jours, voire des semaines, en mode de récupération, et b) essayer d’obtenir une solution offrant une fonction de restauration de masse, permettant de remettre très rapidement en service plusieurs VM, bases de données et serveurs.
- Votre police d’assurance peut également devenir votre responsabilité
Comme nous l’avons déjà mentionné, de plus en plus de variantes de ransomware apparaissent et peuvent cibler à la fois vos données d’origine et vos sauvegardes, ou parfois même essayer d’infecter et/ou de détruire vos données sauvegardées avant de se déplacer vers sa source. Vous devez donc faire en sorte qu’il soit aussi difficile que possible pour les ransomwares d’éliminer toutes vos copies de sauvegarde – une défense à plusieurs niveaux, en quelque sorte.
Les cybercriminels utilisent des attaques très sophistiquées qui ciblent les données et s’attaquent directement à vos sauvegardes, qui constituent votre principale police d’assurance pour le fonctionnement de votre entreprise. Vous devez disposer d’une copie unique des données dans un état tel qu’elle ne puisse jamais être montée par un système externe (souvent appelée copie de sauvegarde immuable), et mettre en œuvre diverses fonctions de sécurité complètes, comme le WORM susmentionné, ainsi que l’isolation moderne des données, le cryptage des données, la détection des altérations et la surveillance des anomalies de comportement des données.
Il existe ici deux mesures que nous pouvons examiner plus en détail :
- Copie de sauvegarde immuable. La copie de sauvegarde immuable est l’une des plus grandes mesures contre les attaques de ransomware – c’est une copie de votre sauvegarde qui ne peut être modifiée en aucune façon une fois que vous l’avez créée. Elle existe uniquement pour être votre principale source de données si vous avez été ciblé par un ransomware et que vous avez besoin de récupérer vos informations telles qu’elles étaient auparavant. Les sauvegardes immuables ne peuvent pas être supprimées, modifiées, écrasées ou modifiées de quelque manière que ce soit, mais seulement copiées vers d’autres sources. Les sauvegardes immuables constituent une défense efficace contre les ransomwares car, comme leur nom l’indique, elles sont immuables. Certains vendeurs présentent l’immuabilité comme étant infaillible, mais en termes de sauvegarde contre les ransomwares, rien de tel. Tout environnement de sauvegarde peut être vulnérable aux attaques de type « sleeper », où le ransomware s’infiltre dans les données et reste dormant pendant un certain temps. Mais vous ne devez pas craindre les attaques par ransomware de sauvegarde immuable. Assurez-vous simplement d’avoir une stratégie holistique qui inclut la détection et la prévention des attaques, et mettez en œuvre une gestion solide des informations d’identification.
- Cryptage des sauvegardes. Il est quelque peu ironique que le chiffrement soit également utilisé comme l’une des mesures pour contrer les attaques de ransomware – puisque beaucoup de ransomware utilisent le chiffrement pour demander une rançon pour vos données. Le chiffrement ne protège pas vos sauvegardes contre les ransomwares et n’empêche pas les exploits. Cependant, dans son essence, le cryptage des sauvegardes est censé constituer une mesure supplémentaire contre les ransomwares, en cryptant vos données dans les sauvegardes afin que les ransomwares ne puissent pas les lire ou les modifier en premier lieu – il transforme vos données structurées en un fouillis de symboles qui ne peuvent pas être remis dans leur état normal sans une clé de cryptage.
- Les problèmes de visibilité de vos données deviennent un avantage pour les ransomwares
De par sa nature, le ransomware est le plus dangereux lorsqu’il s’introduit dans un système mal géré – des « données sombres », en quelque sorte. Là, il peut faire beaucoup de dégâts. Une attaque de ransomware peut crypter vos données et/ou les vendre sur le dark web. Il s’agit d’un problème important qui nécessite les technologies les plus pointues pour être détecté et combattu efficacement.
Si la détection précoce des ransomwares n’est possible qu’avec une solution moderne de gestion des données et un bon système de sauvegarde, la détection de ces menaces en temps réel nécessite une combinaison d’apprentissage automatique et d’intelligence artificielle – afin que vous puissiez recevoir des alertes sur les activités suspectes des ransomwares en temps réel, ce qui accélère d’autant la découverte des attaques.
- La fragmentation des données est une vulnérabilité massive
Il est clair que beaucoup d’organisations traitent régulièrement de grandes quantités de données. Cependant, ce n’est pas tant la taille qui pose problème que la fragmentation. Il n’est pas rare que les données d’une entreprise se trouvent à plusieurs endroits différents et utilisent plusieurs types de stockage différents. La fragmentation peut également créer d’importants caches de données secondaires (qui ne sont pas toujours essentielles aux opérations de l’entreprise) qui peuvent affecter vos capacités de stockage et vous rendre plus vulnérable.
Chacun de ces emplacements et types de sauvegarde ajoute un autre lieu potentiel d’exploitation de vos données par les ransomwares, ce qui rend l’ensemble du système de l’entreprise encore plus difficile à protéger en premier lieu. Dans ce cas, il est recommandé d’intégrer à votre système une solution de découverte des données, qui présente de nombreux avantages, dont une meilleure visibilité de l’ensemble de vos données, ce qui facilite la détection des menaces, des activités inhabituelles et des vulnérabilités potentielles.
- Les informations d’identification de l’utilisateur peuvent être utilisées plusieurs fois pour des attaques de type « ransomware »
Les informations d’identification des utilisateurs ont toujours été l’un des plus gros problèmes dans ce domaine, car elles permettent aux attaquants de ransomware d’accéder facilement à des données précieuses au sein de votre entreprise – et toutes les entreprises ne peuvent même pas détecter le vol en premier lieu. Si vos informations d’identification de l’utilisateur sont compromises, les attaquants de ransomware peuvent exploiter les différents ports ouverts et accéder à vos appareils et applications. Toute la situation concernant les informations d’identification de l’utilisateur s’est aggravée lorsque, à cause de Covid, les entreprises ont été contraintes de passer largement au travail à distance autour de 2019 – et ce problème est toujours aussi présent.
Selon le 2021 Data Breach Investigation Report de Verizon, plus de 60 % des violations de données sur une année ont été réalisées à l’aide d’informations d’identification compromises. Ces vulnérabilités peuvent également affecter vos sauvegardes et les laisser plus exposées aux ransomwares. En général, le seul moyen de lutter contre ce type de faille de sécurité est d’investir dans des contrôles d’accès stricts pour les utilisateurs, notamment des fonctions telles que l’authentification multifactorielle, les contrôles d’accès basés sur les rôles, la surveillance constante, etc.
La menace des ransomwares augmentant (à la fois en fréquence et en sophistication), vous devez vous assurer que vous disposez d’une vérification d’identité solide. Un simple mot de passe composé de 8 caractères peut être craqué en une heure à peine. Avec l’augmentation de la vitesse de traitement des ordinateurs, ce temps ne fera que se raccourcir. Si vous établissez l’identité avec un haut niveau d’efficacité, vous serez en mesure de priver les attaquants de ransomware d’endommager vos données de sauvegarde.
- Testez et re-testez toujours vos sauvegardes
De nombreuses entreprises ne réalisent que leurs sauvegardes ont échoué ou sont trop difficiles à restaurer qu’après avoir été victimes d’une attaque par ransomware. Si vous voulez vous assurer que vos données sont protégées, vous devriez toujours effectuer une sorte d’exercice régulier et documenter les étapes exactes de création et de restauration de vos sauvegardes.
Comme certains types de ransomware peuvent aussi rester en sommeil avant de crypter vos informations, il vaut la peine de tester régulièrement toutes vos copies de sauvegarde – car il se peut que vous ne sachiez pas précisément quand l’infection a eu lieu. N’oubliez pas que les ransomwares ne cesseront de trouver des moyens plus complexes de se cacher et de rendre vos efforts de restauration de sauvegarde plus coûteux.
Conclusion
Pour une protection maximale de vos sauvegardes contre les ransomwares et autres menaces similaires, Bacula Systems conseille vivement à votre organisation de se conformer pleinement aux meilleures pratiques de sauvegarde et de restauration des données listées ci-dessus. Les méthodes et outils décrits dans cet article sont régulièrement utilisés par les clients de Bacula Systems pour protéger leurs sauvegardes contre les ransomwares. Pour les entreprises qui n’ont pas de solutions de sauvegarde de données de niveau avancé, Bacula Systems recommande vivement à ces organisations de procéder à une révision complète de leur stratégie de sauvegarde et d’évaluer une solution moderne de sauvegarde et de récupération.
Téléchargez le livre blanc de Bacula sur la protection contre les ransomwares.