Les ransomwares visent vos sauvegardes !
Depuis quelques années, le ransomware est devenu une activité très lucrative, certains états en font un usage militarisé quand d’autres s'en servent pour gagner de l’argent. Tous les articles qui vous invitent à vous préparer à lutter contre les ransomwares vous diront qu’il y a deux choses à faire :
Prévenir : investir dans la sensibilisation des salariés et tester leur degré de sensibilité au moyen de tests d’intrusion.
Réagir : une fois qu’un ransomware s’est infiltré dans votre périmètre et qu’il se propage dans l’organisation, c’est la rapidité d’intervention de votre équipe IT qui décidera de l’impact sur les opérations.
Mais les cybercriminels lisent les mêmes articles et évoluent constamment. L’un de leurs vecteurs consiste à attaquer la sauvegarde, qu’ils chiffrent pour que vous ne puissiez pas l’utiliser, d’autres corrompent les fichiers de sauvegarde (ex. WannaCrypt0r) et d’autres attaquent les fichiers de sauvegarde de MAC Time Machine ou Windows Volume Shadow Copy Service (VSS).
Comment les entreprises peuvent-elles se préparer pour le jour de l’attaque ?
Dans un précédent article de blog, j’ai déjà évoqué le rôle des instantanés pour identifier une attaque de ransomware active et en quoi ils peuvent permettre une restauration optimale sans qu’il faille déplacer des téraoctets de données depuis la sauvegarde.
Toutefois, si des criminels recherchent activement les moyens de corrompre des sauvegardes, on peut partir du principe qu’ils cherchent également à les supprimer, et nous devons nous préparer de façon proactive à cette éventualité, car nul ne souhaite être le premier à constater que ses instantanés ont été supprimés par la dernière variante de ransomware en circulation (qui s’appelle probablement WannaSnap…).
A ce stade, les clients auront raison de demander pourquoi on n’a pas recours à des sauvegardes déconnectées, pourquoi prendre le risque d’exposer des sauvegardes en ligne dans un tel contexte ? Le délai de restauration est décisif ici. Une entreprise qui doit restaurer de gros volumes de données à partir de bandes aura besoin de beaucoup de temps pour ce faire, avec des répercussions directes sur les clients et le chiffre d’affaires.
C’est aussi une question de capacité de restauration, car les sauvegardes sur bandes ne sont pas toujours restaurables (pour le dire gentiment) ; certains clients rapportent que 94% seulement de leurs sauvegardes étaient restaurables le jour de la sauvegarde et que ce pourcentage diminue avec le temps.
Les sauvegardes en ligne peuvent-elles être protégées des ransomwares ?
La réponse est Oui ! Il convient de mettre en place des mécanismes de sécurité adaptés pour convertir un instantané en un instantané WORM (Write Once Read Many), impossible à modifier ou à supprimer jusqu’à un certain délai où le verrouillage est levé. Dans le même temps, nous voulons que l’instantané reste parfaitement opérationnel et qu’il préserve ses capacités originelles :
Qu’il soit restaurable (dans tous les cas, pas juste en cas de ransomware)
Qu’il permette la gestion de copies des données aux fins de test & dev
Qu’il soit accessible aux utilisateurs : en stockage NAS, les instantanés WORM devraient toujours être accessibles via le dossier caché .snapshot / .ckpt pour la restauration par l’utilisateur
Autres scénarios d’utilisation
Other use cases
Les instantanés WORM peuvent servir dans d’autres contextes :
Protection contre l’erreur humaine : les humains sont à l’origine de la plupart des défaillances IT. Il est toujours bon d’entourer l’administrateur de défenses. Il est possible notamment de verrouiller les instantanés pour empêcher toute suppression accidentelle avant la fin de la règle de rétention.
Conservation juridique : dans certaines situations, la loi impose que les données demeurent accessibles pendant une longue durée afin de protéger les preuves, préserver l’efficacité de découverte, etc. Le verrouillage d’une copie des données permet de préserver l’accès dans la durée. Et la durée de verrouillage peut être prolongée au besoin.
Longtemps mais pas trop
Quiconque a déjà travaillé avec des solutions WORM connaît cette histoire d’un administrateur du stockage qui a accidentellement verrouillé un gros dossier pour une trop longue durée (j’ai déjà vu un dossier verrouillé pour 70 ans, pas par mois heureusement...). Ceci induit de grosses dépenses pour l’entreprise qui invite alors le salarié à mettre toutes ses affaires personnelles dans un carton et à prendre la porte. Les solutions WORM devraient donc proposer des protections contre les délais de rétention déraisonnables. Ces protections devraient être configurables en fonction de l’utilisation prévue, sachant que les clients du secteur de la finance doivent souvent conserver les données 7 ans, alors que les hôpitaux doivent les conserver 80 ans.
Présentation de SnapSecure
SnapSecure est une des dernières actualités d’INFINIDAT, disponible sous forme de mise à niveau gratuite pour tous nos clients ayant un contrat de support en règle (j’écrirai bientôt un article sur la philosophie qui sous-tend l’absence de licences). SnapSecure permet aux administrateurs du stockage de programmer un délai de rétention sur l’instantané, pour la suppression / modification des données, tout en conservant l’ensemble des capacités précitées d’un instantané.
Comme l’accès à InfiniBox se fait via l’API et que l’API empêche toute modification, même si le ransomware était capable d’usurper les identifiants admin, il ne pourrait pas corrompre ou supprimer vos sauvegardes. Ainsi, vous pouvez compter dessus pour restaurer vos données en moins d’une seconde et reprendre rapidement le cours de vos opérations.
Concernant le scénario de la « conservation juridique », l’admin qui étudie une copie WORM où le délai de rétention a expiré doit pouvoir dire si les données sont toujours dans leur état d’origine (sans avoir été modifiées) ou si des utilisateurs y ont eu accès avec le risque qu’ils aient pu apporter des modifications. C’est plus facile avec SnapSecure puisque les instantanés se classent désormais en 3 catégories (voir la capture d’écran ci-après) :
Verrouillé : impossible de changer/modifier l’instantanée, le cadenas est fermé
Expiré : le cadenas qui verrouillait l’instantané a expiré mais les données n’ont jamais été modifiées, le cadenas est ouvert.
Les données n’ont jamais été verrouillées ou ont été verrouillées mais modifiées entre temps, aucun symbole
Capture d’écran 1 : instantanés dans différents états WORM
Ainsi, les administrateurs qui souhaitent étendre la durée de conservation juridique d’un instantané peuvent être certains que les données n’ont jamais été touchées y compris en mode déverrouillé.