Quand on regarde le nombre d’organisations qui se sont vues forcées à payer une rançon, il est évident que les moyens de protection actuels ne sont pas à la hauteur. Lors d’une attaque, on estime qu’en moyenne les pirates ont pénétré votre réseau depuis environ 200 jours et ce, avant même de déclencher l’encryption de vos données. Un temps précieux qui souvent leur a permis de comprendre les ramifications de votre réseau et surtout, d’attaquer vos mesures de protection telles que les sauvegardes et votre site de recouvrement.
L’approche traditionnelle fait défaut sur plusieurs plans :
- Les stations de travail des utilisateurs sont rarement équipées de solutions de protection performantes, qui soient « à jour » et complètes
- Les fonctions de protection de base (ex. Windows) sont souvent désactivées
« par défaut » sur les postes de travail - Les accès à distance au réseau de l’entreprise (ex. VPN, RDP, etc) présentent d’importantes vulnérabilités souvent non-corrigées
- Rares sont les organisations qui ont mis en place des services connectés de surveillance de la sécurité et de détection préventive d’intrusion
- Les données placées sur les serveurs et les systèmes de fichiers sont rarement cryptées
- Les infrastructures de sauvegarde connectées au réseau deviennent elles-mêmes des cibles prioritaires pour les pirates.
- La réplication des données vers un 2e site (ex. site de relève) ne fait qu’accélérer la propagation du problème
- Le processus de recouvrement, à partir de rubans (tapes), peut prendre des semaines alors que les pertes financières liées à une attaque ransomware s’accumulent chaque jour.
- Les plans offerts de cyber-assurances sont hautement complexes et ne couvrent qu’une infime partie des pertes potentielles.
L’urgence de mettre en place de nouvelles façons de faire
Premièrement, il faut s’arrêter et mieux comprendre comment prennent forme et se propagent ces attaques. Être conscients que celles-ci sont constamment appelées à évoluer et qu’il faut donc une approche de protection qui soit globale et dynamique. Il faut accroitre la sensibilisation et la formation du personnel, revoir sur une base régulière les pratiques à risque qui souvent, mènent à propager l’attaque vers d’autres collègues, ou encore sur le réseau en étant mal préparés à gérer un tel incident.
Sur le plan technologique, certaines innovations dans le domaine de la sécurité viennent franchement aider à la détection, à l’isolation et l’automatisation des mécanismes de défense afin de limiter la portée des attaques. Elles viennent également accélérer le recouvrement des systèmes et des données.
En voici un excellent exemple :
Sur le plan de la protection des données, les organisations utilisent en général une approche que l’on appelle « stratégie multi-couches » ou « multi-tiers ». On qualifie les données de l’entreprise selon… la valeur des données, leur niveau d’importance (RTO / RPO), les politiques de l’entreprise, l’âge des données, les niveaux de performance, de disponibilité ou de sécurité requis ou leur coût. Puis, on se sert ensuite de la technologie et de politiques logicielles pour faciliter le déplacement des données sur les différentes « couches » de l’infrastructure. On parle en général de :
- Stockage primaire
- Stockage secondaire
- Protection sur rubans
- Cloud
Au minimum, on se sert de deux de ces couches. Les couches stockage primaire et secondaire résident souvent « sur site », à même le centre de données de l’entreprise. Ces données placées sur des technologies Flash ou sur disques visent à assurer un accès performant et un recouvrement rapide en cas de besoin.
Avec la quantité des données qui explosent et qui deviennent de plus en plus difficiles à gérer, plusieurs entreprises ont pris avantage d’unités de stockage secondaire. Celles-ci sont équipées de technologies de compression et de déduplication pour entreposer un maximum de données tout en consommant moins d’espaces de stockage. Malgré cela, les seuils de croissance observés forcent les équipes TI à devoir libérer ces « appliances spécialisés » de manière régulière en envoyant les données vers un média de stockage à plus long terme. Pour ce faire, certaines entreprises utilisent des librairies et systèmes à rubans (tapes), d’autres se servent aujourd’hui activement du Cloud.
Le défi est donc d’étendre correctement la gestion de la sécurité des données à chacune de ces couches dans une approche qui soit simple, cohérente et intégrée. Aussi, de le faire en s’assurant de répondre aux attentes des groupes d’affaires quant aux niveaux de services (SLA), au Recovery Point Objective (RPO) et au Recovery Time Objective (RTO) visés par l’organisation.
La règle 3-2-1
Beaucoup d’entreprises utilisent le principe de la règle « 3-2-1 » qui consiste à :
- Toujours avoir trois (3) copies des données
- Deux (2) copies des données maintenues sur site, sur deux médias différents. L’une sur une unité de stockage primaire (ex. Système de disques PureStorage FlashBlade® ou la solution HCI VMware vSAN) et l’autre, sur une unité tel qu’un « appliance spécialisé » (ex. Pure & Cohesity FlashRecover®)
- Ensuite, de placer une (1) copie des données répliquées hors site, sur une autre unité tel qu’un appliance (ex. Pure & Cohesity FlashRecover®), sur une librairie à ruban ou sur le Cloud (ex. Azure, AWS) selon les RPO et RTO visés.
Les principes d’une voûte de cyber-recouvrement
À la différence d’une infrastructure sauvegarde ou d’un site de relève complet, une voûte de cyber-recouvrement, tel que proposée par PureStorage et Cohesity avec FlashRecover® est une solution spécifiquement axée sur la protection des données essentielles et leur recouvrement en cas d’une cyber-attaque.
- On identifie au préalable les ensembles de données et données de configuration-systèmes les plus critiques pour l’entreprise
- Ces données critiques sont placées de façon isolée dans une voûte électronique, en dehors de l’ensemble du réseau, sans aucun lien IP externe vers cette voûte
- On se sert de politiques logicielles automatisées qui voient à crypter et à synchroniser les données une fois par jour par voie de réplication, en coupant la liaison entre chaque séquence (AIR GAP)
- La cible du logiciel de sauvegarde gère la réplication ainsi qu’un processus continu d’analyse de la sécurité et de l’intégrité des données au repos.
- Ces données placées à l’externe dans la voûte sont cryptées. Gérées au travers de comptes d’accès distincts d’officiers autorisés et désignés par l’entreprise
- On garde également la copie des « images gold » des principaux systèmes de l’entreprise et des codes sources exécutables des applications jugées les plus critiques afin de pouvoir accélérer leur récupération
Les différents principes appliqués dans la création d’une voûte de cyber-recouvrement s’inspirent de l’approche « Sheltered Harbor ». Cette dernière se compose d’un ensemble de règles et de pratiques de sécurité éprouvées et modernes qui visent à garantir la confiance dans l’intégrité des systèmes financiers aux États-Unis et à travers le monde. Les solutions de voûtes de cyber-recouvrement déployées au Canada par nos gouvernements, plusieurs institutions et entreprises du secteur privé s’en inspirent.
Contrer les attaques grâce au duo PureStorage et Cohesity
Par leur alliance, PureStorage et Cohesity cherchent à aider les entreprises à minimiser leurs risques en proposant une solution simple et intégrée de bout en bout. La solution combinée de leurs technologies s’appelle Pure FlashRecover® – Powered by Cohesity et s’intègre à votre architecture d’entreprise pour simplifier votre stratégie et vos opérations de cyber-protection.
Du côté PureStorage
- Sur le plan de la sécurité, la fonctionnalité Pure SafeMode® permet de créer de façon automatisée des copies instantanées (snapshots) qui ne peuvent être altérées ou modifiées et ce, même par un administrateur.
- La technologie Pure FlashBlade® combine à la fois la gestion des charges de stockage de types fichiers et objets. PureStorage apporte ainsi à votre entreprise une solution complète pour protéger tous ses types de données et d’applications.
- L’utilisation de systèmes FlashBlade® apporte des performances et une puissance de traitement de loin supérieure (en comparaison aux traditionnels PBBAs – Purpose-Built Backup Appliance ou librairies à rubans) pour permettre un recouvrement ultra-rapide de vos données en cas d’attaque.
- L’ensemble de la solution peut facilement s’intégrer à différents scénarios de solution qui incluent également le Cloud public.
Du côté Cohesity
- Les données placées dans la voûte de cyber-recouvrement sont ainsi stockées, cryptées par un algorithme intelligent (WORM DataLock®) et deviennent ainsi immuables et immunisées contre toute forme d’attaques Ransomware.
- La plateforme logicielle Cohesity voit à faciliter la centralisation et la protection de l’ensemble de vos données provenant de différentes applications, plateformes et/ou du Cloud.
- Elle utilise les principes de politiques logicielles automatisées pour appliquer à chacun des types de données les mesures de protection appropriées (politiques basées sur les requis RTO / RPO, sécurité, exigences de conformité, etc.).
- Elle traite et elle optimise vos données grâce à ces fonctionnalités avancées de déduplication, compression, cryptage, archivage, WORM Data Lock®, etc.
- Elle gère les mécanismes de réplication vers la voûte de Cyber-recouvrement (air-gap), que celle-ci soit physique « sur site» ou sous la forme d’un appliance « virtuel » sur le Cloud.
En combinant les deux technologies, la solution Pure FlashRecover® – Powered by Cohesity permet, selon différents scénarios d’architecture à 1, 2 ou plusieurs sites ROBO, de mettre en place les principes d’une voûte de cyber-recouvrement et d’assurer un niveau de protection optimal de vos données et systèmes critiques.
L’efficacité et la vitesse de recouvrement sont également des facteurs déterminants dans le cas d’une attaque ransomware. En ce sens, la solution Cohesity apporte à la solution des capacités de recherche avancée, de récupération des données et de recouvrement granulaires et assistées par le logiciel. Ceci permet de créer des tiers de services alignés aux niveaux SLAs de l’organisation, de programmer des politiques et de pouvoir ainsi prioriser les activités de reprise les plus essentielles. Quant à la technologie FlashBlade® de Pure, elle amène la puissance et la performance requises aux opérations de recouvrements de masse d’environnements de fichiers, BDs, VMs, Sharepoint, etc.) en se basant notamment sur des copies instantanées fiables et intègres.
Tel que mentionné, de multiples scénarios de déploiement de la solution sont possibles. Plusieurs intègrent également le Cloud public pour ceux qui préfèreraient une solution en mode IaaS.
Site d’introduction sur la solution FlashRecover® de PureStorage et Cohesity :
Meilleures pratiques de protection contre les attaques Ransomware
Bien évidemment, le volet présenté de protection des données et de mise en place d’une voûte de cyber-recouvrement n’est qu’un seul aspect dans la lutte contre les attaques ransomware. Plusieurs autres éléments de solution entrent en ligne de compte et sont aussi importants à évaluer.
En voici quelques-uns :
- Voir à l’application systématique et automatisée des correctifs logiciels disponibles pour les vulnérabilités connues du côté des postes clients, du réseau et des environnements serveurs6
- S’assurer que les postes clients de l’entreprise soient protégés efficacement contre les ransomware et autres malwares (ex. suite de protection VMware CarbonBlack)
- Évaluer la possibilité de virtualiser vos postes de travail pour centraliser la gestion de vos données et le contrôle de la sécurité des postes depuis votre centre de données (ex. solution VDI VMware Horizon)
- Mettre en place une solution de pare-feux intelligents d’entreprise avec services gérés de détection d’intrusion (ex. Palo Alto Networks)
- Faire régulièrement une revue des possibles failles de sécurité avec les membres de votre équipe TI interne
- Utiliser une approche de segmentation du réseau (microsegmentation), et d’isolation des sous-réseaux afin de limiter la portée d’une attaque6
(ex. VMware NSX-T) - S’assurer de corriger les vulnérabilités telles que « Zerologon »qui peuvent accélérer la prise de contrôle du domaine Active Directory si les correctifs ne sont pas appliqués6
- Revoir l’infrastructure Active Directory afin qu’elle soit solidement protégée et pensée de manière robuste, en tiers distincts selon la criticité des rôles6
- S’assurer que des sauvegardes de vos données sont prises quotidiennement, idéalement selon les principes de la règle 3-2-1
- Qu’une copie de ces données soit cryptée et placée dans une voûte externe de cyber-recouvrement, déconnectée du réseau de l’entreprise
- Procéder régulièrement à des exercices de tests des processus de recouvrement des données et des systèmes (au moins 4x / année)6
- Continuer à faire évoluer et à mettre à jour vos pratiques de sécurité en fonction de l’analyse des tendances et de l’évolution de la nature des attaques6
Source 6: CISA – https://www.cisa.gov/publication/ransomware-guide
Prochaine étape
Selon où se situe votre équipe dans sa démarche, sachez que les membres de notre groupe de services professionnels peuvent vous aider. En commençant par poser les bonnes questions et en vous guidant une étape à la fois. Nous pouvons vous apporter conseil et vous appuyer pour rapidement pour mettre en place une stratégie de protection adaptée à votre organisation.
Questions
N’hésitez pas à nous envoyer vos questions ou vos commentaires. Contactez-nous.
Au plaisir de pouvoir discuter avec vous des solutions de protection possibles.
Manuel Abellan
Conseiller-expert, Stockage et protection des données
PCD Solutions, membre du groupe Converge