Temps de lecture : 9 minutes L'architecture de données immuables signifie que les données d'un fichier, une fois écrites, ne peuvent pas être modifiées. Et si elles ne peuvent pas être modifiées, elles ne peuvent pas être cryptées par un ransomware.
Dark Reading a récemment rapporté qu'une entreprise du Fortune 50 a payé ce qui est considéré comme la plus grande demande de ransomware à ce jour - un montant stupéfiant de 75 millions de dollars.
Parmi les autres attaques notables de ces dernières années, on peut citer Caesars Palace avec 15 millions de dollars versés, CNA Financial - l'une des plus grandes sociétés de cyberassurance des États-Unis - avec 40 millions de dollars versés, et Change Healthcare.
Le paiement de 5 millions de dollars à des pirates informatiques par Colonial Pipeline n'a guère contribué à son rétablissement, après qu'une attaque de ransomware sur ses systèmes a entraîné des perturbations dans l'approvisionnement en carburant le long de la côte Est. En supposant que l'entreprise ait continué à utiliser des sauvegardes pour restaurer les données comme indiqué, en raison de la lenteur du décrypteur fourni, l'expérience de Colonial met en évidence l'un des principaux inconvénients du paiement d'une rançon.
L'escalade continue de la fréquence des attaques, les demandes de ransomware et les tactiques utilisées, notamment l'exposition publique de données sensibles si les entreprises ne paient pas la rançon, nous montrent que ces attaques sont plus que lucratives pour les criminels qui en sont à l'origine. Le risque de découverte restant faible, et devenant encore plus faible avec l'essor des logiciels criminels en tant que service, il y a peu de chances qu'une entreprise échappe à une attaque à un moment ou à un autre. En fait, un nombre croissant d'organisations ont été touchées plus d'une fois.
Qu'est-ce qu'un ransomware et comment perturbe-t-il le fonctionnement des entreprises ?
Un ransomware est un type de logiciel malveillant ou de code logiciel conçu pour bloquer l'accès à vos données critiques, généralement en chiffrant ces données de sorte que vos fichiers ne puissent être ouverts ou consultés de quelque manière que ce soit. Certaines variantes modifient l'extension des fichiers, tandis que d'autres se contentent de les crypter.
Les pirates demandent alors une rançon (souvent en bitcoins) en échange de clés de décryptage, ou d'un décodeur permettant de rétablir l'accès à vos données.
C'est la version numérique du kidnapping : vos données sont retenues en otage et le kidnappeur cherche à vous faire payer pour les récupérer en toute sécurité.
Les attaques sophistiquées par ransomware - financées par des paiements de rançon antérieurs - sont spécifiquement conçues pour être difficiles à protéger et à détecter rapidement. Il est également extrêmement difficile de les arrêter, car elles chiffrent souvent un réseau au point que les victimes d'attaques par ransomware ne savent plus quelles sont leurs options et pensent parfois qu'elles n'ont pas d'autre choix que de payer la rançon.
Du point de vue de l'attaquant, le succès ou l'échec de toute attaque dépend de votre capacité à rétablir l'accès à vos données, à moins que la rançon ne soit payée.
Par conséquent, les attaquants ciblent souvent les sauvegardes, et en premier lieu les instantanés, afin de limiter les options de restauration. Les entreprises n'ont alors plus que des sauvegardes hors site, peut-être même sur bande, à partir desquelles elles peuvent restaurer leurs données. Le fait de devoir compter sur les sauvegardes peut entraîner une énorme perte de données et le processus est si lent que la restauration risque de prendre des semaines, voire des mois.
Lorsqu'une attaque frappe, les équipes informatiques doivent tenter de l'identifier, de trouver d'où elle vient, de la ralentir et, si possible, de l'arrêter avant qu'elle ne crypte des réseaux entiers. Si elles peuvent localiser un ordinateur portable ou un serveur infecté, par exemple, le déconnecter du réseau peut aider à contenir et à minimiser les dégâts.
Souvent, les attaques se traduisent par une saturation du processeur, ce qui rend extrêmement difficile pour les administrateurs de systèmes l'accès aux infrastructures critiques telles que les serveurs.
Une fois l'attaque stoppée, les équipes informatiques et SecOps sont en mode reprise après sinistre. Elles sont confrontées à l'énorme tâche d'identifier les fichiers, dossiers et répertoires cryptés et de déterminer s'ils peuvent être décryptés ou si leurs processus de récupération des données peuvent restaurer des données vierges tout en minimisant la perte de données.
Pendant ce temps, les utilisateurs sont bloqués hors des réseaux et les entreprises subissent les coûts des temps d'arrêt, des pertes de données et de l'échec des efforts de restauration.
bat365L'approche du stockage immuable de bat365 , qui permet de récupérer rapidement des données de fichiers vierges à partir d'instantanés immuables pris à des intervalles granulaires, signifie que les clients de peuvent éviter de payer des rançons et reprendre leur productivité avec un minimum d'interruption.
Comment un ransomware pénètre-t-il dans un réseau ?
Les rançongiciels peuvent être diffusés par des méthodes d'ingénierie sociale telles que les faux courriels, les spams, les pages web, les téléchargements de logiciels gratuits, les fausses mises à jour de logiciels et même les messages instantanés sur le web.
Elles sont spécifiquement conçues pour réussir en faisant en sorte que l'utilisateur soit le plus susceptible possible d'être trompé.
Par exemple, un matin, vous recevez un courriel urgent de votre PDG (le courriel comporte son nom et son adresse électronique dans le champ "De :") vous demandant d'expliquer la facture jointe sous la forme d'un fichier PDF.
Il semble authentique, alors vous ouvrez la pièce jointe. Le PDF contient un document Word intégré, et vous contournez l'analyse du fichier en disant qu'il est "OK" pour l'ouvrir. Le document Word contient une macro Visual Basic qui télécharge le ransomware et l'exécute.
Il n'en fallait pas plus. Vous êtes maintenant infecté par un ransomware qui commence immédiatement à crypter les données, non seulement sur votre ordinateur portable, mais aussi sur le disque dur du réseau.
Les attaquants sont connus pour modifier les extrémités des câbles de chargement USB et pour laisser ces câbles dans des endroits très fréquentés. Ces câbles sont rapidement ramassés et, à un moment donné, ils sont susceptibles d'être branchés sur un ordinateur portable ou de bureau afin de recharger un téléphone.
À ce moment-là, le logiciel malveillant est en place. Conçu pour causer un maximum de dégâts, il restera inactif jusqu'à ce que le même appareil soit connecté à un réseau d'entreprise, auquel cas il s'exécutera à pleine vitesse dans le réseau de fichiers.
Une défense complète contre les ransomwares est-elle possible ?
Il est exceptionnellement difficile de se défendre contre les ransomwares. En fait, étant donné le volume et le succès des attaques au niveau mondial, il semble raisonnable de conclure qu'une défense impénétrable contre les ransomwares pourrait être impossible.
Les outils anti-ransomware disponibles peuvent et vont repousser de nombreuses tentatives et, s'ils sont tenus à jour, ils contribueront certainement à sécuriser votre infrastructure et à vous défendre contre les cyberattaques.
Ils sont particulièrement doués pour reconnaître et rejeter les pièces jointes des courriels, ce qui explique en partie pourquoi les attaques se sont déplacées vers des méthodes d'injection directe dans un réseau.
Les logiciels défensifs tels que bat365 Detect and Rescue sont extrêmement efficaces pour la détection précoce dans CloudFS et peuvent automatiquement arrêter les attaques au niveau de l'utilisateur affecté, de sorte que si le ransomware viole votre première ligne de défense, il minimisera les dégâts.
Toutefois, cette solution ne suffit pas à elle seule, car ces solutions sont réactives de par leur nature même. Elles réagissent aux ransomwares lorsqu'elles les reconnaissent, et il faut donc qu'une attaque se produise pour qu'elles entrent en action. La nature insidieuse des ransomwares signifie que des données peuvent encore être modifiées ou supprimées avant qu'une attaque puisse être maîtrisée.
Une réponse plus complète réside dans la protection contre les ransomwares.
L'enlèvement contre rançon n'est efficace que lorsque la personne ou l'objet pris en otage a une telle valeur pour le propriétaire qu'il est prêt à payer pour le récupérer sain et sauf. À l'ère du numérique, les données ont pris une valeur immense, car sans elles, une organisation ne peut tout simplement pas fonctionner.
Les statistiques sont très claires : si une entreprise perd l'accès à ses données critiques pendant 10 jours ou plus, elle n'a que 7 % de chances de survivre au cours des 12 mois suivants . Les données sont donc la chose la plus précieuse qu'une organisation possède et la plus importante à protéger.
Si l'on part du principe qu'il n'est pas possible d'empêcher les ransomwares de pénétrer dans l'entreprise, la protection contre les ransomwares passe par la protection des données. Un moyen efficace d'y parvenir est de conserver un ensemble de données vierges qui peuvent être rapidement restaurées sans perte de données et avec un minimum d'interruption.
En termes de kidnapping, vous n'essayez plus d'empêcher quelqu'un d'être kidnappé. Au contraire, vous faites en sorte qu'il soit impossible de prendre en otage autre chose qu'un hologramme de cette personne. Pendant ce temps, la personne réelle n'est jamais en danger.
Introduction du stockage de données immuables
En raison du stockage de données qui doivent être modifiables, les systèmes de fichiers hérités sont intrinsèquement vulnérables aux ransomwares. Lorsqu'ils sont attaqués, ils font exactement ce pour quoi ils sont conçus, et permettent la modification de vos fichiers.
Le stockage immuable, associé à un système de fichiers en nuage hybride immuable capable de gérer les données de fichiers au niveau le plus granulaire possible, modifie votre position face aux ransomwares et aux logiciels malveillants, car il est fondamentalement résistant aux attaques. Au lieu d'être une solution de défense ou de protection, il réduit l'impact et la propagation d'une attaque en n'étant pas affecté par celle-ci.
Le stockage immuable est rendu possible par une plateforme de fichiers en nuage hybride intelligente telle que bat365 CloudFS, qui adopte une approche élégante et moderne des données de fichiers et vous permet d'utiliser le stockage d'objets, que ce soit dans un nuage public, un nuage privé ou un nuage totalement obscur.
Pour l'utilisateur, CloudFS ressemble à n'importe quel autre système de fichiers. Les fichiers peuvent être ouverts, modifiés et enregistrés, copiés ou supprimés - par tout utilisateur autorisé, à n'importe quel endroit - en temps réel.
En coulisses se trouve une structure de stockage radicalement différente, beaucoup plus simple et infiniment plus robuste.
CloudFS est en fait un système de fichiers immuable. Il s'agit d'une plateforme de fichiers en nuage hybride reposant sur un système de fichiers global qui stocke les données de fichiers sous forme de blocs dans un stockage d'objets - dans le nuage ou sur site - comme un ensemble de données unique faisant autorité à partir duquel chaque utilisateur de l'organisation peut travailler. L'emplacement de l'utilisateur et le nombre de sites de l'organisation ne font aucune différence pour ce système de fichiers global évolutif ; chaque utilisateur a l'impression d'utiliser un fichier local, bien que les données elles-mêmes soient stockées à des centaines, voire des milliers de kilomètres.
Ces blocs de données sont immuables, c'est-à-dire qu'ils sont stockés dans le format "Write Once, Read Many" (écriture unique, lecture multiple) pris en charge par le stockage d'objets, de sorte qu'une fois dans le stockage d'objets, ils ne peuvent être ni modifiés, ni édités, ni écrasés. Par conséquent, ils sont imperméables aux logiciels malveillants ainsi qu'aux dommages ou suppressions accidentels de données résultant d'une erreur humaine.
Les pointeurs de métadonnées sont utilisés pour enregistrer les blocs qui composent un fichier à un moment donné. Lorsque les utilisateurs créent ou modifient des fichiers, les blocs de données modifiés sont déplacés vers le stockage d'objets toutes les 60 secondes et sont stockés en tant que nouveaux blocs de données. Dans le même temps, les pointeurs de métadonnées sont mis à jour pour refléter les nouveaux blocs qui forment le fichier.
Par exemple, si un document de 4 pages enregistré appelé fileone.docx est composé des blocs A, B, C et D, et que le document est modifié aujourd'hui, il peut maintenant être composé des blocs A, B, C et E. Le nouveau bloc E contient des données que le système de fichiers n'a pas vues auparavant, il est donc déplacé vers le magasin d'objets et les pointeurs de métadonnées enregistrent que A, B, C et E sont nécessaires pour ouvrir la version actuelle de ce fichier.
Des instantanés immuables sont pris au niveau du nœud local toutes les 60 secondes et sont utilisés pour transférer les données modifiées vers le magasin d'objets. CloudFS permet à chaque emplacement du système de fichiers de communiquer avec tous les autres emplacements afin de faciliter l'échange en temps réel des données nouvelles et modifiées, même si elles n'ont pas encore atteint le stockage d'objets. Cela se traduit par un RPO de moins de 60 secondes pour l'ensemble du système, quel que soit le lieu d'origine ou de dernière modification des données.
Ces blocs de données immuables sont en outre protégés par des instantanés immuables à l'échelle du système de fichiers, qui sont pris à des intervalles configurables, la valeur par défaut étant de 60 minutes.
Étant en lecture seule, ces instantanés sont également à l'abri des ransomwares, et ils permettent de restaurer les données de manière granulaire à n'importe quelle version antérieure, sans perdre de données valables.
Supposons qu'après avoir modifié, enregistré et fermé fileone.docx, vous vous rendiez compte que vous avez accidentellement supprimé un texte essentiel.
En temps normal, ces données seraient perdues si elles n'étaient pas capturées par une sauvegarde du système, qui ne s'exécute généralement qu'une fois par jour. Avec bat365 CloudFS, il vous suffit de cliquer avec le bouton droit de la souris sur le document à partir de l'explorateur de fichiers Windows et de le restaurer dans la version créée par l'instantané qui a été pris avant que vous ne fassiez vos modifications.
Des données et des instantanés immuables pour contrer les attaques de ransomware
En cas de chiffrement par ransomware, un code malveillant est inséré dans vos fichiers et les modifie. bat365 CloudFS reconnaît les données de fichier modifiées et les blocs de données chiffrées qui en résultent sont écrits dans le magasin d'objets en tant que nouvelles données.
Un système de stockage traditionnel permet d'éditer un fichier au moment où ce code est inséré, modifiant ainsi le fichier lui-même. En revanche, lorsque fileone.docx est infecté par un ransomware sur CloudFS, il est désormais composé de blocs de données totalement nouveaux - F, G, H et I, par exemple.
Étant donné que CloudFS préserve les données existantes sous forme d'objets originaux dans le magasin d'objets, tout fichier crypté par le code du ransomware peut être immédiatement rétabli dans son état antérieur à l'infection, à l'aide d'instantanés. Cette opération peut être effectuée facilement pour un seul fichier, des répertoires entiers ou même l'ensemble du système de fichiers global.
Avec les solutions de stockage immuable de bat365, vos fichiers ne sont pas du tout cryptés. Au lieu de cela, les pointeurs de fichiers pointent maintenant vers des blocs de données contenant du chiffrement. En revenant à l'instantané antérieur à l'attaque, vous revenez à des blocs de données propres... et vos fichiers intacts sont de retour. En reprenant notre exemple de fileone.docx, il vous suffit de restaurer l'instantané où les pointeurs de métadonnées enregistrent les blocs A, B, C et E, et fileone.docx est de nouveau opérationnel.
Cela rend le chiffrement des ransomwares inoffensif pour votre entreprise et futile pour l'attaquant, puisqu'il dépend de la vente de la clé de déchiffrement de vos données pour que vous puissiez à nouveau accéder à vos fichiers. Lorsqu'il est aussi facile d'accéder à vos données que de les restaurer à partir d'un instantané, vous n'avez pas besoin d'une clé de décryptage.
Protection contre l'exfiltration de données de fichiers
Les ravisseurs savent depuis longtemps que leurs chances d'être payés rapidement augmentent s'ils peuvent prouver qu'ils sont prêts à faire du mal à leurs otages. L'équivalent numérique est la publication en ligne des données de leurs victimes - les dossiers confidentiels de patients ou de clients, par exemple.
Cette menace d'exfiltration augmente de façon exponentielle le risque de ne pas payer, car les organisations peuvent désormais être responsables des atteintes à la vie privée, sans parler du manque de confiance qui en résulte de la part des personnes qu'elles servent.
Les meilleurs systèmes de fichiers modernes, y compris bat365 CloudFS, utilisent un cryptage de niveau militaire pour les données à la périphérie, dans le magasin d'objets et en vol lorsque les données sont déplacées vers et depuis le stockage en nuage. Cela fournit une couche d'obscurcissement de sorte que les données interceptées ne peuvent pas être déchiffrées. Toutefois, si un pirate accède à un système de fichiers afin de pouvoir les modifier, il peut les lire.
La détection en temps quasi réel par des solutions telles que Detect and Rescue est donc d'autant plus importante qu'elle permet de repérer les attaques les plus subtiles et de les arrêter avant que des données importantes ne puissent être exfiltrées.
Il existe une myriade de raisons de remplacer le stockage NAS existant dans les entreprises ou les organisations du secteur public. Souvent, l'impulsion vient d'un mandat de transformation numérique, ou de la maîtrise des données non structurées pour éviter d'acheter un autre NetApp ou Isilon.
Cependant, la protection des données inhérente à l'infrastructure de données immuables offerte par les solutions de fichiers en nuage hybride telles que bat365 est devenue si précieuse que les décideurs avisés la classent parmi d'autres considérations relatives au coût total de possession.
Soyons honnêtes, même lorsqu'il y a une mission de transformation numérique, le coût est un facteur énorme. Le coût d'une attaque de ransomware est si élevé que l'atténuation de ce risque par une solution capable de repousser les attaques - tout en consolidant les données et en réduisant les coûts, et en fournissant une approche moderne et élégante des données non structurées - est logique à tous points de vue.
Rééquilibrer le rapport de force dans la lutte contre les ransomwares.
Parlons-en
Que vous soyez prêt à parler à notre équipe de vente ou que vous souhaitiez simplement obtenir plus d'informations, nous sommes là pour vous aider. Utilisez notre assistant numérique pour nous contacter ou demandez une démonstration.