Unearchitecture de données immuables signifie que les données, une fois écrites, ne peuvent pas être modifiées. Et, si elles ne peuvent pas être modifiées, elles ne peuvent pas être cryptées par un ransomware.
In Avril 2021, Security Boulevard published details on just a few of the notable ransomware attacks that had taken place in just the first quarter of 2021. They include CNA Financial – one of the largest cyber insurance firms in the USA, London-based education facility Harris Federation, IoT device manufacturer Sierra Wireless and Canadian plane manufacturer Bombardier.
Le géant de l'informatique Acer a été frappé par ce qui serait la plus importante demande de rançon à ce jour, les attaquants exigeant la somme incroyable de 50 millions de dollars pour la restitution de leurs données non cryptées.
Le paiement de 5 millions de dollars effectué par Colonial Pipeline à des pirates informatiques n'a guère contribué à son rétablissement, après qu'une attaque de ransomware sur ses systèmes a entraîné des perturbations de l'approvisionnement en carburant le long de la côte Est. En supposant que l'entreprise ait continué à utiliser des sauvegardes pour restaurer les données comme indiqué, parce que le décrypteur fourni était si lent, l'expérience de Colonial met en évidence l'un des principaux inconvénients du paiement d'une rançon.
L'augmentation de la fréquence des attaques, la demande de rançongiciels et les tactiques, notamment l'exposition publique de données sensibles si les entreprises ne paient pas la rançon, nous indiquent que ces attaques sont plus que lucratives pour les criminels qui en sont responsables. Le risque de découverte restant faible, et devenant encore plus faible avec l'essor des logiciels criminels en tant que service, il y a peu de chances qu'une entreprise évite une attaque à un moment donné. En fait, un nombre croissant d'organisations ont été touchées plus d'une fois.
Qu'est-ce qu'un ransomware, et que fait-il ?
Un ransomware est un type de logiciel malveillant ou de code logiciel conçu pour bloquer l'accès à vos données, généralement en les chiffrant de manière à ce qu'il soit impossible d'ouvrir ou d'accéder à vos fichiers de quelque manière que ce soit. Certaines variantes modifient les extensions de fichier, tandis que d'autres se contentent de crypter les fichiers.
Les pirates demandent alors une rançon (souvent en bitcoins) en échange de clés de décryptage, ou d'un décodeur permettant de rétablir l'accès à vos données.
C'est la version numérique d'un enlèvement : vos données sont retenues en otage jusqu'à ce que vous payiez pour les récupérer en toute sécurité.
Les attaques sophistiquées par ransomware - financées par des paiements de rançon antérieurs - sont spécifiquement conçues pour être difficiles à protéger et à détecter rapidement. Il est également extrêmement difficile de les arrêter, car elles chiffrent souvent un réseau au point que les victimes d'attaques par ransomware ne savent plus quelles sont leurs options et pensent parfois qu'elles n'ont pas d'autre choix que de payer la rançon.
Du point de vue de l'attaquant, le succès ou l'échec de toute attaque dépend de votre capacité à rétablir l'accès à vos données, à moins que la rançon ne soit payée.
Par conséquent, les attaquants ciblent souvent les sauvegardes et les instantanés en premier lieu, afin de limiter vos options de récupération. Les entreprises n'ont alors que des sauvegardes hors site, peut-être même sur bande, à restaurer. Le fait de devoir s'en remettre aux sauvegardes peut entraîner une perte de données considérable, et le processus est si lent que la restauration risque de prendre des semaines, voire des mois.
Lorsqu'une attaque frappe, les équipes informatiques doivent tenter de l'identifier, de trouver d'où elle vient, de la ralentir et, si possible, de l'arrêter avant qu'elle ne crypte des réseaux entiers. Si elles peuvent localiser un ordinateur portable ou un serveur infecté, par exemple, le déconnecter du réseau peut aider à contenir et à minimiser les dégâts.
Souvent, les attaques se traduisent par une saturation du processeur, ce qui rend extrêmement difficile pour les administrateurs de systèmes l'accès aux infrastructures critiques telles que les serveurs.
Une fois l'attaque terminée, l'énorme tâche d'identifier les fichiers, dossiers et répertoires chiffrés commence, ainsi que de déterminer s'ils peuvent être déchiffrés.
Pendant ce temps, les utilisateurs sont bloqués hors des réseaux et les entreprises doivent supporter les coûts liés aux temps d'arrêt, à la perte de données et à l'échec des efforts de restauration. En réalité, l'approche de bat365en matière de stockage immuable et la capacité de notre solution de cloud hybride à crypter les données et à les rendre inutilisables pour les attaquants permettent aux clients de bat365 d'éviter complètement de payer des rançons.
Comment un ransomware pénètre-t-il dans un réseau ?
Les rançongiciels peuvent être diffusés par des méthodes d'ingénierie sociale telles que les faux courriels, les spams, les pages web, les téléchargements de logiciels gratuits, les fausses mises à jour de logiciels et même les messages instantanés sur le web.
Ils sont spécifiquement conçus pour réussir, en rendant aussi probable que possible qu'un utilisateur soit trompé.
Par exemple, un matin, vous recevez un courriel urgent de votre PDG (le courriel comporte son nom et son adresse électronique dans le champ "De :") vous demandant d'expliquer la facture jointe sous la forme d'un fichier PDF.
Il semble authentique, alors vous ouvrez la pièce jointe. Le PDF contient un document Word intégré, et vous contournez l'analyse du fichier en disant qu'il est "OK" pour l'ouvrir. Le document Word contient une macro Visual Basic qui télécharge le ransomware et l'exécute.
Il n'en fallait pas plus. Vous êtes maintenant infecté par le ransomware, qui commence immédiatement à chiffrer les données, non seulement sur votre ordinateur portable, mais aussi sur le disque réseau.
Plus récemment, les pirates ont modifié l'extrémité des câbles de recharge USB et les ont laissés dans des endroits très fréquentés. Ces câbles sont rapidement ramassés et, à un moment donné, ils sont susceptibles d'être branchés sur un ordinateur portable ou de bureau afin de charger un téléphone.
À ce moment-là, le logiciel malveillant est en place. Conçu pour causer un maximum de dégâts, il restera inactif jusqu'à ce que le même appareil soit connecté à un réseau d'entreprise, auquel cas il s'exécutera à pleine vitesse dans le réseau de fichiers.
Une défense complète contre les ransomwares est-elle possible ?
Compte tenu du volume et du succès des attaques au niveau mondial, il semble raisonnable de conclure qu'il n'existe pas de défense impénétrable contre les ransomwares.
Les outils anti-ransomware disponibles peuvent et vont repousser de nombreuses tentatives et, s'ils sont tenus à jour, ils contribueront certainement à sécuriser votre infrastructure et à vous défendre contre les cyberattaques.
Ils sont particulièrement doués pour reconnaître et rejeter les pièces jointes des courriels, ce qui explique en partie pourquoi les attaques se sont déplacées vers des méthodes d'injection directe dans un réseau.
Leslogiciels défensifs tels que ceux proposés par Varonis sont extrêmement efficaces en matière de détection précoce et peuvent arrêter automatiquement les attaques. Ainsi, si un ransomware franchit votre première ligne de défense, il minimisera les dégâts.
Cependant, ces solutions sont réactives de par leur nature même. Elles ne peuvent se défendre que contre une variante de ransomware qu'elles reconnaissent, de sorte qu'une attaque doit se produire avant que le logiciel puisse être mis à jour. Et, quelle que soit la rapidité avec laquelle ces solutions réagissent à une variante connue, la nature insidieuse des ransomwares signifie que des dommages substantiels peuvent encore être causés avant qu'une attaque puisse être maîtrisée.
Une réponse plus complète réside dans la protection contre les ransomwares.
L'enlèvement contre rançon n'est efficace que lorsque la personne ou l'objet pris en otage a une telle valeur pour le propriétaire qu'il est prêt à payer pour le récupérer sain et sauf. À l'ère du numérique, les données ont pris une valeur immense, car sans elles, une organisation ne peut tout simplement pas fonctionner.
Les statistiques sont très claires : si une entreprise perd l'accès à ses données commerciales critiques pendant 10 jours ou plus, elle n'a que 7 % de chances de survivre aux 12 mois suivants. Les données sont donc le bien le plus précieux d'une entreprise et le bien le plus important à protéger.
En partant du principe qu'il n'est pas possible d'empêcher totalement les ransomwares d'entrer dans le système, l'arrêt d'une attaque par ransomware dépend de la protection des données.
En termes de kidnapping, vous n'essayez plus d'empêcher quelqu'un d'être kidnappé. Au contraire, vous faites en sorte qu'il soit impossible de prendre en otage autre chose qu'un hologramme de cette personne. Pendant ce temps, la personne réelle n'est jamais en danger.
Introduction du stockage de données immuables
En raison du stockage de données qui doivent être modifiables, les systèmes de fichiers hérités sont intrinsèquement vulnérables aux ransomwares. Lorsqu'ils sont attaqués, ils font exactement ce pour quoi ils sont conçus, et permettent la modification de vos fichiers.
L'architecture de données immuables modifie votre position face aux ransomwares et aux logiciels malveillants car elle est fondamentalement résistante aux attaques. Plutôt que d'être une solution de défense ou de protection, elle réduit l'impact et la propagation d'une attaque en n'étant pas affectée par celle-ci.
Le stockage immuable est rendu possible par une technologie intelligente de système de fichiers en nuage hybride telle que bat365 CloudFS, qui adopte une approche élégante et moderne des données non structurées (fichiers) et vous permet d'utiliser le stockage objet, que ce soit dans un nuage public, un nuage privé ou un nuage complètement obscur.
Pour un utilisateur, CloudFS ressemble à n'importe quel autre système de fichiers. Les fichiers peuvent être ouverts, modifiés et enregistrés, copiés ou supprimés - par tout utilisateur autorisé, à n'importe quel emplacement d'une organisation - en temps réel.
En coulisses se trouve une structure de stockage radicalement différente, beaucoup plus simple et infiniment plus robuste.
CloudFS est un système de fichiers en nuage global qui stocke les données de fichiers sous forme de blocs dans un stockage objet en nuage, comme un seul ensemble de données faisant autorité à partir duquel chaque utilisateur de l'organisation travaille. L'emplacement de l'utilisateur et le nombre de sites de l'organisation ne font aucune différence dans ce système évolutif ; chaque utilisateur a l'impression d'avoir accès à un fichier local, même si les données sont stockées à des centaines, voire des milliers de kilomètres.
Ces blocs de données sont immuables, c'est-à-dire qu'ils sont stockés sous la forme "Write Once, Read Many", de sorte qu'une fois stockés, ils ne peuvent pas être modifiés, édités ou écrasés. Par conséquent, ils sont imperméables à toutes les formes de logiciels malveillants.
Les pointeurs de métadonnées sont utilisés pour enregistrer les blocs qui composent un fichier à un moment donné. Lorsque les utilisateurs créent ou modifient des fichiers, les morceaux de données modifiés sont déplacés vers le stockage d'objets toutes les 60 secondes et sont stockés en tant que nouveaux blocs de données. En même temps, les pointeurs de métadonnées sont mis à jour pour refléter les nouveaux blocs qui forment le fichier.
Par exemple, si un document sauvegardé de 4 pages appelé fileone.docx est composé des blocs A, B, C et D, et que le document est édité aujourd'hui, il pourrait maintenant être composé des blocs A, B, C et E. Le nouveau bloc E est déplacé vers le magasin d'objets, et les pointeurs enregistrent que A, B, C et E sont nécessaires pour ouvrir la version actuelle de ce fichier.
Ces blocs de données immuables sont en outre protégés par des instantanés en lecture seule à l'échelle du système de fichiers qui sont pris à des intervalles configurables, la valeur par défaut étant de 60 minutes. De plus, des instantanés en lecture seule sont pris au niveau du filer local toutes les 60 secondes, et sont utilisés pour transférer les données modifiées vers le magasin d'objets.
Comme ils sont en lecture seule, ces instantanés sont également imperméables aux rançongiciels et offrent un moyen efficace de restaurer les données à n'importe quelle version antérieure.
Supposons que, après avoir modifié le fichier fileone.docx, vous vous rendiez compte que vous avez accidentellement supprimé un texte crucial.
Normalement, ces données seraient perdues si elles n'étaient pas capturées par une sauvegarde du système, qui n'est généralement effectuée qu'une fois par jour. Avec bat365 CloudFS, il vous suffit de cliquer avec le bouton droit de la souris sur le document à partir de l'explorateur de fichiers de Windows, et de le restaurer à l'instantané qui a été pris avant que vous ne fassiez vos modifications.
Les données immuables résistent aux attaques de ransomware
En cas d'attaque par un ransomware, un code malveillant est inséré dans vos fichiers et les modifie. bat365 reconnaît les données de fichier modifiées et les fichiers chiffrés qui en résultent sont écrits dans le magasin d'objets comme de nouvelles données.
Un système de stockage traditionnel permet d'éditer un fichier au moment où ce code est inséré, modifiant ainsi le fichier lui-même. En revanche, lorsque fileone.docx est infecté par un ransomware sur CloudFS, il est désormais composé de blocs de données totalement nouveaux - F, G, H et I, par exemple.
Étant donné que CloudFS préserve les données existantes sous forme d'objets originaux dans le magasin d'objets, tout fichier crypté par le code du ransomware peut être immédiatement rétabli dans son état antérieur à l'infection, à l'aide d'instantanés. Cette opération peut être effectuée facilement pour un seul fichier, des répertoires entiers ou même l'ensemble du système de fichiers global.
Avec les données immuables de bat365, vos fichiers ne sont pas du tout cryptés. Au lieu de cela, les pointeurs de fichiers pointent maintenant vers des blocs de données contenant le cryptage. En revenant à l'instantané antérieur à l'attaque, vous revenez à des blocs de données propres... et vos fichiers propres sont de retour. En utilisant notre exemple de fileone.docx, il suffit de restaurer un instantané où les pointeurs de fichiers enregistrent les blocs A, B, C et E, et fileone.docx est de nouveau opérationnel.
Les attaques de ransomware sont donc inoffensives pour votre entreprise et futiles pour l'attaquant, car elles dépendent de la vente de la clé de déchiffrement de vos données, qui vous permettra d'accéder à nouveau à vos fichiers. Lorsque l'accès à vos données est aussi facile que de les restaurer à partir d'un instantané, vous n'avez pas besoin d'une clé de décryptage.
Se prémunir contre l'exposition des données
Les kidnappeurs savent depuis longtemps que leurs chances d'être payés rapidement sont accrues s'ils peuvent prouver qu'ils sont prêts à faire du mal à leurs otages. L'équivalent numérique est la publication en ligne des données de leur victime - des dossiers confidentiels de patients ou de clients, par exemple.
Cette menace augmente de façon exponentielle le risque de ne pas payer, car les organisations peuvent désormais être tenues responsables des atteintes à la vie privée, sans parler du manque de confiance qui en résulte de la part de ceux qu'elles servent.
Les meilleurs systèmes de fichiers modernes, dont bat365 CloudFS, utilisent un chiffrement de niveau militaire pour les données à la périphérie, dans le magasin d'objets, et en vol, lorsque les données sont déplacées vers et depuis le magasin. Ainsi, en cas de compromission, ces données ne peuvent pas être déchiffrées.
Étant donné qu'ils sont en mesure d'éviter les rançongiciels et de chiffrer les données pour les rendre illisibles aux yeux des personnes non autorisées, les clients de bat365 ne paient pas de rançon.
Il existe une multitude de raisons de remplacer les anciens systèmes de stockage NAS dans une entreprise ou une organisation du secteur public. La protection des données et des ransomwares n'est généralement pas la préoccupation première. Le plus souvent, l'impulsion vient d'un mandat de transformation numérique, ou de la maîtrise des données non structurées pour éviter d'acheter un énième NetApp ou Isilon.
Cependant, la protection des données inhérente à l'infrastructure de données immuables offerte par les solutions de cloud hybride telles que bat365 est devenue si précieuse que les décideurs avisés la classent parmi les autres considérations relatives au coût total de possession.
Soyons francs, même lorsqu'il s'agit de transformation numérique, le coût est un facteur énorme. Le coût d'une attaque par ransomware est si élevé que l'atténuation de ce risque par une solution capable de repousser les attaques - tout en consolidant les données et en réduisant les coûts, et en fournissant une approche moderne et élégante des données non structurées - est logique, quelle que soit la façon dont on l'envisage.