Les snapshots, dernier rempart contre les ransomwares ?

Indigostar

Chaque semaine, de nouvelles attaques réussies par rançongiciels font la Une de l’actualité. Preuve que les entreprises ont encore bien du mal à trouver les bonnes parades et à se préparer à ce type de menaces. Pourtant, elles ont souvent les bons outils entre les mains mais, à l’instar des snapshots, ne savent pas toujours bien les mettre en œuvre pour les aider à mieux lutter contre les dégâts des ransomwares.

Au fil des années, les attaques de ransomware n’ont cessé de se multiplier et de gagner en puissance, à tel point qu’aujourd’hui, les entreprises ne doivent plus se demander si et quand elles en seront victimes, mais plutôt à quelle fréquence. Selon l’ANSSI, 203 attaques par ransomware en France ont eu lieu en 2021, contre 192 en 2020 et le bilan pour l’année 2022 risque bien de s’alourdir.

Si l’on considère qu’il est quasiment impossible pour les entreprises de repousser des pirates résolus, la clé pour résister à une attaque de ransomware consiste à pouvoir rapidement restaurer les systèmes tels qu’ils étaient avant que les pares-feux aient été contournés. C’est là que les snapshots entrent en scène.

Les snapshots, photographies de l’état et des données d’un système prises à intervalles réguliers au cours de la journée, permettent à l’entreprise victime d’une attaque par ransomware de restaurer une ancienne configuration de manière très précise. Les snapshots sont conçus pour être réalisés en impactant le moins possible les systèmes de production ; ils sont donc souvent stockés sur des supports de stockage primaires ou à proximité, ce qui fait que les données perdues peuvent être rapidement restaurées. Ces snapshots peuvent être conservés par une entreprise jusqu’à deux mois maximums.

Grâce à leur rapidité de restauration – et si les circonstances le permettent, notamment le temps d’exposition (dwell time) – les snapshots sont le moyen le plus efficace de récupérer des données après une attaque de ransomware. À moins que les pirates ne les aient sabotés au préalable…

Rendre les snapshots vraiment immuables

Généralement, les snapshots sont des copies en lecture seule et donc, en un sens, toujours immuables. En ayant connaissance de cela, les pirates vont alors tenter de les supprimer ou de les déplacer. Les entreprises doivent donc se mettre en quête de fournisseurs qui proposent des snapshots impossibles à éliminer et qu’un intrus ne peut pas bloquer sans possibilité de transfert – par exemple à des fins de restauration.

Au-delà de l’aspect « sécurité », l’accès aux snapshots doit être basé sur une authentification multifacteur par code PIN, que seuls quelques membres du service informatique pourront détenir. En outre, il faut également fixer une durée de conservation de ces snapshots et définir les destinations autorisées.

Dans le cas où le ransomware n’est présent dans les systèmes que depuis une période courte, les snapshots sont la méthode de restauration à privilégier. Cependant, il arrive que les pirates puissent passer plusieurs mois à explorer l’intérieur des systèmes pour y installer des logiciels malveillants et altérer des fichiers. Dans ces conditions, il est préférable que l’entreprise touchée utilise ses sauvegardes afin de pouvoir restaurer ses systèmes.

Snapshots immuables et sauvegardes classiques :
la combinaison parfaite pour une restauration rapide

Contrairement aux snapshots, les sauvegardes sont généralement conservées pendant de longues périodes. En outre, les copies de sauvegardes sont réalisées moins fréquemment et souvent en dehors des heures ouvrables – elles sont presque systématiquement envoyées vers un support de stockage secondaire, au cas où une restauration basée sur ces dernières nécessiterait plus de temps.

Peu importe l’option choisie, il est surtout essentiel de récupérer rapidement les données afin d’éviter toute interruption de l’activité. En cas d’attaque, le stockage utilisé pour conserver vos copies de protection de données est votre ultime atout – ce qui implique que le support de stockage doit avoir la capacité de gérer des vitesses de restauration élevées.

Une restauration rapide

La question se pose alors : quels sont donc les produits de stockage les mieux adaptés pour conserver les sauvegardes et les snapshots, et les plus à même de proposer des performances de restauration rapide ? Pour répondre à cela, les clients doivent d’abord parcourir les offres de stockage flash capables de prendre en charge des données non-structurées, sous forme de fichiers et d’objets. Cependant, il faut savoir que toutes les offres ne remplissent pas cette condition.

Grâce aux dernières générations de stockage flash NAND, des baies garantissant des capacités et des vitesses d’accès exceptionnellement élevées ont pu voir le jour. Ces baies de stockage dotées de cellules flash à trois et quatre niveaux (respectivement TLC et QLC) assurent des capacités élevées pour un coût par téraoctet similaire à celui des disques durs mécaniques.

Ensuite, les clients doivent observer quelles sont leurs performances de débit – à savoir qu’actuellement, les baies de stockage les plus performantes du marché offrent un débit supérieur de 270 To par heure, ce qui permet la plupart des entreprises à se remettre rapidement en selle.

Pour conclure, la méthode de défense la plus efficace contre les ransomwares se base sur la faculté à revenir dans le temps, juste avant que le logiciel malveillant ne s’introduise dans les systèmes. Dans cette optique, il est nécessaire d’utiliser un stockage à très hautes capacités et qui est en mesure d’assurer un débit élevé pour favoriser une restauration encore plus rapide.

Source : informatiquenews.fr

Violence

Pour ma part, c’est grâce à une sauvegarde que l’entreprise avait survécu à Locky à l’époque (la meuf avait quand même DL un excel vérolé douteux, puis avait activer les macros - qui était désactivées par GPO - elle était allée au bout de sa connerie quoi ) mais le snapshot peut être une bonne arme malgré le fait qu’il ne faut pas trop en faire car cela peut avoir un sacré impact sur les performances de la VM.

Par contre je l’avais restauré aussi vite qu’un snapshot sur le vcenter grâce à Veeam et une baie SAN qui roxxait du poney

Il faut aussi une hiérarchie de droits bien faite. (Perso j’utilise la méthode AGDLP)

EDIT: Un peu de lecture sur les bases à avoir !

https://neptunet.fr/agdlp/

En tout cas, ça m’avais vachement aidé à l’époque car seul les dossiers dont la source avait accès avait été chiffrés.

duJambon

Une activation différée rend la méthode peu efficace si on ne parvient pas à identifier et éradiquer le ransomware, par exemple sur une gestion de stock ou sur des commandes avec délai de livraison.

Ce genre de piratage peut conduire à la catastrophe selon l’activité du piraté et le seul moyen de s’en protéger reste quand même d’essayer d’éviter d’être une cible.

En complément, un système de surveillance des fichiers, autonome, détectant des modifications anormales ou systématiques devrait être employé, un peu comme un antivirus, mais pas basé sur des signatures de virus, un anti malware optimisé au type d’activité en somme, avec un gros bouton rouge nommé “shutdown”.

Violence

J’en ai souvent parlé mais je recommande souvent des équipement IDS/IPS sur le réseau.

https://www.juniper.net/fr/fr/research-topics/what-is-ids-ips.html

Et je recommande beaucoup Stormshield Endpoint Security que j’avais mis en place suite à l’attaque. Celui-ci détecte le moindre changement de fichiers même en mémoire et le tout sans signatures. J’avais été extrêmement bluffé…

C’est un produit que j’ai aussi vu sur les postes de la sécurité sociale de ma ville. .

Stormshield est quand même un bon gage de qualité, leurs solutions sont aussi utilisées et recommandées par l’armée ou le gouvernement

ça fonctionne en mode Client/serveur avec une interface de gestion:

https://www.stormshield.com/wp-content/uploads/SES-FR-Evolution-Datasheet.pdf

EDIT - Un petit pdf de VMware intéressant sur l’impact des snapshots et les Best Practices à adopter:

https://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/performance/vsphere-vm-snapshots-perf.pdf

Raccoon

@Violence a dit dans Les snapshots, dernier rempart contre les ransomwares ? :

la méthode AGDLP

C’est bien une méthode que peu d’informaticiens connaissent.