Chaque semaine, de nouvelles attaques réussies par rançongiciels font la Une de l’actualité. Preuve que les entreprises ont encore bien du mal à trouver les bonnes parades et à se préparer à ce type de menaces. Pourtant, elles ont souvent les bons outils entre les mains mais, à l’instar des snapshots, ne savent pas toujours bien les mettre en œuvre pour les aider à mieux lutter contre les dégâts des ransomwares.
Au fil des années, les attaques de ransomware n’ont cessé de se multiplier et de gagner en puissance, à tel point qu’aujourd’hui, les entreprises ne doivent plus se demander si et quand elles en seront victimes, mais plutôt à quelle fréquence. Selon l’ANSSI, 203 attaques par ransomware en France ont eu lieu en 2021, contre 192 en 2020 et le bilan pour l’année 2022 risque bien de s’alourdir.
Si l’on considère qu’il est quasiment impossible pour les entreprises de repousser des pirates résolus, la clé pour résister à une attaque de ransomware consiste à pouvoir rapidement restaurer les systèmes tels qu’ils étaient avant que les pares-feux aient été contournés. C’est là que les snapshots entrent en scène.
Les snapshots, photographies de l’état et des données d’un système prises à intervalles réguliers au cours de la journée, permettent à l’entreprise victime d’une attaque par ransomware de restaurer une ancienne configuration de manière très précise. Les snapshots sont conçus pour être réalisés en impactant le moins possible les systèmes de production ; ils sont donc souvent stockés sur des supports de stockage primaires ou à proximité, ce qui fait que les données perdues peuvent être rapidement restaurées. Ces snapshots peuvent être conservés par une entreprise jusqu’à deux mois maximums.
Grâce à leur rapidité de restauration – et si les circonstances le permettent, notamment le temps d’exposition (dwell time) – les snapshots sont le moyen le plus efficace de récupérer des données après une attaque de ransomware. À moins que les pirates ne les aient sabotés au préalable…
Rendre les snapshots vraiment immuables
Généralement, les snapshots sont des copies en lecture seule et donc, en un sens, toujours immuables. En ayant connaissance de cela, les pirates vont alors tenter de les supprimer ou de les déplacer. Les entreprises doivent donc se mettre en quête de fournisseurs qui proposent des snapshots impossibles à éliminer et qu’un intrus ne peut pas bloquer sans possibilité de transfert – par exemple à des fins de restauration.
Au-delà de l’aspect « sécurité », l’accès aux snapshots doit être basé sur une authentification multifacteur par code PIN, que seuls quelques membres du service informatique pourront détenir. En outre, il faut également fixer une durée de conservation de ces snapshots et définir les destinations autorisées.
Dans le cas où le ransomware n’est présent dans les systèmes que depuis une période courte, les snapshots sont la méthode de restauration à privilégier. Cependant, il arrive que les pirates puissent passer plusieurs mois à explorer l’intérieur des systèmes pour y installer des logiciels malveillants et altérer des fichiers. Dans ces conditions, il est préférable que l’entreprise touchée utilise ses sauvegardes afin de pouvoir restaurer ses systèmes.
Snapshots immuables et sauvegardes classiques :
la combinaison parfaite pour une restauration rapide
Contrairement aux snapshots, les sauvegardes sont généralement conservées pendant de longues périodes. En outre, les copies de sauvegardes sont réalisées moins fréquemment et souvent en dehors des heures ouvrables – elles sont presque systématiquement envoyées vers un support de stockage secondaire, au cas où une restauration basée sur ces dernières nécessiterait plus de temps.
Peu importe l’option choisie, il est surtout essentiel de récupérer rapidement les données afin d’éviter toute interruption de l’activité. En cas d’attaque, le stockage utilisé pour conserver vos copies de protection de données est votre ultime atout – ce qui implique que le support de stockage doit avoir la capacité de gérer des vitesses de restauration élevées.
Une restauration rapide
La question se pose alors : quels sont donc les produits de stockage les mieux adaptés pour conserver les sauvegardes et les snapshots, et les plus à même de proposer des performances de restauration rapide ? Pour répondre à cela, les clients doivent d’abord parcourir les offres de stockage flash capables de prendre en charge des données non-structurées, sous forme de fichiers et d’objets. Cependant, il faut savoir que toutes les offres ne remplissent pas cette condition.
Grâce aux dernières générations de stockage flash NAND, des baies garantissant des capacités et des vitesses d’accès exceptionnellement élevées ont pu voir le jour. Ces baies de stockage dotées de cellules flash à trois et quatre niveaux (respectivement TLC et QLC) assurent des capacités élevées pour un coût par téraoctet similaire à celui des disques durs mécaniques.
Ensuite, les clients doivent observer quelles sont leurs performances de débit – à savoir qu’actuellement, les baies de stockage les plus performantes du marché offrent un débit supérieur de 270 To par heure, ce qui permet la plupart des entreprises à se remettre rapidement en selle.
Pour conclure, la méthode de défense la plus efficace contre les ransomwares se base sur la faculté à revenir dans le temps, juste avant que le logiciel malveillant ne s’introduise dans les systèmes. Dans cette optique, il est nécessaire d’utiliser un stockage à très hautes capacités et qui est en mesure d’assurer un débit élevé pour favoriser une restauration encore plus rapide.
___________________
Par Gabriel Ferreira, directeur technique France de Pure Storage
puis