Les instantanés immuables visent à neutraliser les ransomwares

Phases d’attaque de ransomware et pourquoi les snapshots s’adaptent

Il existe plusieurs phases clés à une attaque de ransomware, à savoir l’intrusion initiale, une période de reconnaissance à l’intérieur des systèmes de la victime, puis l’exécution du cryptage et de l’exfiltration des données. Puis viennent les demandes de rançon.

Les snapshots offrent aux clients la possibilité de revenir à des copies non corrompues de leurs données effectuées avant l’exécution du code introduit par l’attaquant. En théorie, à partir de là, ils peuvent ignorer les demandes de rançon, purger leurs systèmes des effets de l’intrusion et continuer leurs activités normalement.

Les snapshots ne sont pas des sauvegardes, en ce qu’ils ne sont pas seulement des copies de données. Il s’agit d’un enregistrement de l’état et de l’emplacement des fichiers et des blocs qui composent les fichiers à un moment spécifique auquel un client peut revenir. Cet enregistrement peut comprendre plus qu’un simple enregistrement d’état, avec des métadonnées, des données supprimées, des copies parentes, etc., tous devant être conservés.

Tous les instantanés sont immuables : alors quoi de neuf ?

Les instantanés sont de toute façon immuables, en ce sens qu’ils sont écrits une fois en lecture multiple (Worm). Les fournisseurs de stockage et de sauvegarde ont ajouté des fonctionnalités telles que le chiffrement, des mécanismes qui empêchent les instantanés d’être déplacés ou montés en externe, avec une authentification multifacteur (MFA) requise pour les gérer.

Comme personne – pas même les administrateurs, mais certainement pas les logiciels de ransomware – n’a la possibilité d’accéder aux instantanés ou de les déplacer ou de les supprimer, les clients devraient toujours avoir accès à des copies propres de leurs données après une violation.

C’est le principal avantage, avec l’avantage supplémentaire par rapport aux sauvegardes que les instantanés sont généralement pris beaucoup plus fréquemment qu’une fois par jour.

Snapshots en tant que source de restauration : avantages et inconvénients

Mais il y a aussi des inconvénients potentiels. Historiquement, les snapshots n’ont pas été conservés pendant de longues périodes car ils occupent de la capacité de stockage. Pour cette raison, les périodes de conservation des instantanés ont souvent été courtes – environ 48 heures.

Avec la récupération de ransomware le cas d’utilisation, la période dont les clients ont besoin pour conserver des instantanés immuables zoome vers le haut.

Le temps passé par les attaquants à l’intérieur des systèmes – le « temps d’attardement » – est en moyenne de 11 jours selon Sophos et de 24 jours selon Mandiant. Au cours de cette période, ils effectueront des reconnaissances, se déplaceront latéralement entre différentes parties du réseau, collecteront des informations d’identification, identifieront des données sensibles et lucratives, exfiltreront des données, etc.

Cela signifie que les périodes de rétention des snapshots, et donc la capacité nécessaire pour les stocker, vont augmenter. Les fournisseurs le savent et, dans certains cas, ont ciblé des sous-systèmes de stockage avec une capacité en vrac dans ces cas d’utilisation.

Instantanés et RPO

La question doit également être posée, quel est l’effet sur l’objectif de point de récupération (RPO)?

Après tout, si les attaquants sont à l’intérieur des systèmes depuis une semaine ou deux, les données conservées sur les instantanés pendant toute cette période peuvent être compromises car elles ont été enregistrées avec une corruption intacte. Il peut être possible d’enlever les traces de l’intrus, mais les dernières copies complètement propres peuvent représenter un point de récupération dans le passé.

Quoi qu’il en soit, n’oubliez pas, tous les instantanés sont immuables. Ce qui est nouveau, c’est que les fournisseurs superposent des méthodes pour s’assurer qu’elles ne peuvent pas être exportées ou supprimées afin que la dernière ligne de défense des clients – ou plutôt la restauration – ne soit pas compromise. Vous trouverez ci-dessous une sélection de ce que font les fournisseurs.

Les snapshots Cohesity SpanFS sont conservés dans un état immuable et ne sont jamais rendus accessibles pour être montés par un système externe. Ransomware ne peut pas affecter l’instantané immuable. Cohesity permet un espace d’air dans lequel les clients peuvent répliquer des données vers un cloud externe (voir également son récent plan Fort Knox), un autre emplacement physique ou une bande. L’authentification multifacteur est utilisée pour contrôler l’accès aux copies protégées.

La copie protégée d’IBM est disponible dans ses baies de stockage entièrement flash. Il crée automatiquement des instantanés immuables qui sont isolés et ne peuvent pas être consultés ou modifiés par des utilisateurs non autorisés. La copie protégée conserve jusqu’à 15 000 copies instantanées immuables qui ne peuvent pas être écrits ou lus par une application et ne peuvent pas être mappés à un hôte. La copie protégée peut être intégrée à IBM Security QRadar, qui surveille les activités et recherche les signes qu’une attaque est en cours.

Panzura est un peu différent, étant une opération axée sur le cloud hybride ou la passerelle cloud, et son CloudFS adopte une approche légèrement différente. Il reconnaît les données de fichier modifiées et tous les fichiers cryptés qui en résultent sont écrits dans le magasin d’objets en tant que nouvelles données. Ainsi, si un fichier est crypté par ransomware, les utilisateurs peuvent récupérer à l’état antérieur à l’infection en se référant aux données existantes propres avec des instantanés.

Pure Storage place des snapshots immuables dans SafeMode, avec des groupes de protection qui fournissent des stratégies de snapshots configurables couvrant la fréquence des snapshots, la stratégie de rétention et la possibilité d’envoyer des snapshots vers d’autres destinations pour la restauration. Les intrus ne peuvent pas définir les périodes de rétention à zéro ou éradiquer les instantanés. La rétention peut être augmentée, mais ne peut être diminuée que si deux contacts autorisés avec des codes PIN contactent Pure Support.

Les instantanés et les sauvegardes de Rubrik sont également construits comme immuables afin qu’ils ne puissent pas être cryptés ou supprimés par une attaque de ransomware. L’analyse d’impact est également possible via Rubrik, pour identifier les données cryptées et les données sensibles qui ont pu être exposées, avec un accès d’authentification multifacteur aux données protégées.