Comment utiliser les contrôles de détection de Qumulo contre les violations de données

Contrôles de détection contre les violations de données

Comment utiliser les contrôles de détection de Qumulo est le troisième blog d'une série en quatre parties conçue pour vous aider à tirer parti du contrôles de sécurité et capacités de protection des données dans la plateforme de données de fichiers de Qumulo. Dans le première entrée de cette série, j'ai présenté l'architecture de sécurité, dans la partie 2 couverte contrôles préventifs, et maintenant nous allons nous concentrer sur la détection.

Les contrôles de détection sont essentiels pour détecter le plus tôt possible les activités malveillantes. Idéalement, ces types d'activités doivent être détectés Eux avant nous ils atteignent le système de stockage. 

Mise en place d'un sécurité holistique approche qui comprend des techniques de surveillance de réseau, de calcul, d'appareils et d'événements, ainsi que corrélation de données et l'analyse, est préférable aux solutions cloisonnées qui sont intégrées dans le système de stockage. 

La série Plateforme de données de fichiers Qumulo prend en charge toutes les principales solutions de sécurité ISV grâce à sa fonction d'audit. De plus, l'API de Qumulo vous permet de lancer des actions d'atténuation automatisées à partir de n'importe quelle surface d'attaque en cas de détection d'une activité malveillante.

détecter une violation de données

Les tenants et aboutissants d'une approche de sécurité holistique pour se prémunir contre les violations de données

Une approche holistique de la sécurité pour détection de ransomware capture les données d'autant d'appareils que possible pour analyser, corréler et automatiser les actions sur les événements suspects.  

vérification des comptes

Journalisation des audits dans Qumulo Core, le cœur de notre plateforme de données de fichiers, fournit un mécanisme de suivi des systèmes de fichiers ainsi que des opérations de gestion. Au fur et à mesure que les clients connectés envoient des requêtes au cluster, des messages de journal sont générés décrivant chaque opération tentée. Ces messages de journal sont ensuite envoyés sur le réseau à l'instance syslog distante spécifiée par la configuration d'audit actuelle conformément à la RFC 5424. Comme les instances cibles de tous ces événements de journal sont en dehors du cluster Qumulo, elles ne peuvent pas être manipulées ou supprimées par la suite.

Les avantages de l'approche Qumulo pour les contrôles de détection sont:

  • Qumulo utilise un format syslog standard de l'industrie qui peut être lu, analysé et indexé par n'importe quel logiciel de gestion des informations de sécurité et des événements (SIEM) commun sur le marché
  • Toutes les tâches d'accès et de gestion aux données sont capturées
  • Les solutions validées incluent Splunk, ElasticSearch et AWS CloudWatch 

L'avantage d'une approche SIEM centralisée est qu'il existe une solution commune pour tous les centres de données ou instances et services cloud. Les données peuvent être collectées facilement et indexées, filtrées, analysées, recherchées et visualisées. Des actions automatisées ou semi-automatisées peuvent être déclenchées lorsque des activités suspectes sont détectées. C'est l'approche la plus efficace car les logiciels malveillants sont identifiés et arrêtés Eux avant nous il atteint le système de stockage. 

Analyse antivirus

La première ligne de prévention antivirus (AV) devrait être la sécurité du centre de données Infrastructure. Cela peut inclure des pare-feu, une analyse réseau, des serveurs et des clients de bureau. Il est essentiel de comprendre que si un malware atteint le système de stockage, les données peuvent être compromises. Néanmoins, nous voyons toujours des demandes constantes de solutions audiovisuelles sur le système de stockage et voici quelques options :

  1. Analyses à la demande: Qumulo prend en charge les analyses à la demande de toutes les principales solutions antivirus du marché. Ils peuvent être programmés régulièrement et de préférence exécutés pendant les heures creuses. Les analyses à la demande sur Qumulo peuvent être effectuées beaucoup plus rapidement que le NAS scale-up car plusieurs scanners peuvent être exécutés en parallèle sur tous les nœuds du cluster simultanément. 
  2. Analyses côté client: c'est la méthode préférée si vous avez besoin de scan-on ouvre et elle est entièrement prise en charge par Qumulo. En général, c'est le meilleur endroit pour investir dans des mesures de sécurité puisque les charges utiles malveillantes sont exécutées par le client. Qumulo suggère d'adopter un antivirus de nouvelle génération qui ne soit pas basé sur des signatures (qui peuvent être modifiées facilement par des attaquants avancés) mais qui est basé sur des techniques d'empreintes digitales binaires et d'IA. En outre, une stratégie de gestion des correctifs appropriée et une approche de liste blanche qui ne permettent que des logiciels légitimes et contrôlés par le service informatique de s'exécuter sont bénéfiques afin de réduire la surface d'attaque et le risque global d'épidémie.
  3. Analyses à l'accès (sans logiciel client AV): certains fournisseurs effectuent cela avec le protocole ICAP. Une fois qu'un fichier est ouvert, il est envoyé à une instance du logiciel antivirus qui doit également prendre en charge ce protocole. Ensuite, le fichier est analysé avant (analyse à l'ouverture) ou après (analyse à la fermeture) le fichier est ouvert. Les problèmes communs avec cette approche sont abordés dans la section suivante.
Problèmes d'analyse à l'accès

L'analyse à l'accès (si elle n'est pas effectuée sur le client) a montré des défis importants dans la pratique:

  1. Délais de réponse inacceptables: vous avez acheté un système NAS évolutif ultra rapide et évolutif qui offre des temps de réponse typiques de l'ordre de 0.5 à 5 ms. Si vous avez ajouté un moteur antivirus pour les ouvertures de scan-on, les temps de réponse augmentent généralement à plusieurs secondes (en fonction du réseau, du moteur de scan, du matériel et de la taille des fichiers). Cela n'est généralement pas acceptable pour une solution haut de gamme où les utilisateurs et les applications nécessitent des temps de réponse rapides.
  2. Un nombre incroyablement élevé de serveurs d'analyse: Les analyses à l'accès nécessitent une très grande batterie de serveurs pour les scanners. Généralement 1 à 2 serveurs physiques par nœud de stockage. Ce n'est pas une bonne approche et les virus doivent être capturés à la source: ordinateurs de bureau, serveurs, périphériques réseau.

Bonnes pratiques pour se défendre contre les violations de données

Pour éviter les inconvénients de l'analyse antivirus sur le système de stockage, Qumulo recommande les bonnes pratiques suivantes :

  • Si l'analyse à l'accès est requise, utilisez des agents côté client. Ils sont disponibles pour toutes les principales plates-formes et ne présentent pas d'inconvénients importants.
  • Utilisez des analyses à la demande ou programmées sur Qumulo avec la solution antivirus de votre choix. Ils peuvent être programmés régulièrement et aux heures creuses.
  • Prenez des instantanés réguliers (traités dans Corrective Controls, le dernier blog du livre blanc).

Téléchargez le livre blanc: Architecture de sécurité et meilleures pratiques pour contrer les logiciels malveillants 

Détection de ransomware

Le ransomware est un type de malware qui tente d'accéder aux données sensibles de l'entreprise ou du gouvernement. Il fonctionne en cryptant et en exfiltrant les données, moment auquel les acteurs malveillants à l'origine de l'attaque exigeront généralement le paiement des clés permettant de décrypter les données. 

Une attaque de ransomware se déroule généralement en plusieurs phases :

  1. Accédez au réseau et à au moins un appareil initial
  2. Infectez autant d'appareils supplémentaires que possible pour recueillir des informations
  3. Exfiltrer les données
  4. Déploiement de ransomware: chargement de modules supplémentaires qui; par exemple, crypter les données.
  5. Crypter les données pour l'extorsion
Vecteurs d'attaque de ransomware typiques

Il existe de nombreux vecteurs d'attaque pour un déploiement de ransomware. Quelques exemples courants sont:

  • E-mails de spear-phishing (c'est la menace numéro un)
  • Exploitez les vulnérabilités du système d'exploitation qui ne sont pas corrigées / corrigées
  • Logiciel cheval de Troie
  • Attaques de l'homme du milieu
  • Exploits du serveur Web
  • Script inter-site
  • Injection SQL
  • Usurpation de domaine
  • Sites Web sur les points d'eau
Contrôles de détection et stratégies de prévention efficaces

Une stratégie de prévention efficace doit cibler le début de la phase infectieuse. En regardant les vecteurs d'attaque, il est évident qu'il ne s'agit pas principalement du périphérique de stockage. Ou en d'autres termes: ne pensez pas qu'avoir une solution anti-malware cloisonnée sur votre système de stockage soit une stratégie efficace. Ce n'est certainement pas le cas. Pourquoi? Parce que lors d'attaques de ransomwares, tous les types d'appareils sont infectés: les périphériques réseau, les périphériques IoT, les ordinateurs de bureau, les serveurs, les caméras, les imprimantes, essentiellement tout ce qui a un système d'exploitation. Le malware y reste pendant un certain temps avant de devenir actif. Dans la première phase, les intrus continuent de collecter plus d'informations sur l'infrastructure (utilisateurs, flux de données, topologies de réseau, appareils). Ensuite, à un stade ultérieur de l'attaque, ils commencent à exfiltrer les données et / ou à charger des modules supplémentaires pour démarrer d'autres threads tels que l'accès aux données et le chiffrement des fichiers. 

Ainsi, ici, il devient évident qu'une stratégie de prévention efficace doit commencer dès la phase précoce de l'infection. Le système de stockage est à la toute fin de la phase d'attaque. L'infection doit être capturée et arrêtée beaucoup plus tôt sur le réseau et sur tout type de périphérique de calcul sur lequel le malware atterrit et s'exécute. 

De plus, les efforts de remédiation sont souvent suivis d'une réinfection car tous les périphériques potentiels n'ont pas été effacés du réseau. C'est une autre bonne raison pour capturer les logiciels malveillants à la phase initiale, dans le réseau, les serveurs, les applications (par exemple, le courrier électronique). 

Moderne gestion des informations et des événements de sécurité (SIEM) Les solutions capturent les données de tous les appareils potentiels et proposent des approches holistiques pour détecter et prévenir les infections de logiciels malveillants. Un aspect important des contrôles de détection est la capture et la corrélation des événements centraux. De plus, les systèmes de détection d'intrusion (IDS) peuvent détecter des modèles de trafic réseau dangereux; par exemple, des requêtes de serveur de noms de domaine (DNS) anormales utilisées pour exfiltrer des données, des paquets qui sont corrélés à une technique d'exploitation.

De nombreuses entreprises utilisent des systèmes de prévention des intrusions (IPS) pour les contrôles de détection avec des capacités avancées de protection contre le feu et de détection des exploits, qui peuvent aider à isoler certaines catégories d'attaques.

Mettre en œuvre des réponses automatisées à l'aide de l'API Qumulo

Une fois que le système IDS a détecté une activité suspecte ou même malveillante pour un fichier, les systèmes peuvent déclencher des événements automatisés. Qumulo fournit un API REST riche qui permet d'automatiser toutes sortes de tâches de gestion sur le cluster. Voici des exemples de tâches d'atténuation en cas d'événement de sécurité:

  • Définissez un quota pour un répertoire ou le système complet sur 0. Dans ce cas, toute nouvelle activité d'écriture est empêchée (mais les écrasements peuvent encore être possibles)
  • Définir un partage en lecture seule ou restreindre les adresses IP
  • Supprimer les privilèges d'un utilisateur
  • Prendre ou restaurer un instantané
  • Lancer une analyse antivirus à la demande

Il existe plusieurs façons d'exploiter l'API Qumulo:

  1. Appels d'API directs
  2. Utilisez les bibliothèques python fournies par Qumulo pour simplifier le développement de scripts API
  3. Utilisez l'option CLI Qumulo

Nous vous recommandons d'utiliser les contrôles de détection de Qumulo en conjonction avec les meilleures pratiques de sécurité pour atténuer les risques en détectant les tentatives de violation de cybersécurité («événements») ou les violations de sécurité réussies («incidents») en cours.

Dans la dernière entrée de cette série, nous aborderons les contrôles correctifs ou, pour aller de l'avant, téléchargez le livre blanc sur l'architecture de sécurité.

En savoir plus

Livre blanc:  Architecture de sécurité et meilleures pratiques pour contrer les logiciels malveillants 

Contacte-nous

Partager cette publication