En ce qui concerne les ransomwares, une once de prévention vaut 3 fois le remède.

Votre plan de continuité d'activité peut se ressembler en ce qui concerne la récupération de vos données, que la perte de données soit causée par une catastrophe naturelle ou une attaque de ransomware. Plus tôt cette année, j'ai couvert le film de Qumulo contrôles de sécurité intégrés pour vous aider à protéger vos données contre les logiciels malveillants dans le cadre d'une posture de sécurité globale.  

Dans cette série, nous allons nous concentrer sur les ransomwares dans le contexte de continuité d'activité et reprise après sinistre car, avec l'avènement des ransomwares en tant que service (RaaS) et les énormes rançons payées, les attaques sont en augmentation. Par exemple, le Le FBI a des enquêtes dans plus de 100 variantes de RaaS, dont beaucoup ont été utilisées dans plusieurs campagnes de ransomware. Tandis que incidents récents de ransomware hont été très médiatisés, beaucoup d'autres sont restés confidentiels pour protéger la réputation de la victime.

Les données critiques pour l'entreprise sont cryptées contre rançon et les cybercriminels sont payés au nom de la continuité des activités. 

D'après Sophos 2021 État des ransomwares, un rapport basé sur les données de 5,400 30 décideurs représentant plus de 65 pays – les organisations en moyenne n'ont récupéré que 170,404 % de leurs données après avoir payé la rançon. Mais le coût de la continuité des activités, les temps d'arrêt, sont ce qui nuit le plus aux organisations. ​​Le rapport indique que la rançon moyenne payée par les organisations de taille moyenne était de 1.85 XNUMX $ US. Cependant, la facture moyenne pour rectifier une attaque de ransomware, compte tenu des temps d'arrêt, du temps des personnes, du coût de l'appareil, du coût du réseau, des opportunités perdues, de la rançon payée, etc. était de XNUMX million de dollars US.

Comment les ransomwares entrent-ils ? Laissez-moi compter les chemins…

Les cybercriminels utilisent des tactiques intelligentes pour infiltrer l'environnement d'une entreprise à plusieurs niveaux et déployer un ransomware. L'une des plus courantes est l'ingénierie sociale : un e-mail de phishing dans lequel un initié de l'entreprise est amené à partager des informations d'identification ou à télécharger des logiciels malveillants et à laisser entrer la menace. 

Les clés USB, les réseaux partenaires, les vulnérabilités non corrigées et les mots de passe faciles à obtenir sont tous des vecteurs de menace potentiels pour les logiciels malveillants. De nouveaux modèles de travail hybrides peuvent en créer davantage. C'est pourquoi il est important d'adopter une approche holistique de la sécurité pour empêcher l'entrée, détecter les ransomwares quand cela se produit et l'empêcher de se propager à d'autres parties du réseau. Enfin et surtout, une approche holistique comprend la mise en place d'un plan de continuité des activités qui inclut les données sauvegarde et reprise après sinistre du ransomware.  

Ransomware : l'anatomie d'une attaque 

Les ransomwares peuvent infecter à peu près n'importe quel appareil doté d'un système d'exploitation ou d'une connexion numérique, y compris les appareils réseau, les appareils IoT, les ordinateurs de bureau, les serveurs, les appareils photo numériques, les imprimantes et les lecteurs zip. L'objectif de la plupart des attaques de ransomware est d'exfiltrer des données et/ou de crypter des données pour forcer les organisations à payer des clés pour décrypter leurs données. Les attaques se produisent généralement par phases :

  1. Accéder au réseau et à au moins un appareil initial
  2. Infectez autant d'appareils supplémentaires que possible pour recueillir des informations
  3. Exfiltrer les données
  4. Déployez des modules supplémentaires qui ; par exemple, chiffrer des données
  5. Crypter les données pour l'extorsion

Dans la première phase, les intrus continuent de collecter plus d'informations sur l'infrastructure (utilisateurs, flux de données, topologies de réseau, appareils). Ensuite, à un stade ultérieur, ils commencent à exfiltrer des données et/ou à charger des logiciels malveillants supplémentaires pour démarrer d'autres threads pouvant accéder aux données et crypter les fichiers. 

C'est pourquoi une stratégie efficace de gestion des risques est nécessaire qui se concentre sur les vecteurs d'attaque pour prévenir l'infection ou détecter les phases précoces au point du réseau et des appareils informatiques où l'infection s'est produite. Le stockage des données est à la fin du cycle d'infection. Plus le malware s'exécute longtemps, plus l'infection se propage, ce qui complique la reprise après sinistre et la reprise des opérations.

Architecture de sécurité holistique de Qumulo : aperçu 

Une approche holistique de la sécurité pour détection de ransomware capture les données d'autant d'appareils que possible pour identifier les événements suspects au(x) point(s) d'entrée à des fins d'analyse et de corrélation. Lors de la détection, des mesures sont prises pour empêcher le ransomware d'accéder aux couches suivantes, y compris votre stockage de fichiers.

Mettre en œuvre une approche de sécurité holistique qui inclut des techniques de surveillance du réseau, du calcul, des appareils et des événements, ainsi que des corrélation et analyse des données, est préférable aux solutions de sécurité cloisonnées intégrées au système de stockage. L'objectif est d'empêcher le ransomware de s'approcher de vos données de fichier.

La plate-forme de données de fichiers Qumulo est construit avec la sécurité en son cœur et comprend un large éventail de technologies modernes et de services de données conçus pour protéger les données. L'architecture logicielle de Qumulo est un système de fichiers spécialement conçu avec une pile de protocoles développée en natif. Il n'utilise aucun code tiers pour les protocoles d'accès aux données de fichiers. Les mises à jour logicielles bimensuelles incluent l'image et le système d'exploitation Qumulo et les mises à jour et les correctifs sont intégrés par Qumulo, y compris tous les problèmes courants de vulnérabilité et d'exposition (CVE). 

Pour ces raisons et bien d'autres, Qumulo est en mesure de prendre en charge une stratégie de sécurité holistique dans trois domaines. La prévention et la détection sont traitées dans cet article et la récupération et la reprise dans le deuxième article de cette série en deux parties :

  1. la prévention pour réduire votre surface à risque 
  2. détection pour découvrir et arrêter les activités suspectes tôt 
  3. reprise et reprise pour soutenir la continuité des activités 

La plate-forme de données de fichiers Qumulo

Une approche de sécurité holistique est la meilleure défense contre les ransomwares

Domaine Holistique : Prévention

Les exploits d'attaques de logiciels malveillants les plus courants se produisent en dehors de votre système de stockage et vous voulez les empêcher d'y accéder. Le premier objectif du ransomware est de passer derrière votre pare-feu et dans votre réseau, où le mauvais acteur peut regarder, se déplacer et planifier l'attaque. Voici de nombreuses fonctionnalités de sécurité faciles à utiliser qui sont intégrées au logiciel du système de fichiers Qumulo pour réduire la surface de menace disponible pour les ransomwares et autres exploits. 

  • Système d'exploitation Linux verrouillé – une image Ubuntu minimale pour réduire la surface de risque
  • Mises à jour du produit toutes les deux semaines — avec des fonctionnalités de sécurité et des correctifs intégrés
  • Le système de fichiers s'exécute complètement dans l'espace utilisateur (LD/LDAP)
  • Contrôle d'accès basé sur les rôles (RBAC) - spécifie ce que chaque groupe d'utilisateurs peut faire avec des rôles prédéfinis et délègue les moindres privilèges
  • Restrictions à l'accès des fichiers SMB et NFS aux hôtes sur le réseau 
  • Énumération basée sur l'accès (ABE) - privilèges requis
  • La possibilité de masquer les partages SMB (le chemin exact est nécessaire pour monter le partage)
  • Cryptage des données (les données au repos sont cryptées par défaut))
  • Les données sur le fil peuvent être cryptées et définies par partage

Prévention des ransomwares – Limitation de l'accessibilité aux partages et aux exportations

Domaine Holistique : Détection

Intégration avec le moderne gestion des informations et des événements de sécurité (SIEM) Les solutions capturent les données des appareils et proposent des approches holistiques pour détecter et arrêter les infections par des logiciels malveillants. Un aspect important pour les contrôles de détection est la capture et la corrélation des événements centraux. L'avantage d'une approche SIEM centralisée est qu'elle fournit une solution commune pour tous les centres de données ou instances et services cloud. Les données peuvent être collectées facilement et indexées, filtrées, analysées, recherchées et visualisées. Des actions automatisées ou semi-automatisées peuvent être déclenchées lorsque des activités suspectes sont détectées. C'est l'approche la plus efficace car le ransomware est identifié et arrêté avant qu'il n'atteigne votre système de fichiers. 

Qumulo envoie des journaux d'audit aux solutions SIEM pour détecter les activités de menace.

Qumulo envoie des journaux d'audit au format syslog standard aux solutions SIEM du marché, notamment Splunk, Elastic Search, AWS Cloudwatch et Azure Sentinel.

De plus, les systèmes de détection d'intrusion (IDS) peuvent détecter des modèles de trafic réseau dangereux ; par exemple, des requêtes de serveur de noms de domaine (DNS) anormales utilisées pour exfiltrer des paquets de données qui sont corrélés à une technique d'exploitation. De nombreuses entreprises utilisent des systèmes de prévention des intrusions (IPS) pour les contrôles de détection avec des fonctionnalités avancées de pare-feu et de détection d'exploits qui bloquent certaines catégories d'attaques.

Mettre en œuvre des réponses automatisées à l'aide de l'API Qumulo

L'équipe de Plateforme de données de fichiers Qumulo prend en charge tous les principaux logiciels de sécurité du marché grâce à sa fonction d'audit. De plus, l'API de Qumulo vous permet de lancer des actions d'atténuation automatisées à partir de n'importe quelle surface d'attaque si une activité malveillante est détectée. Il existe plusieurs façons d'exploiter l'API Qumulo avec des appels API directs et Qumulo fournit des bibliothèques Python pour simplifier le développement de scripts d'API et le Qumulo Core CLI.

Sur le réseau, une fois que le système IDS a détecté une activité suspecte ou même malveillante pour un fichier, le système peut déclencher des événements automatisés pour atténuer les risques. Qumulo fournit un API REST riche qui permet d'automatiser toutes sortes de tâches de gestion sur le cluster, y compris des tâches d'atténuation des logiciels malveillants en cas d'événement de sécurité :

  • Définissez un quota pour un répertoire ou définissez le système complet sur 0. Toute nouvelle activité d'écriture est interdite (mais les écrasements peuvent toujours être possibles).
  • Définir un partage sur des adresses IP en lecture seule ou restreintes
  • Supprimer les privilèges d'un ou plusieurs utilisateurs
  • Prendre ou restaurer un instantané
  • Lancer une analyse antivirus à la demande

L'histoire récente a montré que même de bons contrôles de sécurité peuvent être surmontés par un ransomware ; et par conséquent, un moyen de récupérer et de reprendre les opérations est nécessaire. Le système de fichiers de Qumulo prend en charge les stratégies de reprise après sinistre avec des fonctionnalités très efficaces et faciles à mettre en œuvre. services de données qui sont intégrés à Qumulo Core, y compris le codage d'effacement, les instantanés immuables, la sauvegarde dans le cloud et la réplication de la politique d'instantané. 

Dans le prochain article de cette série, Je couvrirai le troisième domaine holistique : les données rrécupération et reprise des opérations (roll back) après une attaque de ransomware. 

Apprendre encore plus

Contact