Les snapshots, ultime ligne de défense contre les ransomware ?

CybersécuritéRansomwareSécurité
ransomwares triple extorsion

Contre les ransomwares, la méthode de défense la plus efficace est basée sur la capacité à revenir dans le temps, à l’instant précédant le moment où le logiciel malveillant a pénétré dans les systèmes.

La prolifération et la puissance des attaques de ransomware est aujourd’hui telle que les entreprises ne doivent plus se demander si ou quand elles en seront victimes, mais à quelle fréquence. L’ANSSI comptabilisait 203 attaques par ransomwares en France en 2021 contre 192 en 2020, et le bilan pour l’année 2022 sera tout aussi important.

En partant du principe qu’il est presque impossible de repousser des pirates déterminés, la clé pour résister à une attaque de ransomware consiste, pour les entreprises, à pouvoir restaurer les systèmes tels qu’ils étaient avant que les pare-feux aient été franchis, et ce rapidement. C’est ici qu’interviennent les snapshots.

Les snapshots sont des photographies de l’état et des données d’un système, prises à intervalles réguliers pendant la journée, ce qui permet à l’entreprise victime de restaurer une configuration antérieure avec une grande précision. Conçus pour être réalisés en affectant au minimum les systèmes de production, ils sont donc souvent stockés sur des supports de stockage primaires, ou à proximité. De ce fait, ces données sont souvent rapides à restaurer. Une entreprise est en mesure de conserver des snapshots sur un ou deux mois.

Si les circonstances le permettent – et en particulier, compte tenu du temps d’exposition (dewll time) – les snapshots sont le moyen le plus efficace de récupérer ses données après une attaque de ransomware en raison de leur rapidité de restauration. À condition, bien sûr, que les pirates ne les aient pas sabotés…

Rendre les snapshots immuables

Traditionnellement, les snapshots sont des copies en lecture seule. En un sens, ils sont donc toujours immuables. Les pirates le savent pertinemment et ils vont donc tenter de les supprimer ou de les déplacer. Les entreprises doivent donc chercher des fournisseurs proposant des snapshots impossibles à supprimer, et qu’un intrus ne peut pas bloquer sans possibilité de transfert – par exemple à des fins de restauration.

Pour aller plus loin en matière de sécurité, l’accès aux snapshots doit être basé sur une authentification multifacteur par code PIN détenu par plusieurs membres du service informatique, et de définir une durée de conservation et des destinations autorisées.

Les snapshots sont la méthode de restauration à favoriser dans le cas où le ransomware n’est présent dans les systèmes que depuis une période relativement courte. Mais ce n’est pas toujours le cas. Il arrive que les pirates passent plusieurs mois à l’intérieur des systèmes, à fureter, installer des logiciels malveillants et corrompre des fichiers. Le cas échéant, il est plus probable qu’une entreprise doive procéder à une restauration à partir de ses sauvegardes.

Combiner les snapshots immuables et les sauvegardes classiques pour une restauration rapide

Les sauvegardes sont généralement conservées sur des périodes bien plus longues que les snapshots. D’autre part, les copies sont réalisées moins fréquemment, souvent en dehors des heures ouvrables. Elles sont quasi systématiquement envoyées vers un support de stockage secondaire, de sorte qu’une restauration basée sur ces dernières peut nécessiter davantage de temps.

Quelle que soit l’option retenue, l’essentiel est de récupérer rapidement les données de manière à assurer la continuité d’activité. En cas d’attaque, tout repose sur le stockage utilisé pour conserver vos copies de protection de données. En d’autres termes : ce support de stockage doit être capable de gérer des vitesses de restauration élevées.

Une restauration rapide grâce au stockage flash

Quels sont donc les types de produits de stockage les mieux adaptés pour conserver les snapshots et les sauvegardes, et surtout : les mieux capables de proposer des performances de restauration rapide ? Premièrement, les clients doivent se pencher sur les offres de stockage flash, capables de prendre en charge des données non structurées (fichier et objet). Or, toutes les offres ne remplissent pas ce critère.

Les dernières générations de stockage flash NAND ont facilité l’émergence de baies garantissant des capacités et des vitesses d’accès extrêmement élevées. Ce sont des baies de stockage dotées de cellules flash à trois niveaux (TLC) et à quatre niveaux (QLC), qui assurent des capacités élevées pour un coût par téraoctet proche de celui des disques durs mécaniques.

Deuxièmement, les clients doivent vérifier les performances de débit. Les baies de stockage flash les plus performantes sur le marché actuellement offrent un débit supérieur à 270 To par heure. Cela suffit à remettre sur pied la plupart des entreprises très rapidement.

En définitive, contre les ransomware, la méthode de défense la plus efficace est basée sur la capacité à revenir dans le temps, à l’instant précédant le moment où le logiciel malveillant a pénétré dans les systèmes. Et la meilleure manière d’y parvenir est d’utiliser un stockage à très hautes capacités, et qui assure un débit élevé pour une restauration accélérée.


Auteur
En savoir plus 
Directeur technique
Pure Storage France
Directeur technique chez Pure Storage France depuis 2014, est spécialiste des technologies innovantes et de leur introduction sur le marché français depuis 20 ans. Auparavant, il a occupé les postes d’ingénieur technique chez Violin Systems et EMC. Il est expert des questions de stockage flash, de transformation digitale et des questionnements soulevés par ces évolutions profondes du secteur.
En savoir plus 

Livres blancs A la Une