Face aux ransomwares, traiter les sauvegardes comme l’ultime bastion
Atempo, CommVault, Veeam, Wooxo ont répondu à nos observations sur ces cyberattaques de ransomwares qui vont jusqu’aux sauvegardes. Ils soulignent l’importance de protéger ces dernières et de les isoler du reste de l’infrastructure.
Le suivi de nombreuses négociations entre attaquants et victimes de ransomware nous a permis de pointer des exemples de destruction de sauvegarde. Face à ces observations, Cyrille Barthelemy et Pauline Donon, chez Intrinsec, Laurent Besset d’I-Tracing, et Benjamin Leroux, d’Advens, ont partagé leur expertise et expliqué comment s’y prendre, au mieux, pour éviter une telle catastrophe.
Pascal Potier, vice-président exécutif d’Atempo, Xavier Bourdelois, ingénieur avant-vente de CommVault, Stéphane Berthaud, directeur commercial technique de Veeam France et Afrique, et Bruno Roques, chargé de la solution de sauvegarde Yoobackup, chez Wooxo, ont également accepté de partager leur expérience et leurs recommandations.
Pour Bruno Roques, « les cybercriminels ont compris dès 2018-2019 que l’adversaire principal de leurs ransomwares n’était plus l’antivirus, mais la sauvegarde informatique. Les cas de prise en otage des données sauvegardées en plus des données des postes et serveurs ont explosé durant cette période empêchant toute restauration ». Dès lors, pas de doute, « la nécessité de renforcer la sécurité de ce dernier bastion qu’est la sauvegarde informatique est primordiale ».
« Lorsque des attaquants prennent le contrôle du système de sauvegarde, ils ont alors la possibilité d’affecter les données de secours. »
Stéphane BerthaudDirecteur commercial technique, Veeam France et Afrique
Stéphane Berthaud ne dit pas autre chose : si « les systèmes de sauvegarde ne sont pas, en soi, plus ou moins vulnérables que les autres systèmes », ils constituent « une cible à haute valeur, car lorsque des attaquants prennent le contrôle du système de sauvegarde, ils ont alors la possibilité d’affecter les données de secours, c’est-à-dire celles qui permettent de se protéger en cas d’attaque ». Pas de doute, donc, il y a là « l’une des cibles les plus intéressantes pour les assaillants ».
En fait, pour Pascal Potier, il est tout simplement « primordial de considérer toute infrastructure de sauvegarde comme une autre application critique de l’entreprise. Comme cette infrastructure contient une copie des données sensibles de l’entreprise nécessaires à sa survie, il est impératif d’en restreindre l’accès ».
Dissocier de l’Active Directory
Alors pour lui, « si l’on veut éviter toute contamination virale et même si cela rajoute une certaine contrainte d’exploitation, l’exigence de sécurité est de ne plus utiliser les règles d’authentification d’annuaires centralisée (entre autres Active Directory) pour accéder à un système de sauvegarde ».
Bruno Roques s’inscrit clairement sur la même ligne : « il ne faut plus s’appuyer sur des services comme un Active Directory (AD) […] pour gérer les accès au bunker de sauvegarde », puisqu’il peut être compromis par des attaquants. Et d’illustrer son propos : « je ne citerai pas [toutes ces] sociétés dont la sauvegarde a été “cryptolockée”, car simplement déposée sur un NAS dont les accès étaient stockés dans un AD, mais c’est affligeant et extrêmement préjudiciable pour elles ».
Même son de cloche du côté de Stéphane Berthaud : « il est tout à fait possible de mettre les solutions de sauvegarde dans un réseau et dans un framework d’authentification complètement distincts si on le souhaite. Ainsi le vol d’éléments d’authentification donnera accès aux systèmes critiques de l’entreprise, mais pas aux sauvegardes elles-mêmes ».
« Ce mécanisme [d’immuabilité] permet de s’assurer qu’aucun utilisateur n’est en mesure de modifier les dernières sauvegardes pendant une durée définie. »
Stéphane BerthaudDirecteur commercial technique, Veeam France et Afrique
Mais quid du cas où le système d’authentification qui donne accès aux sauvegardes est lui-même compromis ? Là, explique Stéphane Berthaud, « il est impératif d’activer sur le système de sauvegarde son dispositif d’immuabilité. Ce mécanisme permet de s’assurer qu’aucun utilisateur n’est en mesure de modifier les dernières sauvegardes pendant une durée définie. Ainsi en cas d’attaque, les données de sauvegarde resteront intègres et pourront donc servir à la restauration ».
Xavier Bourdelois recommande la même approche : « activer les fonctions de WORM (écriture unique, lecture multiple) qui rendent les données de sauvegarde immuables – en d’autres termes, impossibles à modifier ou à supprimer – et bloquent par conséquent les tentatives de chiffrement illicites. L’immuabilité protège les données à l’intérieur de la solution de sauvegarde, mais aussi leurs copies stockées à l’extérieur. Assurez-vous juste que cela ne fera pas obstacle aux objectifs de récupération que vous avez définis ».
Multiplier les lieux de stockage
Mais ce n’est pas tout. Et Stéphane Berthaud rappelle la règle dite du 3-2-1 : « une fois que ces opérations sont bien effectuées, nous recommandons toujours de mettre en place la règle dite de “la sauvegarde 3, 2, 1”, selon laquelle les entreprises doivent avoir 3 copies différentes des données sur 2 supports différents, l’une d’entre elles étant hors site. C’est la défense la plus importante contre les ransomwares, les menaces d’initiés et les suppressions accidentelles ».
Et encore, « la copie de secours doit être couplée à une technologie ultrarésistante telle qu’une sauvegarde immuable, une sauvegarde hors ligne (non connectée au réseau) ou physiquement isolée (“air-gap”) ».
Xavier Bourdelois souligne d’ailleurs l’importance de cet isolement physique : « l’isolation des données à l’aide de techniques “air-gap” peut réduire l’exposition des données de sauvegarde au risque de logiciels malveillants. S’il y a des restrictions d’accès réseau ou accès en lecture/écriture aux copies de sauvegarde de vos données, il n’y a aucun moyen de violer ou de corrompre ces données, car seuls les processus de sauvegarde vérifiés peuvent gérer ces ressources. Pour être efficace, vous devez également envisager la question de l’accès physique aux données – il est toujours possible qu’un infiltré inflige des dommages physiques à votre bibliothèque de bandes ».
Pascal Potier observe d’ailleurs un regain d’intérêt pour la sauvegarde sur bandes avant délocalisation du support : « les vielles bonnes pratiques en la matière qui avaient pratiquement disparu, et qui consistent à réaliser une copie périodique de ses données sur des bandes magnétiques, puis à les externaliser, redeviennent une tendance forte ».
Et il y voit une raison simple : le délai de détection, parfois très long, des attaques. Dans ce contexte, « la seule stratégie efficace en matière de protection de ses données consiste nécessairement à disposer d’une copie de celle-ci sur bandes à l’extérieur, et d’appliquer une rétention minimale de 6 à 9 mois. Depuis dix-huit mois, nous observons cette tendance de fond qui consiste à réintroduire des librairies de bandes dans les datacenters de nos clients ».
S’assurer de sauvegardes « saines »
« [Il est] important d’empêcher la plateforme de sauvegarde d’être elle-même un canal pour propager des logiciels malveillants. »
Xavier BourdeloisIngénieur avant-vente, CommVault
Les défis ne s’arrêtent pas là, hélas. Xavier Bourdelois le souligne : il est « important d’empêcher la plate-forme de sauvegarde d’être elle-même un canal pour propager des logiciels malveillants, que ce soit vers les données de sauvegarde qu’elle gère sur une baie de disques ou vers le reste du réseau ». Et cela d’autant plus que « la plate-forme de sauvegarde n’est pas conçue pour rechercher ou supprimer les logiciels malveillants ou pour les empêcher de se propager vers des données de sauvegarde externes ».
Reste que le sujet de la propreté des backups au moment de la restauration est de plus en plus pris en compte. Ainsi, Stéphane Berthaud explique que « après l’attaque, au moment de relancer l’activité, il faut restaurer les sauvegardes. Cette étape doit aussi être protégée. Secure Restore, une fonction de Veeam Backup & Replication, permet d’effectuer un scan antivirus au cours du processus de restauration, pour éviter de restaurer le virus ».
La bonne nouvelle est donc qu’il est techniquement possible d’être préparé solidement à faire face à une cyberattaque de rançongiciel, réussie et conduite à son terme. Certes, ce n’est manifestement pas trivial, et Stéphane Berthaud le reconnaît volontiers : « il y a un gros travail de sécurisation à faire en amont », mais aussi de préparation organisationnelle de la réponse à incident.
Et pour Bruno Roques, « couplés à des options de restaurations rapides ou de redémarrage instantanés », les outils de sauvegarde modernes « offrent le meilleur rempart contre la perte de données et l’arrêt de l’activité. Les responsables IT doivent en prendre conscience pour aborder 2021 sereinement ».
Sans oublier toutefois qu’en cas d’attaque, il ne s’agit pas uniquement de restaurer, mais bien de reconstruire, en considérant que l’environnement a été compromis très en profondeur. Négliger cela, c’est ouvrir la voie à une autre attaque ultérieure.
