Utiliser les outils de reprise après sinistre virtualisés pour lutter contre les rançongiciels

Pour combattre les dégâts infligés par les rançongiciels, certaines fonctions clés des outils de reprise après sinistre virtualisés s'avèrent bien plus efficaces que les fonctions proposées par les environnements physiques.

La récente vague d’attaque par des logiciels malveillants tels que les Cryptolockers a fourni une excellente occasion de montrer à quel point l'infrastructure virtuelle peut être dynamique et flexible et comment les entreprises peuvent éviter les problèmes en utilisant un environnement virtualisé.

Le joyau de l'infrastructure de reprise après sinistre virtualisée (DR) est la fonction de copie instantanée. Les copies ponctuelles sont très similaires aux snapshots classiques des machines virtuelles, mais moins lourdes ; elles ne conservent pas de copies de la mémoire de la machine virtuelle et d'autres éléments moins importants. Ces copies permettent à un administrateur de réinstaller un système virtualisé à un moment antérieur au moment où le malware a été détecté.

Le processus de prise d'instantané, dans un environnement de reprise après sinistre virtualisé, est automatisé et conserve des centaines ou des milliers de copies ponctuelles des données qui peuvent s'étendre sur plusieurs jours, voire plusieurs semaines. Bien que cela puisse sembler très inefficace, c'est en fait le contraire. Chaque copie ne fait que suivre les modifications de blocs par un mécanisme de pointeur. Essentiellement, cela signifie que de grandes quantités de changements peuvent être représentées par une infime quantité de données de bloc copiées. Et cela signifie aussi que si les instantanés sont pris de façon fréquente (ce qu’accomplit un logiciel de quasi CDP, continuous data protection), il est possible de revenir à l’état de données précédent une infection à quelques minutes près. 

DR virtuel vs. physique

Ce type de fonctionnalité n'est pas disponible en standard sur les hôtes physiques. Alors que les hôtes physiques peuvent avoir des points de restauration fournis par la fonctionnalité OS intégrée (c'est-à-dire les points de restauration Windows), les logiciels malveillants modernes suppriment la protection des points de restauration. Pour contourner cette limitation, il faut investir dans des logiciels spécialisés. En revanche dans un environnement virtualisé, Comme la fonctionnalité de restauration et les copies ponctuelles sont isolées de la VM, la fonctionnalité de restauration ne peut pas être subvertie de l'intérieur de celle-ci. (En supposant que le système de DR sous-jacent est toujours disponible et qu'il n'est pas touché. 

Comparez cette reprise après sinistre virtualisée à un environnement physique. Il existe des mécanismes de réplication dans les baies de stockage, mais ces derniers peuvent être lourds à utiliser et surtout ils n’ont pas été conçus à l’origine pour se protéger d’attaque malicieuse, mais plutôt de pannes. Revenir à un état antérieur avec ces outils implique de multiples tâches manuelles. Cela est problématique avec un seul serveur et peut devenir un vrai casse-tête si des dizaines voire des centaines de machines sont compromises.

Dans ce cas, les mécanismes de reprise après sinistre virtualisés offrent un gain de temps considérable. Les produits DR haut de gamme permettent ainsi le plus souvent de revenir à un état antérieur cohérent en moins de 15 minutes.

Un environnement de reprise après sinistre entièrement virtualisé offre des fonctionnalités qui aident les entreprises à lutter contre les attaques de logiciels malveillants et de logiciels en rançon. Quiconque ne profite pas de leurs services perd un avantage tactique massif, facile à utiliser et à mettre en œuvre.

Dernière mise à jour de cet article : octobre 2018

Soyez le premier à commenter

M'envoyer une notification dès qu'un autre membre commente.

Merci de créer un identifiant pour pouvoir poster votre commentaire.

- ANNONCES GOOGLE

Close