Prévention des Ransomware, détection et récupération

Par Philippe Decherat

Depuis le début de l’année 2020, les responsables de la sécurité de l’information en entreprises – mais aussi collectivités, administrations, ministères… – ont dû lutter contre de très nombreuses infections de malware, en particulier des ransomwares.

Le logiciel COMMVAULT est conçu pour résister aux attaques des ransomwares, et s’inscrit dans une stratégie de prévention, détection et restauration. Comme pour tout logiciel engagé dans la lutte contre les virus, nous vous recommandons de mettre à jour régulièrement Commvault et de suivre les bonnes pratiques indiquées dans la documentation :

Prévention

Détails des bonnes pratiques de Commvault vis-à-vis des ransomwares

Prévention

  • Communiquer les risques auprès des employés 
  • Mise en place d’un plan de sécurité, plan qui sera régulièrement testé et mis à jour 
  • Auditer les niveaux de sécurité, les systèmes de gestion des droits d’accès 
  • Mise en place de détecteurs de ransomware qui donneront l’alerte (en plus des logiciels de sécurité antimalware & antivirus) 
  • Identifier les applications critiques, les Recovery Point Objective/Recovery Time Objective, les sites de secours, les plans de reprise d’activité, et sauvegarder toutes vos données 
  • Auditer et mettre en conformité l’implémentation des logiciels de sauvegarde et/ou de Plan de Reprise d’Activité pour s’assurer qu’ils seront capables de restaurer en cas d’attaque ou d’assurer la reprise ou continuité de service : ils représentent des applications cibles pour les pirates afin de maximiser l’impact de leurs attaques
  • Mettre à jour régulièrement les logiciels de sécurité et de protection des données, les logiciels pirates évoluant très rapidement 
  • La multiplication des logiciels de protection fait peser un accroissement du risque car elle augmente les paramétrages et les mises à jour, sauf si toutes les données sont sauvegardées en double/triple/(etc.) par autant de logiciels mis en place, ce qui est peu envisageable 
  • Sauvegarde, utiliser des stockages de sauvegarde différents, offline ou non attachés directement aux serveurs comme des NAS ou du cloud, pour multiplier vos chances de restaurations : stratégie 3 copies, 2 médias, 1 offline. Une mise en place de type AirGap, disponible avec Commvault, permet de renforcer l’étanchéité des moyens de restauration

Détection

  • Le logiciel Commvault détecte automatiquement la présence de Ransomware sur vos ordinateurs clients à l’aide de la méthode du fichier pot de miel. La vérification du ransomware a lieu une fois toutes les 4 heures.
  • Le logiciel Commvault avertit immédiatement l’administrateur Commvault en envoyant une alerte et en affichant un message d’événement.

Monitoring File Anomalies On Client>

Restauration

Commvault grâce à sa capacité à sauvegarder toutes vos données en respectant vos RPO/RTO sera le dernier rempart contre les attaques des ransomwares. Vous pourrez restaurer vos données telle qu’elles étaient avant d’être chiffrées.

Recovering From a Ransomware Attack>

Pour cela il est important de suivre les recommandations de paramétrage et mise en place indiquée lors de la phase de prévention.

Dans la console Command Center, allez dans le panneau de configuration et cocher la case ci-dessous :

En cas d’attaque, vous pouvez vous connecter à cloud.commvault.com avec votre compte Maintenance Advantage (en tant que client Commvault avec une maintenance à jour), puis choisissez « Mes données » pour sélectionner et télécharger le fichier de dump.

Il est possible de mettre en place une sécurisation similaire en paramétrant l’envois de ce dump vers un support de votre choix comme du cloud, de la bande, un NAS.

  • Sécurisation des librairies de disques attachées aux Media Agents :

Enabling Ransomware Protection on MediaAgents>

Commvault offre la possibilité de protéger tous les chemins de montage associés aux librairies de disques configurées à partir d’un Media Agent contre les attaques Ransomware.

  • Lorsque la protection contre les ransomwares est activée, aucune autre application, comme un ransomware exécuté sur le Media Agent, ne sera autorisée à modifier, supprimer ou accéder aux fichiers sur les chemins de montage connectés localement et les chemins de montage réseau.
  • Pour garantir une protection complète des données sur un chemin de montage réseau, le partage réseau doit avoir des autorisations restreintes avec uniquement un utilisateur de sauvegarde Commvault spécifique avec des autorisations d’écriture, de modification et de suppression.
    • Ces informations d’identification d’utilisateur de sauvegarde Commvault doivent être utilisées pour configurer le chemin de montage de la bibliothèque de disques Commvault.
    • Tous les agents multimédias accédant à ce partage doivent avoir la protection Ransomware activée.
    • Pour réitérer, assurez-vous qu’aucun autre utilisateur, autre que cet utilisateur de sauvegarde spécifique (pas même un administrateur), n’a les autorisations d’écriture, de modification ou de suppression sur ce partage réseau.

Pour continuer la conversation : Commvault Professional Services vous propose un audit de votre environnement Commvault pour vous accompagner dans votre stratégie contre les ransomwares.