Logo - Pure Storage
Blog Home

Protégez vos données contre les attaques de ransomware avec les snapshots SafeMode™

À cause de quelques personnes malintentionnées, nous portons tous un fardeau. À la maison, cela implique de verrouiller la porte d’entrée, de vérifier que le portail est bien fermé, ou de prendre d’autres précautions. Lorsqu’il s’agit d’assurer la sécurité d’un datacenter, cette menace omniprésente entraîne des coûts importants. Bien qu’indispensable, cela n’a rien d’enthousiasmant : vous […]

Protégez vos données contre les attaques de ransomware avec les snapshots SafeMode™
6 minutes

Share:

image_pdfimage_print

À cause de quelques personnes malintentionnées, nous portons tous un fardeau. À la maison, cela implique de verrouiller la porte d’entrée, de vérifier que le portail est bien fermé, ou de prendre d’autres précautions. Lorsqu’il s’agit d’assurer la sécurité d’un datacenter, cette menace omniprésente entraîne des coûts importants. Bien qu’indispensable, cela n’a rien d’enthousiasmant : vous devez payer des frais pour que votre organisation puisse continuer à fonctionner normalement. Les ransomwares font peser une charge d’un nouveau genre sur les datacenters. Si vous en êtes victime, les conséquences peuvent être désastreuses : arrêt complet de vos activités, coûts consécutifs à cette interruption, atteinte à la réputation, sans oublier la rançon exorbitante. Après toutes ces péripéties, vous vous retrouvez à la case départ. C’est pourquoi vous devez pouvoir atténuer les attaques de ransomware en toute simplicité. Le processus doit d’être aussi banal qu’une simple vérification de la porte d’entrée avant d’aller vous coucher. C’est exactement ce que vous propose SafeMode de Pure Storage®. Dans cet article, nous vous présentons les snapshots SafeMode.

Les attaques de ransomware

De nos jours, on parle de ransomware un peu partout, nous n’entrerons donc pas dans les détails. En bref, lors d’une attaque, un hacker chiffre vos données et vous vend ensuite la clé de déchiffrement pour vous permettre de les récupérer. Ce que beaucoup de gens ignorent, c’est que les logiciels de ransomware se vendent sur Internet tout aussi facilement qu’un logiciel classique. Et cette pratique est très lucrative.

Un intrus a simplement besoin d’un peu de chance et de quelques compétences pour accéder à un périphérique de stockage ou à un serveur d’application et à l’ensemble des volumes connectés. La maintenance préventive est essentielle : il faut verrouiller les ressources, mettre les anciens appareils hors service et examiner les journaux d’accès. Ces mesures contribueront grandement à prévenir les attaques.

Mais si un intrus parvient tout de même à atteindre votre organisation, les événements s’enchaîneront probablement comme suit :

  1. Par un moyen quelconque, un intrus parvient à accéder à un serveur ou à un périphérique de stockage.
  2. Il lance un processus pour chiffrer progressivement et discrètement les disques et les volumes.
  3. Au bout d’un certain temps, les snapshots de volumes sont définitivement supprimés, ne laissant que les volumes chiffrés.
  4. L’application plante et vos services sont hors ligne jusqu’au versement de la rançon.
  5. Après paiement de la rançon, si tout se passe bien, vous pouvez relancer l’application et accéder aux données chiffrées.

Atténuation des attaques de ransomware grâce aux snapshots SafeMode

Reprenons la même séquence d’événements après l’activation de SafeMode.

  1. Par un moyen quelconque, un intrus parvient à accéder à un serveur ou à un périphérique de stockage.
  2. Il lance un processus pour chiffrer progressivement et discrètement les disques et les volumes.
  3. Il tente de supprimer les snapshots, mais n’y parvient pas puisqu’ils sont verrouillés avec SafeMode.
  4. Les volumes chiffrés par l’intrus sont mis hors ligne et remplacés par des snapshots verrouillés, non modifiables.
  5. Vos activités ne sont pas impactées, ou bien seulement interrompues pendant une courte période, et vous n’avez pas de rançon à payer.

Activation simple

SafeMode est une solution de protection des données intégrée à FlashArray™. Il vous suffit de contacter le support Pure Storage pour demander son activation. Le support organisera une téléconférence avec l’équipe chargée de votre compte. Les paramètres de SafeMode ne peuvent être modifiés que dans le cadre d’une réunion entre l’équipe du Support et au moins deux interlocuteurs autorisés de votre organisation. Vous pouvez autoriser jusqu’à cinq personnes à apporter des modifications à SafeMode. Un code à six chiffres sera remis à chacune d’entre elles.

Utilisation facile

SafeMode ne supprime pas les volumes, les snapshots, les hôtes ou quoi que ce soit d’autre de votre système. Il les détruit. Après destruction, ces objets sont placés dans une zone dédiée, visible dans l’interface graphique. Ils peuvent être récupérés pendant 24 heures. Après ce délai, SafeMode supprime ces objets de manière définitive. En cas d’erreur, un bouton « annuler » permet d’arrêter le compte à rebours avant éradication.

Cependant, tous les administrateurs de la baie peuvent éradiquer les objets détruits. Il leur suffit de cliquer sur l’icône de la corbeille à côté de chaque objet pour qu’ils disparaissent à jamais. Pour empêcher cela, SafeMode verrouille tous les éléments dans la zone « détruits ». Les objets ne seront pas supprimés avant la fin du compte à rebours. En cas d’attaque de ransomware, un délai de 24 heures n’est pas suffisant. Il est conseillé d’étendre la durée de conservation à 14 jours et vous pouvez sélectionner jusqu’à 30 jours.

En résumé, pour configurer SafeMode afin de protéger vos données, vous devez simplement :

  1. Contacter Pure et activer SafeMode.
  2. Désigner les interlocuteurs autorisés et consigner les codes remis à chacun.
  3. Paramétrer le délai avant éradication en le prolongeant au-delà de 24 heures afin de disposer d’une fenêtre de récupération optimale.

Snapshots immuables

Les snapshots Pure Storage sont immuables. Avec SafeMode, ils ne peuvent pas non plus être éradiqués. Et ils sont rapides, ils peuvent créer des structures de données persistantes en moins d’une milliseconde. Enfin et surtout, les groupes de protection permettent de configurer des politiques de snapshot solides. Ces politiques définissent la fréquence des snapshots, la politique de rétention applicable et même les options d’envoi vers d’autres destinations comme FlashArray//C, FlashBlade®, AWS, Microsoft Azure et les partages NFS.

SafeMode est une solution haute performance complète. Voici quelques-uns de ses autres avantages. Avec la dernière version de Purity, SafeMode verrouille également :

  • Les cibles des groupes de protection : un intrus ne peut empêcher l’envoi des snapshots vers une autre destination.
  • Le délai de rétention des snapshots : un intrus ne peut pas contourner le délai de rétention et éradiquer l’ensemble des snapshots. Ce délai peut être prolongé, mais pas réduit, à moins que deux interlocuteurs autorisés contactent le support Pure en indiquant leur code confidentiel.
  • Les fichiers FlashArray.

Conclusion

SafeMode est une fonctionnalité intégrée à FlashArray. Les politiques sont configurables à l’infini, ce qui permet de décharger les snapshots à volonté. Si la technologie complique souvent les choses, ce n’est pas le cas avec FlashArray. Nous le répétons depuis 2011, il n’y a aucune raison de faire des compromis ou de se compliquer la vie.

En savoir plus sur les ransomwares

  1. Protection contre les ransomwares avec la fonction MSDP dans NetBackup et FlashBlade
  2. La reprise après sinistre s’applique-t-elle vraiment en cas d’attaque de ransomware ?
  3. Les ransomwares ne faiblissent pas, mais les gouvernements savent comment riposter

Written By:

Pure Storage

Top Stories