Les entreprises deviennent plus résilientes dans la lutte permanente contre les ransomwares. Des rapports de Coveware by Veeam et Chainalysis montrent une baisse significative des paiements de ransomwares au quatrième trimestre 2024. Ce succès est attribué à plusieurs facteurs clés, notamment l’amélioration des réglementations fédérales, la réussite du démantèlement de grands groupes de cybercriminels et, surtout, le fait que les entreprises soient mieux préparées et plus résilientes pour contrer les attaques de logiciels malveillants basés sur le chiffrement et s’en relever.
La protection des données a considérablement évolué ces dernières années. Les débats, auparavant centrés sur les mérites comparés de la déduplication en ligne ou post-traitement, sont passés à des sujets portant sur la sécurité tels que l’inaltérabilité des workloads, la réponse aux incidents et la détection des logiciels malveillants. L’analyse des sauvegardes à la recherche de logiciels malveillants n’a jamais été destinée à remplacer les terminaux traditionnels ou les outils de détection et de réponse étendus. Il est destiné à fournir une couche de détection supplémentaire pour une approche de défense en profondeur pour détecter les logiciels malveillants. Dans le secteur de la protection des données, Veeam offre les fonctionnalités les plus pratiques et complètes d’analyse des logiciels malveillants avant, pendant et après la sauvegarde. Examinons chaque scénario d’utilisation.
Avant la sauvegarde : Évaluation proactive des menaces
Sur la base du cadre MITRE ATT&CK et des données de Coveware by Veeam, nous savons que les acteurs malveillants ciblent les sauvegardes une fois qu’ils ont réussi à pénétrer le système. Veeam est le seul fournisseur à rechercher de manière proactive les comportements suspects avant de réaliser une sauvegarde.
- Recon Scanner : fournit des alertes proactives sur les menaces potentielles qui pèsent sur votre serveur de sauvegarde, détectant des événements suspects tels que les tentatives d’accès à distance depuis des adresses IP inconnues ou les tentatives d’attaques par « brute force » de comptes compromis. Il permet d’identifier les vulnérabilités et de créer une chronologie des événements pour identifier les points de restauration sains.
- Observabilité, analyses et perspectives basées sur l’IA : détectent les anomalies dans l’environnement de production avant la sauvegarde et identifient les modèles de VM inhabituels, les attaques par « brute force » sur ESXi et vCenter, et les activités SSH suspectes.
- API d’incidents Veeam : Permet à des outils de sécurité tiers de s’intégrer à Veeam en signalant les points de restauration potentiellement malveillants et en déclenchant des sauvegardes hors bande pour les workloads activement chiffrés.
Pendant la sauvegarde : Plusieurs couches de détection en ligne
Veeam détecte et atténue les menaces en temps réel pendant les sauvegardes, surpassant ainsi les autres solutions qui nécessitent une analyse post-traitement et l’envoi de métadonnées vers le cloud simplement pour identifier d’élémentaires modifications en masse.
- Scanner IoC : vérifie si des outils dangereux connus pour être utilisés par les cybercriminels s’exécutent sur les machines et détecte les outils nouvellement installés (même s’il s’agit d’outils existant dans le système) susceptibles d’exfiltrer, de chiffrer ou d’endommager des données.
- Analyse d’entropie : analyse les blocs de données à la recherche d’éléments aléatoires, de données chiffrées, de liens Onion ou de notes de rançon.
- Indexation des fichiers : Utilise une analyse basée sur les signatures pour analyser la base de données Veeam à la recherche d’extensions connues de logiciels malveillants, assurant ainsi un signalement rapide des menaces potentielles.
- Sauvegardes inaltérables : garantissent la restauration des sauvegardes en cas de cyberattaque chiffrée à l’aide d’options telles que la cible renforcée de Veeam, le stockage Veeam Vault et l’immutabilité de tiers.
Après la sauvegarde : une restauration rapide et sans erreurs est garantie
Malheureusement, il n’y aurait pas de ransomwares si les outils de prévention et de détection détectaient tout. Les organisations doivent se préparer au pire, mais espérer le meilleur. L’analyse post-traitement est essentielle pour garantir une restauration saine des données et éviter une réinfection si un acteur malveillant échappe à la détection.
- Recon Blast Radius : Identifie l’ampleur réelle d’une attaque par ransomware en détectant les fichiers endommagés ou non chiffrés et en établissant une chronologie des événements.
- Threat Hunter : Analyse les points de restauration à la recherche de logiciels malveillants à l’aide d’un moteur antivirus basé sur les signatures, pour s’assurer que seules les données saines sont utilisées lors de la restauration.
- Analyse basée sur des règles YARA : recherche les signes d’attaque et les logiciels malveillants non détectés par d’autres outils ou qui sont des vulnérabilités de type « jour zéro ».
- Restauration orchestrée et fonctionnalités de salle blanche : créent des plans de restauration détaillés pour tester et valider la restauration des applications stratégiques.
Synthèse globale
Ces capacités d’analyse sont plus efficaces lorsque les équipes de sécurité sont impliquées. Le transfert des événements vers les outils et tableaux de bord déjà utilisés par votre équipe de sécurité permet d’automatiser les processus. Rassemblons tout cela dans un exemple pour mieux visualiser comment tous ces composants fonctionnent ensemble :
- Veeam ou un outil EDR/XDR détecte un comportement suspect sur une machine avant ou pendant la sauvegarde.
- L’événement est transféré vers l’outil SIEM de l’organisation.
- Un manuel s’ouvre automatiquement et déclenche la restauration instantanée de la machine soupçonnée d’être infectée vers un environnement de salle blanche afin d’obtenir un second avis de la part de Veeam Threat Hunter.
- Si l’analyse ne révèle rien, l’événement est marqué comme faux positif.
- Si l’analyse confirme la présence d’un logiciel malveillant, Recon Blast Radius analyse les machines pour mieux comprendre la chronologie et l’étendue des données impactées.
- Enfin, ne vous limitez pas à la récupération à partir d’une sauvegarde sur disque dur. Récupérez vos données à partir de bien plus que de simples sauvegardes, une fois que l’ampleur de l’attaque est connue et que l’auteur de la menace est éradiqué.
Conclusion
Veeam’s commitment to cybersecurity extends throughout the entire data lifecycle. From before backup, during backup, and after backup. Veeam ensures that your data is protected at every stage. This comprehensive approach not only minimizes the risk and impact of cyberattacks but also ensures that organizations can recover quickly and efficiently. In conclusion, Veeam’s sophisticated scanning technologies and proactive strategies make it the most reliable solution for malware detection and recovery. By integrating advanced tools and maintaining a vigilant approach to cybersecurity, Veeam helps organizations stay one step ahead of cyber threats, ensuring that their data remains resilient and their operations uninterrupted.