Recherche
Fermer cette boîte de recherche.

La détection des ransomwares et la récupération améliorée sont désormais incluses dans le portefeuille de récupération et de réplication de Cristie Software.

Détection précoce des ransomwares intégrée au processus de récupération de votre système.

Lorsque des cybercriminels orchestrent une cyberattaque menée par des humains, ils peuvent avoir passé des mois à identifier et à surmonter les défenses afin de maximiser l'impact de leur attaque. Qu'ils se soient introduits par le biais d'un logiciel malveillant ou par l'exploitation d'un serveur web obsolète ou mal configuré, leur objectif final sera le chiffrement des fichiers afin de demander une rançon pour les données opérationnelles vitales. Les pirates utilisent généralement le chiffrement asymétrique. Il s'agit d'une cryptographie qui utilise une paire de clés pour chiffrer et déchiffrer un fichier. La paire de clés publique-privée est générée de manière unique par le pirate pour la victime, la clé privée permettant de déchiffrer les fichiers étant stockée sur le serveur du pirate. Les attaques menées par l'homme tentent de se propager latéralement dans l'infrastructure d'une organisation et, lorsque la charge utile de chiffrement est exécutée, les fichiers peuvent être chiffrés à une vitesse alarmante. La détection rapide d'anomalies dans la structure et la dénomination des fichiers peut constituer le premier avertissement d'une cyberattaque active et cette capacité a été introduite dans le portefeuille de solutions de récupération et de réplication de systèmes de Cristie Software.

Application de techniques brevetées d'analyse de fichiers pour lutter contre les ransomwares.

Nous avons récemment annoncé l'obtention d'un brevet britannique pour l'autoréparation automatique des erreurs ou des défaillances rencontrées lors d'une restauration ou d'une réplication du système. Cette technologie repose sur des algorithmes qui analysent les fichiers journaux en cours d'exécution afin de fournir une résolution automatique des échecs de restauration du système grâce à l'apprentissage automatique. L'équipe de développement de Cristie Software a appliqué ces technologies pour fournir une détection avancée des anomalies de fichiers qui peut avoir lieu au cours du processus de restauration et de réplication du système. Les sauvegardes du système sont une défense vitale contre les ransomwares et le processus de sauvegarde fournit une occasion idéale de comparer la structure des fichiers entre les images des travaux de sauvegarde ultérieurs. Certains fichiers seront modifiés régulièrement au cours des opérations normales de l'entreprise en raison des actions entreprises dans leurs applications associées ; cependant, le processus de cryptage des fichiers malveillants suivra l'un de plusieurs modèles détectables. Ce sont ces modèles que la technologie de détection d'anomalies de Cristie Software cherchera à identifier et à avertir le plus tôt possible qu'une attaque est en cours.

Détection des schémas de chiffrement des ransomwares.

Pour être efficace, le ransomware doit chiffrer les fichiers, c'est-à-dire qu'il doit lire le contenu des fichiers sur le disque, puis écrire le contenu du fichier chiffré sur le disque. La manière dont cela est effectué varie : certains payloads de ransomware écrivent dans un autre fichier, puis suppriment le fichier d'origine. D'autres écrivent dans le fichier d'origine et renomment éventuellement le fichier après l'avoir chiffré. Par conséquent, la surveillance des suppressions et des renommages massifs fait partie du processus, mais ce n'est que la partie émergée de l'iceberg. Le processus de cryptage proprement dit varie également : certaines charges utiles cryptent des fragments de fichiers, tandis que d'autres peuvent crypter l'intégralité du fichier. Le chiffrement des fichiers est détecté en calculant l'entropie d'un fichier. L'entropie d'un fichier mesure le caractère aléatoire des données qu'il contient et permet de déterminer si un fichier contient des données cachées ou des scripts suspects. L'échelle du caractère aléatoire va de 0, non aléatoire, à 8, totalement aléatoire, comme un fichier crypté. Bien entendu, tout processus de sauvegarde utilisant le cryptage et/ou la compression des données présentera également ces propriétés, notamment le renommage des fichiers avec une extension telle que ".bak", ainsi qu'une augmentation ultérieure de l'entropie du fichier. Tout algorithme de détection d'anomalies dans les fichiers doit donc être capable de distinguer les comportements suspects des comportements attendus afin d'éviter de présenter des alertes faussement positives. Les attaques typiques de ransomware présentent des caractéristiques qui peuvent être détectées par les algorithmes de détection d'anomalies de Cristie en les comparant à des modèles connus. Le processus de détection peut être exécuté après chaque sauvegarde du système. Les rapports d'activité des fichiers et les alertes graduées sont ensuite présentés via un tableau de bord de sécurité dans l'interface utilisateur de l'Appliance Virtuelle (VA) de Cristie. Les alertes peuvent également être envoyées par courrier électronique et enregistrées dans les journaux d'événements.

À quelle vitesse un ransomware peut-il crypter vos données ?

Un article récent publié par la plateforme d'actualités technologiques ZDNET indique que des chercheurs ont testé la vitesse à laquelle 10 souches majeures de ransomware pouvaient crypter des réseaux. Au moment de la rédaction de cet article, ils ont constaté que la forme la plus rapide de ransomware était une souche de logiciel malveillant appelée LockBit, qui prenait un temps médian de seulement 5 minutes et 50 secondes pour crypter 100 000 fichiers. Lors d'un test ultérieur, il n'a fallu à LockBit que 4 minutes et 9 secondes pour crypter 53,83 Go de fichiers sur différents systèmes d'exploitation Windows et spécifications matérielles. Ces chiffres montrent à quel point les ransomwares peuvent rapidement devenir une crise majeure de cybersécurité pour la victime d'une attaque. La capacité de détecter et d'alerter sur l'activité d'un fichier qui pourrait être suspecte signifie que les attaques potentielles de ransomware peuvent être identifiées en temps réel et qu'une action immédiate peut être entreprise.

Déterminer le point de récupération sûr à la suite d'une attaque par ransomware.

Étant donné la vitesse à laquelle le chiffrement des ransomwares peut se propager dans un réseau infecté, il est très probable que les sauvegardes du système contiennent des fichiers chiffrés par des logiciels malveillants. Ce scénario nécessite généralement une enquête cybernétique pour déterminer la "dernière copie propre connue" des données de sauvegarde qui pourrait fournir un point de restauration sûr. Cet exercice peut s'avérer fastidieux et entraîner des temps d'arrêt prolongés et une perte potentielle de revenus. La capacité de détection d'anomalies de Cristie Software peut contribuer à réduire ce temps puisque les fichiers de sauvegarde peuvent également être analysés à la recherche d'anomalies par comparaison avec de multiples instantanés de sauvegardes antérieures que l'AV peut référencer dans le cadre de ses opérations normales.

Élargir l'approche holistique de la cybersécurité.

Cyber threats come in many forms so for that reason a holistic approach is required to tackle them. Cybersecurity can seem a daunting task with so many loopholes to plug, but with a systematic approach you can achieve a great level of protection for your backup environment. Traditional antivirus software still plays a vital role although by its nature it is always on the back foot since it can only detect malware codes that are already known and present within virus definition files which require constant updates. Advanced techniques that employ machine learning, such as the file anomaly detection included within Cristie Software’s recovery and replication solutions, offer a powerful additional layer of protection which is much harder to circumvent since file encryption is harder to disguise than a new segment of malware code. Combining our recovery and replication solutions with existing cybersecurity measures and complimentary technologies such as immutable or air-gapped storage will significantly reduce your vulnerability and likelihood of a full recovery following a cyberattack, without paying any ransom.

En résumé.

L'automatisation de la récupération, de la réplication et de la migration des systèmes est au cœur de la suite Cristie Software depuis sa création, grâce à des techniques innovantes et aux dernières avancées en matière d'informatique. L'ajout de la détection des ransomwares est une extension naturelle de notre fonctionnalité de reprise après sinistre et un aspect que nos outils logiciels sont particulièrement bien placés pour traiter. Toutes les principales plateformes de cloud et de virtualisation peuvent être prises en charge en tant que cibles de réplication ou de récupération et des extensions spécifiques sont disponibles pour améliorer la récupération des systèmes à partir de solutions de sauvegarde, notamment Dell Technologies Avamar, Dell Technologies Networker, IBM Spectrum Protect, Cohesity DataProtect et Rubrik Security Cloud. Visitez les pages produits CloneManager® et System Recovery ou contactez l'équipe Cristie Software pour plus d'informations sur la suite de solutions Cristie Software pour la restauration de systèmes, la réplication, la migration et la protection contre les ransomwares.

Nous contacter

Merci de nous avoir contactés. Nous avons bien reçu votre demande.