Détection précoce des ransomwares intégrée au processus de récupération de votre système.
Application de techniques brevetées d'analyse de fichiers pour lutter contre les ransomwares.
Détection des schémas de chiffrement des ransomwares.
Pour être efficace, le ransomware doit chiffrer les fichiers, c'est-à-dire qu'il doit lire le contenu des fichiers sur le disque, puis écrire le contenu du fichier chiffré sur le disque. La manière dont cela est effectué varie : certains payloads de ransomware écrivent dans un autre fichier, puis suppriment le fichier d'origine. D'autres écrivent dans le fichier d'origine et renomment éventuellement le fichier après l'avoir chiffré. Par conséquent, la surveillance des suppressions et des renommages massifs fait partie du processus, mais ce n'est que la partie émergée de l'iceberg. Le processus de cryptage proprement dit varie également : certaines charges utiles cryptent des fragments de fichiers, tandis que d'autres peuvent crypter l'intégralité du fichier. Le chiffrement des fichiers est détecté en calculant l'entropie d'un fichier. L'entropie d'un fichier mesure le caractère aléatoire des données qu'il contient et permet de déterminer si un fichier contient des données cachées ou des scripts suspects. L'échelle du caractère aléatoire va de 0, non aléatoire, à 8, totalement aléatoire, comme un fichier crypté. Bien entendu, tout processus de sauvegarde utilisant le cryptage et/ou la compression des données présentera également ces propriétés, notamment le renommage des fichiers avec une extension telle que ".bak", ainsi qu'une augmentation ultérieure de l'entropie du fichier. Tout algorithme de détection d'anomalies dans les fichiers doit donc être capable de distinguer les comportements suspects des comportements attendus afin d'éviter de présenter des alertes faussement positives. Les attaques typiques de ransomware présentent des caractéristiques qui peuvent être détectées par les algorithmes de détection d'anomalies de Cristie en les comparant à des modèles connus. Le processus de détection peut être exécuté après chaque sauvegarde du système. Les rapports d'activité des fichiers et les alertes graduées sont ensuite présentés via un tableau de bord de sécurité dans l'interface utilisateur de l'Appliance Virtuelle (VA) de Cristie. Les alertes peuvent également être envoyées par courrier électronique et enregistrées dans les journaux d'événements.
À quelle vitesse un ransomware peut-il crypter vos données ?
Déterminer le point de récupération sûr à la suite d'une attaque par ransomware.
Étant donné la vitesse à laquelle le chiffrement des ransomwares peut se propager dans un réseau infecté, il est très probable que les sauvegardes du système contiennent des fichiers chiffrés par des logiciels malveillants. Ce scénario nécessite généralement une enquête cybernétique pour déterminer la "dernière copie propre connue" des données de sauvegarde qui pourrait fournir un point de restauration sûr. Cet exercice peut s'avérer fastidieux et entraîner des temps d'arrêt prolongés et une perte potentielle de revenus. La capacité de détection d'anomalies de Cristie Software peut contribuer à réduire ce temps puisque les fichiers de sauvegarde peuvent également être analysés à la recherche d'anomalies par comparaison avec de multiples instantanés de sauvegardes antérieures que l'AV peut référencer dans le cadre de ses opérations normales.
Élargir l'approche holistique de la cybersécurité.
En résumé.
L'automatisation de la récupération, de la réplication et de la migration des systèmes est au cœur de la suite Cristie Software depuis sa création, grâce à des techniques innovantes et aux dernières avancées en matière d'informatique. L'ajout de la détection des ransomwares est une extension naturelle de notre fonctionnalité de reprise après sinistre et un aspect que nos outils logiciels sont particulièrement bien placés pour traiter. Toutes les principales plateformes de cloud et de virtualisation peuvent être prises en charge en tant que cibles de réplication ou de récupération et des extensions spécifiques sont disponibles pour améliorer la récupération des systèmes à partir de solutions de sauvegarde, notamment Dell Technologies Avamar, Dell Technologies Networker, IBM Spectrum Protect, Cohesity DataProtect et Rubrik Security Cloud. Visitez les pages produits CloneManager® et System Recovery ou contactez l'équipe Cristie Software pour plus d'informations sur la suite de solutions Cristie Software pour la restauration de systèmes, la réplication, la migration et la protection contre les ransomwares.