Lorsque les données du système de santé irlandais (HSE) ont été attaquées par rançon, 80 % de leurs données sont devenues corrompues et inutilisables. En juillet, la ville de Columbus a subi une attaque de ransomware qui a perturbé divers services municipaux et, des mois plus tard, elle travaille toujours à son rétablissement.
Les attaques de ransomwares sont de plus en plus fréquentes et provoquent un chaos et des difficultés financières sans précédent.
Peu d’organisations ont fait preuve d’une telle transparence suite à une attaque de ransomware, mais HSE et Columbus sont loin d’être seuls. Suite à des attaques de ransomwares, les organisations s’appuient sur leur solution de protection des données pour récupérer et restaurer leurs opérations commerciales le plus rapidement possible.
Cependant, au lieu de fournir une récupération rapide et fiable, les limites des solutions traditionnelles de protection et de stockage des données sont révélées, et les organisations doivent payer la rançon, et même dans ce cas, seulement 4 % récupèrent toutes leurs données (Sophos, States of Ransomware , 2022).
Cela démontre à quel point les solutions traditionnelles de protection des données ne parviennent pas à prendre pleinement en charge cyber-résiliencemalgré l’ajout de fonctionnalités « cyber » à leurs produits. Des fonctionnalités telles que l’immuabilité, l’isolation, l’analyse antivirus et l’authentification multifacteur sont souvent facilement intégrées. Certains fournisseurs s’appuient même sur le battage publicitaire, tentant de se positionner en tant que fournisseurs de sécurité plutôt que de fournir une réelle valeur ajoutée.
Questions clés à poser sur la protection des données
Voici les questions clés auxquelles les solutions traditionnelles de protection des données ont du mal à répondre en matière de cyber-résilience :
1. Quel a été l’impact de l’attaque ?
Protection des données les fournisseurs s’appuient souvent sur une analyse de haut niveau pour détecter une activité inhabituelle dans sauvegardes ou des instantanés. Cela inclut l’analyse des seuils, l’identification des modifications inhabituelles des fichiers ou la détection des modifications des taux de compression pouvant suggérer un cryptage par ransomware.
Ces méthodes sont essentiellement des suppositions sujettes aux faux positifs. Lors d’une attaque de rançongicielles détails comptent. L’exploitation de moteurs d’IA avancés pour détecter les modèles révélateurs de cyberattaques offre plus de précision, réduit les fausses alertes et fournit des détails critiques sur les fichiers et bases de données exacts qui ont été touchés pour prendre en charge une récupération plus intelligente.
2. Comment minimiser la perte de données ?
Les organisations capturent ou sauvegardent régulièrement leurs données, à intervalles horaires ou quotidiens. Lorsqu’une attaque se produit, la restauration d’un instantané ou d’une sauvegarde écrase les données de production (dont certaines peuvent avoir été corrompues par un ransomware) par des données propres.
Si seulement 20 % des données de la sauvegarde ont été manipulées par des acteurs malveillants, la récupération de la sauvegarde complète ou de l’instantané entraînera l’écrasement de 80 % des données qui n’avaient pas besoin d’être restaurées. Cela inclura des informations commerciales précieuses qui pourraient être perdues à jamais. Des informations détaillées sur les fichiers spécifiques touchés sont essentielles pour minimiser la perte de données.
3. Dois-je valider les bases de données contre la corruption par ransomware ?
Les cybercriminels comprennent que les bases de données constituent l’épine dorsale de nombreuses entreprises, ce qui en fait des cibles privilégiées pour l’extorsion. En corrompant ces bases de données, ils peuvent faire pression sur les organisations pour qu’elles paient des rançons. En utilisant des variantes courantes, telles que les ransomwares qui chiffrent les données par intermittence, les attaquants peuvent perturber à la fois les fichiers utilisateur et les bases de données critiques.
Bien que certains fournisseurs suggèrent qu’il n’est pas nécessaire de valider l’intégrité des bases de données (en arguant que les bases de données corrompues cesseront tout simplement de fonctionner), cela est trompeur et entraînera un impact significatif suite à une attaque. Une validation régulière des bases de données de production, y compris leur contenu et leur structure, est essentielle pour garantir la résilience de la cybersécurité et atténuer les dommages potentiels.
4. Le moteur IA est-il suffisamment intelligent ?
L’IA est désormais un sujet courant, mais comprendre comment un moteur d’IA est formé est essentiel pour évaluer son efficacité. Lorsqu’il s’agit de ransomwares, il est important que l’IA soit formée aux variantes réelles des ransomwares et à leur impact sur les données.
Si l’IA est uniquement entraînée à détecter les changements de seuil ou les fluctuations du taux de compression, les cybercriminels peuvent ajuster leurs tactiques pour contourner la détection. De nombreux algorithmes de chiffrement modernes n’affectent pas les taux de compression, et certaines variantes de ransomware évitent de déclencher des alertes de seuil basées sur les métadonnées.
Les moteurs d’IA doivent être formés aux comportements réels des ransomwares et constamment mis à jour avec de nouvelles variantes pour garantir l’exactitude et la pertinence nécessaires à la prise en charge d’une récupération intelligente.
5. Pouvez-vous suivre les variantes modernes des ransomwares ?
Les ransomwares évoluent rapidement, les acteurs malveillants introduisant de nouveaux algorithmes de chiffrement et modifiant la manière dont les fichiers sont corrompus. L’analyse des signatures et d’autres méthodes basées sur des indicateurs spécifiques de compromission ont du mal à suivre ces changements rapides.
Ce qu’il faut, c’est une approche automatisée qui teste en permanence les dernières variantes de ransomware et fournit un accord de niveau de service (SLA), garantissant la fiabilité et la précision dans la détection de la corruption des données causée par les attaques.
Exigez une résilience digne de confiance
Les organisations doivent exiger Intégrité des données de l’IA des moteurs capables de détecter avec précision la corruption due aux cyberattaques, des informations médico-légales détaillées pour minimiser la perte de données, une validation régulière des données au repos pour garantir leur fiabilité et une IA continuellement mise à jour pour suivre l’évolution des variantes de ransomware.
Les méthodes traditionnelles ne parviennent souvent pas à assurer une cyber-résilience efficace. Remettez en question des méthodes suffisamment performantes et mettez en œuvre une solution intégrée de stockage et de protection des données à laquelle vous pouvez faire confiance.
