L’extorsion de données sensibles apporte des récompenses bien plus importantes que le chiffrement aléatoire des ordinateurs de bureau, et ils ont compris que le serveur de sauvegarde est une mine d’or de données. Les plans d’affaires confidentiels, la propriété intellectuelle, les dossiers du personnel, les données clients et les e-mails de votre organisation contiennent une immense valeur entre de mauvaises mains. Les dommages potentiels liés à l’exposition peuvent dépasser même les demandes de rançon exorbitantes. Et toutes ces données sont (espérons-le) stockées dans votre système de sauvegarde. Comme je l’ai dit : une mine d’or.
C’est pourquoi toute stratégie de sécurité est totalement inadéquate si elle n’inclut pas de précautions supplémentaires concernant la sauvegarde de ces joyaux de la couronne stockés dans votre système de sauvegarde, car essayer de trouver le bon chemin après une attaque de logiciel d’extorsion donne l’impression que choisir entre la peste et le choléra est une bonne chose. Il n’y a pas de bonnes options une fois vos données volées. C’est pourquoi il est si crucial de revenir à l’essentiel en matière de prévention des menaces.
Fermez les écoutilles
Les mesures de sécurité que je m’apprête à préconiser pourraient nécessiter des investissements dans les technologies, du personnel supplémentaire et des coûts. Je comprends ça. Mais permettez-moi de vous poser la question suivante : quelle est la valeur de la viabilité, de la pertinence et de la réputation future de votre organisation ? À quel point est-ce un revers que de voir votre nouveau produit d’un milliard de dollars divulgué à vos concurrents ? Et je vous promets qu’aucun tribunal n’acceptera le cryptage ou le vol de données comme excuse valable pour enfreindre les lois sur la divulgation.
Bloquer les attaques via des comptes privilégiés
La première chose à faire est de protéger les comptes privilégiés dans votre système de sauvegarde. Tout d’abord, séparez ces comptes de tout système de connexion centralisé que vous utilisez, tel qu’Active Directory, car ces systèmes sont parfois compromis. Créez autant de pare-feu que possible entre ce système de production et le système de sauvegarde. Et bien sûr, utilisez un mot de passe sécurisé et n’utilisez pour ces comptes aucun mot de passe utilisé ailleurs. (Personnellement, j’utiliserais un gestionnaire de mots de passe pour prendre en charge un mot de passe différent partout.) Enfin, assurez-vous que ces connexions sont protégées par une authentification multifacteur et utilisez la meilleure option disponible. Évitez d’utiliser la MFA par courrier électronique ou par SMS, car elle est facilement déjouée par un pirate informatique expérimenté. Essayez d’utiliser un système basé sur OTP, tel que Google Authenticator, Symantec VIP ou Yubikey.
Vérifiez également si votre système de sauvegarde dispose d’une authentification améliorée pour les actions dangereuses, telles que la suppression de sauvegardes avant leur expiration programmée ou la restauration de données ailleurs que là où elles ont été créées à l’origine. Le premier est utilisé pour supprimer facilement les sauvegardes de votre système de sauvegarde, sans déclencher d’alarme, et le second est utilisé pour exfiltrer les données en les restaurant sur un système contrôlé par le pirate informatique. Un contrôle courant ici consiste à utiliser l’authentification multi-personnes, qui nécessite que plusieurs personnes authentifient de telles actions. Bien que cela puisse ralentir certaines opérations normales, il s’agit d’une très bonne protection contre un pirate informatique utilisant votre système de sauvegarde contre vous. Semblable à MFA, veuillez ne pas utiliser les SMS ou les e-mails comme moyen pour de telles choses, car le pirate informatique pourrait avoir compromis les deux systèmes. (C’est exactement ce que le pirate informatique d’un ancien client a fait. Il a pris le contrôle du système de messagerie et a utilisé ce contrôle pour intercepter les demandes MFA et s’authentifier autant de fois que nécessaire.)
Bloquer les attaques via le système de fichiers
J’espère que tout le monde sait qu’il faut disposer d’au moins une copie de ses sauvegardes sur un stockage immuable, et c’est un bon début. Une copie cloud hors site est la meilleure solution, car le pirate informatique n’a aucun moyen de supprimer ou de chiffrer ces sauvegardes sans compromettre l’ensemble de l’infrastructure (bien vérifiée) du fournisseur de cloud. Cela garantira que vous disposerez des sauvegardes lorsque vous en aurez besoin pour les restaurer après une attaque de ransomware.
