Vendredi 18 août, Cloud Nordic, a été frappé par une attaque ransomware. Un véritable scénario catastrophe s’est déroulé pour le fournisseur de services cloud danois qui s’est vu contraint d’annoncer à ses clients que leurs données sont définitivement perdues.
Son site web ne cache rien de la criticité de la situation. « Les attaquants ont réussi à crypter tous les disques des serveurs, ainsi que les systèmes de sauvegarde primaires et secondaires, ce qui a entraîné le blocage de toutes les machines et la perte de l’accès à toutes les données. […] Malheureusement, il s'est avéré impossible de les restaurer et la majorité de nos clients ont donc perdu toutes leurs données stockées chez nous. »
Cloud Nordic - dont on salue la transparence - explique que « l’attaque a été déclenchée après avoir déplacé des systèmes infectés à notre insu depuis un datacenter vers un autre datacenter malheureusement câblé pour accéder au réseau interne, celui utilisé pour gérer tous nos serveurs. Via ce réseau interne, les attaquants ont pu accéder aux systèmes d'administration centrale et aux systèmes de sauvegarde. »
D'un point de vue technique, il existe des concepts de solutions et des technologies qui peuvent protéger au mieux la sauvegarde contre le cryptage ou la compromission pendant une attaque de ransomware. Notre expérience montre toutefois que dans de nombreux cas, il n'existe pas de systèmes de sauvegarde renforcés et blindés et que les plans de restauration ne sont souvent pas testés dans la mesure nécessaire.
Dans le contexte actuel, le succès de cette attaque n’est pas surprenant. Les organisations du monde entier font face à des attaques de plus en plus fréquentes et de plus en plus élaborées. Cloud Nordic est loin d’être la seule victime.
Ce qui est plus surprenant, c’est que des solutions techniques existent pour protéger les sauvegardes lors d’une attaque ransomware et elles semblent avoir été, au moins temporairement, ignorées, contournées ou désactivées par Cloud Nordic dans le processus de transfert de ses systèmes d’un datacenter à l’autre.
Environnements de restauration isolés avec hardening, air-gap et stockage inaltérable
Le recours à des snapshots où à des techniques similaires ne protège pas suffisamment les données à restaurer, dans la mesure où celles-ci sont conservées sur la même plateforme primaire, même s’il en existe plusieurs réplications. Pour une protection adéquate, il est indispensable de sauvegarder et de contrôler les données dans un environnement isolé. Pour cela, plusieurs solutions, combinables entre elles, existent.
Dans un premier temps, il convient d'accorder une attention particulière aux possibilités de durcissement du système d'une solution de sauvegarde et de restauration. La question que chaque responsable informatique doit se poser est de savoir si l'outil de sauvegarde et de restauration actuellement utilisé permet effectivement l'architecture système pertinente pour décimer les vecteurs d'attaque. L'étape suivante consiste à évaluer le degré de durcissement que sa propre entreprise peut réellement garantir par son propre personnel et à déterminer si l'utilisation de solutions entièrement intégrées telles que des appliances dédiées ne réduirait pas considérablement les risques pour sa propre organisation.
L’air gapping est une méthode qui consiste à complètement isoler les serveurs qui contiennent les sauvegardes du réseau de production. Ils n’y sont connectés que le temps nécessaire pour effectuer les sauvegardes quotidiennes et n’ont aucun lien avec les autres machines le reste du temps. Cette approche rend la propagation d’une attaque à ces serveurs beaucoup plus difficile puisqu’elle doit avoir lieu pendant le bref temps de connections des machines de sauvegardes au réseau.
Le stockage immuable est un concept assez simple : il consiste à stocker ses sauvegardes sur des supports qui ne permettent aucun changement (ils sont immuables) une fois les sauvegardes effectuées. Les données y restent lisibles, mais rien ne peut être modifié ou effacé. En cas d’attaque ransomware, les données de sauvegarde ne peuvent donc pas être chiffrées. Cela permet également d'empêcher d'autres types d'attaques malveillantes de modifier les données. Si vos sauvegardes y sont enregistrées avant qu’un ransomware n'attaque vos systèmes de production et ne les chiffre, vous pourrez les rétablir.
Attention au modèle de responsabilité partagée
Cet incident est aussi un rappel cinglant de l’importance pour les clients de bien évaluer le modèle de responsabilité partagé suggéré par le contrat passé avec les fournisseurs de service cloud. Bien souvent, par défaut, les fournisseurs de cloud s’engagent sur la disponibilité des services, mais les clients restent responsables de la résilience de leurs données et donc de la sauvegarde et la récupération. Dans tous les cas, il est important pour les entreprises de connaître les dispositions prises par le fournisseur et de les compenser si nécessaire pour que l’ensemble soit en adéquation avec leur gouvernance des données et leur volonté mitigation des risques.
Auteur : Jean-Pierre Boushira, Veritas Technologies.
Continuer avec Linkedin