Détection des attaques de ransomware en temps réel avec Qumulo

Rédigé par:

Dans le première entrée de cette série, nous avons montré comment la pile logicielle de Qumulo a été conçue pour minimiser le potentiel d'attaque de logiciels malveillants, réduisant ainsi les risques pour votre organisation. Ce deuxième volet se concentrera sur les meilleures pratiques pour détecter et répondre en temps réel à une attaque de ransomware.

Bien que toutes les recommandations de sécurité et les meilleures pratiques établies puissent aider à minimiser le risque d’attaque de ransomware, il n’existe aucun moyen d’éliminer complètement cette possibilité. Qumulo reconnaît la réalité selon laquelle malgré les mesures de sécurité les plus rigoureuses et la surveillance diligente de votre environnement, les attaques de ransomwares peuvent et continueront de mettre en danger les systèmes, les données et les revenus de l'entreprise. C'est pourquoi nous vous recommandons non seulement de prendre des précautions pour empêcher les attaques de se produire, mais également de mettre en place les politiques et mécanismes nécessaires pour détecter les attaques en temps réel et alerter rapidement les principales parties prenantes afin de contenir l'impact lorsqu'une attaque se produit. se produire.

Tout comme il n’existe pas de garantie de sécurité efficace à 100 % contre les logiciels malveillants, il n’existe pas non plus de solution unique permettant de minimiser les risques. Les meilleures stratégies de sécurité reconnaissent qu'il existe de multiples points de vulnérabilité aux attaques et mettent en œuvre une approche complète et multicouche qui sécurise les ressources réseau et de calcul, protège les appareils et appareils des utilisateurs et de l'entreprise et surveille les journaux du système, des applications et de la sécurité tout au long du processus. entreprise.

Le reste de cet article décrit les composants recommandés d’une stratégie globale pour détecter efficacement les épidémies de logiciels malveillants.

Analyse antivirus

La première ligne de prévention antivirus (AV) doit être l’infrastructure de sécurité du centre de données. Cela peut inclure des pare-feu, une analyse réseau, des serveurs de messagerie et des clients de bureau. Il est essentiel de comprendre que si un logiciel malveillant atteint le système de stockage, les données peuvent être compromises.

Qumulo suggère d'adopter un moteur antivirus de nouvelle génération, basé sur l'IA et les empreintes digitales binaires plutôt que sur des signatures pouvant être facilement modifiées par des attaquants avancés. Pour une sécurité et des performances globales optimales, un logiciel AV doit être installé et actif sur chaque client qui touche aux données du système de fichiers Qumulo, surtout si ces systèmes disposent également d'un accès au courrier électronique et à Internet. Si nécessaire, des analyses programmées du système de fichiers Qumulo doivent être effectuées pendant les heures creuses.

Qumulo recommande également une stratégie appropriée de gestion des correctifs pour les systèmes clients et pour les mises à jour des signatures antivirus, en utilisant une approche de liste blanche qui permet uniquement l'exécution de logiciels légitimes et contrôlés par l'informatique.

Détection de ransomware

Même si une attaque de ransomware peut provenir de n'importe où, la plupart d'entre elles proviennent de la négligence de l'utilisateur plutôt que d'attaques externes par force brute, par exemple :

  • E-mails de spear phishing (les plus courants)
  • Logiciel cheval de Troie
  • Exploits de serveurs Web et sites Web de points d'eau
  • Usurpation de domaine
  • Exploitation de vulnérabilités non corrigées du système d’exploitation
  • Attaques de l'homme du milieu
  • Script inter-site
  • Attaques par injection SQL

Ceux-ci peuvent être minimisés grâce à une combinaison de formation des utilisateurs, d’un moteur antivirus actif et de maintenance du système, mais ils ne peuvent pas être complètement éliminés.

Détecter et contenir les ransomwares

Afin d'optimiser les réponses potentielles à un événement intrusif, il est important d'identifier les différentes phases d'une attaque et de planifier les réponses potentielles à chaque phase. 

Lorsqu’elles se produisent, les attaques de ransomware se déroulent généralement dans l’ordre suivant :1:

  1. Livraison – compromettre le réseau en accédant à au moins un système interne
  2. Commander et contrôler – une fois à l'intérieur, établissez une connexion avec le serveur de commande et de contrôle de l'attaquant pour recevoir des instructions
  3. Accès aux informations d'identification - en mode furtif, obtenez des informations d'identification et accédez à davantage de comptes sur le réseau
  4. Toile – recherche de fichiers à chiffrer, à la fois sur le système local compromis et sur tous les réseaux et services auxquels il a accédé par un mouvement latéral
  5. Extorsion – l'attaquant exfiltre et/ou chiffre les fichiers locaux et réseau, puis exige un paiement pour décrypter les fichiers ou restituer les données exfiltrées.

Une stratégie globale de prévention devrait se concentrer principalement sur Livraison phase de l’épidémie. Compte tenu des vecteurs d’attaque les plus courants, les mesures de prévention les plus efficaces consistent à sécuriser les points d’entrée les plus probables pour les logiciels malveillants : ordinateurs de bureau, serveurs de messagerie et périphériques réseau – raison de plus pour installer un logiciel antivirus sur les appareils et systèmes des utilisateurs finaux.

Informations de sécurité et gestion des événements

Étant donné que certains nœuds d'entreprise (par exemple, les systèmes IoT, les caméras, les imprimantes) au sein de l'environnement du centre de données ne peuvent pas être sécurisés à l'aide d'un logiciel antivirus local, la prochaine couche de sécurité contre les logiciels malveillants/ransomwares devrait être un système d'information de sécurité et de gestion des événements (SIEM) robuste. solution.

Plateformes SIEM capturer et compiler les données des journaux d’événements et de sécurité des systèmes d’entreprise. Lorsqu'une solution SIEM d'entreprise est associée à un Système de détection d'intrusion (IDS), les administrateurs peuvent identifier les modèles de trafic et d'activité qui indiquent des menaces potentielles et réelles : anomalies dans le trafic réseau et le comportement du serveur, ainsi que activités inhabituelles de lecture et d'écriture de données sur les services de fichiers d'entreprise.

De nombreuses organisations utilisent également systèmes de prévention des intrusions (IPS) dotés de capacités avancées de pare-feu et de détection d'exploits qui peuvent aider à bloquer certaines catégories d'attaques.

Audit des événements de stockage Qumulo

La journalisation d'audit fournit un mécanisme de suivi des événements du système de fichiers Qumulo ainsi que des opérations de gestion. Lorsque les clients connectés envoient des requêtes au cluster, des messages du journal des événements sont générés pour chaque tentative d'opération. Ces messages de journal sont ensuite envoyés sur le réseau à l'instance syslog distante, c'est-à-dire la cible SIEM désignée.

Qumulo utilise un format Syslog standard de l'industrie, ce qui signifie que toutes les données des journaux d'événements, y compris les journaux d'audit, peuvent être lues, analysées et indexées par n'importe quelle solution SIEM d'entreprise. La centralisation de ces données de journal sur une plate-forme SIEM permet une plus grande flexibilité dans la détection et la réponse aux événements suspects sur le système de fichiers Qumulo.

Entre autres, les solutions SIEM validées par Qumulo incluent Splunk, Elasticsearch et AWS Cloudwatch. Pour les solutions de détection d'intrusion, Qumulo s'intègre à Superna, Varoniset Netwrix, entre autres. Qumulo prend également en charge la norme API OpenMetrics pour les exportations Syslog, permettant également l'intégration avec les solutions de surveillance basées sur Prometheus.

Automatisation des réponses aux événements de sécurité

Une fois qu'un événement suspect ou une activité malveillante a été détecté sur le système de stockage, les systèmes SIEM et Qumulo peuvent être configurés pour déclencher une ou plusieurs actions automatisées en réponse. Comme pour d'autres types d'événements, tels que les pannes de plateforme ou de service et les problèmes de réseau, la plateforme SIEM peut être configurée pour certaines actions automatisées. Celles-ci peuvent inclure une arborescence d'alertes d'administrateur (e-mail et/ou SMS), la désactivation d'un compte utilisateur AD ou la fermeture des ports réseau lorsqu'une activité suspecte est détectée, etc.

Tirer parti de l'API Qumulo

Il existe plusieurs façons d'exploiter l'API Qumulo pour des réponses automatisées aux événements de sécurité :

  1. Appels d'API directs
  2. Utilisez les bibliothèques Python fournies par Qumulo pour simplifier le développement de scripts API
  3. Utilisez la CLI Qumulo

Activation des réponses automatisées Qumulo

Le modèle de développement API-first de Qumulo signifie que littéralement toute action sur le cluster de stockage peut être lancée et gérée via l'API. Voici quelques exemples d'actions automatisées qui peuvent être déclenchées en cas de faille de sécurité, de détection de logiciels malveillants ou d'autres formes de cyberattaque :

  • Appliquez immédiatement une politique de quota 0 – applicable à un seul répertoire, à une arborescence de répertoires (y compris des partages et/ou des exportations entiers, ou à l'ensemble du système de fichiers – qui bloque toute activité d'écriture ultérieure (bien que des écrasements puissent toujours être possibles)
  • Définir toutes les exportations ciblées en lecture seule
  • Définir une politique de restriction d'adresse IP pour tout partage ou exportation
  • Supprimer les privilèges d'accès pour un utilisateur ou un groupe
  • Lancer un instantané à la demande de tout suspect 
  • Verrouiller un ou plusieurs instantanés existants

Automatisation des réponses sur d'autres plateformes d'entreprise

Bien qu'il existe de nombreuses actions de première réponse qui peuvent être lancées sur le système Qumulo concerné, d'autres plates-formes au sein de l'entreprise peuvent être exploitées pour sécuriser les systèmes et les données critiques en cas d'attaque de malware, par exemple :

  • Active Directory – désactivez tout compte d'utilisateur ou de service compromis dès qu'une activité hostile a été détectée et que les comptes incriminés ont été identifiés
  • Logiciel antivirus – lancez une analyse antivirus à la demande de tous les systèmes, y compris le cluster Qumulo, qui sont connus ou suspectés d'être attaqués.

Pour des informations spécifiques sur ces actions et sur d’autres actions sur les plates-formes tierces, veuillez vous référer à la documentation appropriée fournie par le fournisseur.

Cet article de blog a fourni un aperçu général des fonctionnalités de Qumulo et de son interopérabilité avec des outils tiers pour permettre aux entreprises de détecter les épidémies de logiciels malveillants en temps réel. Une stratégie de protection globale nécessite des stratégies et des pratiques supplémentaires pour garantir que toute attaque qui se produit puisse être rapidement découverte et contenue, et que toutes les données perdues ou les services impactés puissent être rapidement restaurés.

Apprendre encore plus

Nous joindre

0 0 votes
Évaluation de l'article
Inscrivez-vous
Prévenez-moi de
invité
0 Commentaires
Le plus ancien
Date Les plus votés
Commentaires en ligne
Voir tous les commentaires

Articles Similaires

0
J'adorerais vos pensées, veuillez commenter.x
Remonter en haut