Rechercher
Fermez ce champ de recherche.

Protégez vos données de fichiers contre les ransomwares avec Qumulo

Rédigé par:

Le RSSI de chaque organisation sait qu'une attaque de malware sous sa surveillance est une question de moment et non de si. Une recherche rapide sur Google des « épidémies récentes de ransomware » fait apparaître une liste inquiétante de grandes et petites entreprises dont les défenses ont été violées et qui ont subi diverses conséquences : perte de données, données volées, perte de revenus, paiements de ransomware. 

Selon l'ampleur de l'attaque, ses effets peuvent avoir un impact au-delà des seuls résultats financiers de l'entreprise. Le vol de données sur les employés ou les clients – y compris les dossiers financiers ou médicaux sensibles – crée des risques et des conséquences en aval au-delà du bilan de l'entreprise. Pire encore, en cas d’attaques de ransomware contre des hôpitaux, les traitements médicaux peuvent être retardés ou refusés. 

Au-delà de la perte de revenus et d’activité, dans certains secteurs, l’incapacité à sécuriser les systèmes et données d’entreprise critiques peut entraîner des sanctions réglementaires et juridiques supplémentaires : amendes, règlements et même responsabilité pénale. Comme si cela ne suffisait pas, l'impact sur la réputation de tout administrateur de stockage, directeur informatique et CSO pourrait être durable, voire permanent.

Comment les ransomwares entrent-ils ? Laissez-moi compter les chemins…

Les cybercriminels utilisent des tactiques intelligentes pour infiltrer l'environnement d'une entreprise à plusieurs niveaux et déployer des ransomwares. L’une des plus courantes est l’ingénierie sociale – peut-être un e-mail de phishing dans lequel un interne de l’entreprise est amené à partager ses informations d’identification ou à télécharger un logiciel malveillant et à laisser entrer la menace. 

Les clés USB, les réseaux partenaires, les vulnérabilités non corrigées et les mots de passe faciles à obtenir sont autant de vecteurs de menace potentiels permettant aux logiciels malveillants d'entrer. Les modèles de travail hybrides créent davantage. C'est pourquoi il est important d'adopter une approche globale de la sécurité pour empêcher l'entrée, détecter et contenir les ransomwares lorsqu'ils se produisent, et mettre en place un plan de récupération.

Ransomware : l'anatomie d'une attaque

Les ransomwares peuvent infecter à peu près n’importe quel appareil doté d’un système d’exploitation ou d’une connexion numérique : appareils réseau, appareils IoT, ordinateurs de bureau, serveurs, appareils photo numériques, imprimantes et clés USB externes. Le but de la plupart des attaques de ransomwares est d’exfiltrer des données et/ou de chiffrer des données afin de forcer les organisations à payer pour les clés permettant de décrypter leurs données. Les attaques se déroulent généralement par phases :

  1. Accéder au réseau et à au moins un appareil initial
  2. Infectez autant d'appareils supplémentaires que possible pour recueillir des informations
  3. Exfiltrer les données
  4. Déployez des modules supplémentaires qui ; par exemple, chiffrer des données
  5. Crypter les données pour l'extorsion

Dans la première phase, les intrus continuent de collecter davantage d'informations sur l'infrastructure (utilisateurs, flux de données, topologies de réseau, appareils). Ensuite, à un stade ultérieur, ils commencent à exfiltrer des données et/ou à charger des logiciels malveillants supplémentaires pour démarrer d'autres threads pouvant accéder aux données et crypter des fichiers. 

C'est pourquoi une stratégie efficace de gestion des risques est nécessaire qui se concentre sur les vecteurs d'attaque pour prévenir l'infection ou détecter les phases précoces au point du réseau et des appareils informatiques où l'infection s'est produite. Le stockage des données est à la fin du cycle d'infection. Plus le malware s'exécute longtemps, plus l'infection se propage, ce qui complique la reprise après sinistre et la reprise des opérations.

Architecture de sécurité holistique de Qumulo : aperçu

Une approche holistique de la sécurité pour détection de ransomware capture les données d'autant d'appareils que possible pour identifier les événements suspects au(x) point(s) d'entrée à des fins d'analyse et de corrélation. Lors de la détection, des mesures sont prises pour empêcher le ransomware d'accéder aux couches suivantes, y compris votre stockage de fichiers.

Mettre en œuvre une approche de sécurité holistique qui inclut des techniques de surveillance du réseau, du calcul, des appareils et des événements, ainsi que des corrélation et analyse des données, est préférable aux solutions de sécurité cloisonnées intégrées au système de stockage. L'objectif est d'empêcher le ransomware de s'approcher de vos données de fichier.

Chaque système Qumulo est conçu avec la sécurité au cœur et comprend un large éventail de technologies modernes et de services de données conçus pour assurer la sécurité des données. L'architecture logicielle de Qumulo est un système de fichiers spécialement conçu avec une pile de protocoles développée de manière native. Il n'utilise aucun code tiers pour les protocoles d'accès aux données de fichiers. Les mises à jour logicielles régulières et non perturbatrices incluent des mises à jour d'images Qumulo et des corrections de bogues, et résolvent les problèmes de vulnérabilité et d'exposition (CVE) connus au fur et à mesure qu'ils sont découverts. 

Pour ces raisons et bien d'autres, Qumulo est en mesure de prendre en charge une stratégie de sécurité holistique dans trois domaines. La prévention est abordée dans cet article. La détection des intrusions est le sujet du deuxième article de la série, et le troisième article abordera la récupération des données et la reprise des activités dans le deuxième article de cette série en trois parties.

La sécurité inhérente de la pile logicielle Qumulo

Le premier objectif des ransomwares est de passer derrière votre pare-feu et de pénétrer dans votre réseau, où l’acteur malveillant peut observer, se déplacer et planifier une attaque plus approfondie. L'architecture logicielle de Qumulo comprend une protection spécifique à chaque niveau de la pile pour réduire la surface des menaces disponibles pour les ransomwares et autres exploits, notamment :

Architecture système sécurisée

La pile logicielle Qumulo a été conçue dès le début pour la sécurité du système la plus stricte possible. Bon nombre de ces mesures sont inhérentes à l'environnement d'exploitation lui-même et sont automatiquement mises à la disposition de tous les clients Qumulo dans tous les déploiements.

Adaptations de l'environnement Linux

Alors que le logiciel Qumulo fonctionne sur du matériel standard de niveau entreprise associé à une version de support à long terme Ubuntu dans les déploiements sur site, le système d'exploitation Linux sous-jacent est verrouillé, permettant uniquement les opérations nécessaires pour effectuer les tâches de support requises du logiciel Qumulo. empiler. D'autres services Linux standard ont été désactivés afin de réduire davantage le risque d'attaque.

Pile logicielle entièrement native

Bien que Linux inclut des composants open source pour fournir à la fois des services client et serveur NFS et SMB (par exemple Samba, Ganesha, etc.), ces services ne sont pas inclus dans l'image Ubuntu renforcée qui prend en charge la pile logicielle Qumulo. Qumulo développe et contrôle tout le code utilisé pour les protocoles d'accès aux données NFS, SMB, FTP et S3 – dans l'environnement d'exploitation Qumulo. Tous les risques pouvant découler de vulnérabilités connues ou découvertes dans des composants tiers sont efficacement neutralisés par le contrôle par Qumulo de son code propriétaire.

Exécution d'applications dans l'espace utilisateur

Non seulement le logiciel Qumulo est développé conformément aux meilleures pratiques de codage sécurisé – réduisant encore davantage la surface d'attaque potentielle et le risque de vulnérabilités exploitables – mais il est également entièrement contenu dans l'espace utilisateur du système d'exploitation Linux sous-jacent. Même si une vulnérabilité Linux est découverte et exploitée, l'attaquant pourrait s'emparer des privilèges utilisateur sur l'appliance sous-jacente, mais ne serait toujours pas en mesure d'accéder aux contrôles de gestion propriétaires de Qumulo ou aux données du système de fichiers.

Schéma de l'architecture du système sécurisé de Qumulo

Niveau de séparation du système d'exploitation

Il n'existe aucune voie ou moyen possible pour partager des utilisateurs ou des privilèges dans le système d'exploitation sous-jacent avec des utilisateurs et des privilèges dans l'environnement d'exploitation Qumulo : les comptes d'utilisateurs dans l'image Linux de base ne sont pas reconnus par la plate-forme Qumulo, dont la base d'utilisateurs est généralement maintenue. dans Active Directory ou dans une base de données locale au sein du cluster. Il s'agit d'une approche différente des autres plates-formes de stockage de fichiers, où un utilisateur de niveau administrateur ou racine ayant un accès local à l'un des nœuds de stockage ou contrôleurs peut facilement accéder et manipuler toutes les données, y compris dans le système de fichiers ou sur n'importe quel volume local. .

Mises à jour instantanées

L'architecture basée sur des conteneurs de Qumulo permet un processus de mise à niveau unique qui minimise les perturbations pour les utilisateurs et les flux de travail. Progressivement, nœud par nœud, le nouveau logiciel d'exploitation est déployé dans un conteneur parallèle à l'ancienne version. Une fois la nouvelle instance initialisée, l'ancien environnement est arrêté en douceur et la mise à niveau passe au nœud suivant jusqu'à ce que l'ensemble du cluster ait été mis à niveau.

Ce processus se compare favorablement à celui d'autres plates-formes de stockage, qui peuvent publier des mises à jour mineures tous les quelques mois et des mises à jour majeures chaque année, ce qui entraîne des opportunités moins fréquentes de combler de nouvelles failles de sécurité.

Chiffrement logiciel des données au repos

Toutes les données d'un cluster Qumulo sur site sont automatiquement cryptées lors de leur écriture sur le disque à l'aide d'un algorithme compatible AES 256 bits, garantissant que toutes les données d'un système Qumulo sont sécurisées contre les acteurs malveillants, même s'ils peuvent accéder au système. support physique lui-même. 

Pour les déploiements sur site, le chiffrement logiciel fait partie de la pile du système de fichiers. L'algorithme de chiffrement s'initialise dans le cadre du processus de création initial du cluster et regroupe toutes les données et métadonnées du système de fichiers au niveau du bloc. 

Les clusters Qumulo dans le cloud s'appuient sur un cryptage au niveau des blocs au sein de la couche de stockage dans le cloud, garantissant ainsi que toutes les données au repos sur n'importe quelle instance Qumulo sont entièrement cryptées.

Protéger et sécuriser les systèmes et les données Qumulo

Au-delà des fonctionnalités de sécurité inhérentes à l'architecture de Qumulo, il existe cependant une couche de contrôles et de services configurables pour sécuriser les données sur votre instance Qumulo, ainsi que sur l'instance elle-même.

Sécurité administrative

Cette section décrit les options disponibles ainsi que d'autres pratiques recommandées pour maintenir un niveau élevé de sécurité.

Intégration Active Directory

Au-delà de la nécessité de restreindre l'accès au système aux seuls comptes autorisés et de sécuriser les données au niveau du disque via le cryptage, la couche suivante de protection des données nécessite un répertoire sécurisé de comptes d'utilisateurs à partir duquel les droits et autorisations de stockage et d'accès aux données peuvent être gérés.

Le logiciel Qumulo a été conçu pour exploiter Microsoft Active Directory (AD) pour les droits et autorisations d'administration et d'utilisateur. Les comptes AD peuvent être configurés à la fois pour la gestion du cluster et pour l'accès client.

Contrôle d'accès basé sur les rôles

Le contrôle d'accès basé sur les rôles (RBAC) permet aux administrateurs d'attribuer des privilèges précis aux utilisateurs ou groupes réguliers et d'alléger leurs privilèges si nécessaire tout en les gardant aussi minimes que possible. Cela permet de déléguer les tâches d'administration et de gestion du système aux utilisateurs sans leur accorder tous les droits d'administration.

En plus du intégré Administrateurs groupe, qui a un accès complet et un contrôle sur le cluster Qumulo, il existe actuellement deux autres rôles prédéfinis :

  • Administrateurs de données : Le rôle d'administrateur de données est idéal pour les comptes d'utilisateurs API/CLI. Avec ce rôle, un utilisateur ou un groupe n'aura pas accès à l'interface utilisateur Web mais aura les mêmes privilèges de fichiers que le rôle Administrateurs ainsi que d'autres.
  • Observateurs : Avec le rôle Observateurs, un utilisateur ou un groupe aura le privilège d'accéder à l'interface utilisateur Web et aux API en lecture seule à quelques exceptions près (API de débogage et paramètres d'authentification).

Comme pour le local Administrateurs, ces groupes peuvent être remplis avec les comptes d'utilisateurs Active Directory appropriés pour accorder les privilèges nécessaires tout en garantissant une piste d'audit vérifiable de l'accès et de l'utilisation des privilèges.

Authentification unique avec authentification multifacteur

L'authentification unique (SSO) élimine le besoin pour un administrateur de saisir à nouveau ses informations de connexion pour accéder au système. Les entreprises souhaitent le SSO non seulement parce qu'il rationalise le processus de connexion, ce qui facilite l'authentification des administrateurs, mais également parce qu'il réduit le risque de vol de compte via des enregistreurs de frappe ou d'interception lorsque la tentative de connexion traverse le réseau.

L'authentification à facteurs multiples (MFA) ajoute une autre couche de sécurité au processus de connexion, exigeant que les utilisateurs administrateurs récupèrent un code à usage unique à partir d'un jeton de clé ou d'une demande de défi sur un appareil distinct, dont aucun ne serait en possession de un intrus. Qumulo prend en charge tout fournisseur d'identité (IdP) qui s'intègre au domaine AD enregistré sur le cluster, y compris, mais sans s'y limiter, OneLogin, Okta, Duo et Azure AD.

Gestion des restrictions de circulation

Exiger que les utilisateurs administratifs utilisent leurs comptes Active Directory et s'authentifient via SSO avec MFA élimine une grande partie du risque d'accès à partir d'un compte administrateur compromis. Certaines organisations ont toutefois des politiques de sécurité supplémentaires qui exigent que l'accès administrateur aux systèmes d'entreprise soit limité à un ou plusieurs réseaux spécifiques, ou VLAN. 

En offrant la possibilité de bloquer des ports TCP spécifiques au niveau d'un VLAN individuel, Qumulo permet la segmentation du trafic de gestion – par exemple API, SSH et interface utilisateur Web, et la réplication – du trafic client – ​​par exemple SMB et NFS.

Système de fichiers et sécurité des données

Pour tous les contrôles de sécurité intégrés de Qumulo, il incombe toujours aux administrateurs d'entreprise de configurer leurs systèmes et données conformément aux normes de l'industrie, aux meilleures pratiques de Qumulo et à leurs propres politiques de sécurité internes.

Sécuriser les parts et les exportations

Pour les scénarios dans lesquels la multilocation n'est pas réalisable – tels que les clusters basés sur le cloud ou les partages/exportations auxquels certains utilisateurs (mais pas tous) doivent accéder au sein d'un VLAN à locataire unique – Qumulo propose des options supplémentaires pour limiter la visibilité de actions et exportations.

Énumération basée sur l'accès

Qumulo permet de masquer les partages SMB aux utilisateurs non autorisés. De plus, l'énumération basée sur l'accès (ABE) peut être activée pour chaque partage. Ce faisant, seuls les fichiers et dossiers auxquels un utilisateur est autorisé à accéder seront affichés pour cet utilisateur. Si un utilisateur ne dispose pas d'autorisations de lecture ou équivalentes pour un dossier, le dossier est masqué à la vue de l'utilisateur.

Autorisations de partage (SMB)

Les niveaux d'accès aux partages SMB peuvent également être gérés au niveau individuel ou en fonction de l'appartenance à un groupe. Les modèles d'autorisations sont plus simples que les ACL au niveau du répertoire et du fichier, offrant uniquement des autorisations de lecture, d'écriture et de modification, ainsi que la possibilité d'autoriser ou de refuser ces autorisations à des utilisateurs ou des groupes individuels.

Les partages SMB peuvent également être masqués à tous les utilisateurs, qu’ils y aient ou non accès. Le montage d'un partage masqué nécessite une connaissance explicite du chemin du partage pour empêcher les intrus potentiels de parcourir les partages.

Restrictions d'exportation et règles d'accès à l'hôte

Les restrictions d'hôte par plage d'adresses IP client constituent un bon moyen de réduire les surfaces d'attaque en limitant l'accès au partage/exportation à des hôtes spécifiques, indépendamment des autorisations d'utilisateur/groupe de ce partage. Des versions de ce contrôle sont actuellement disponibles pour SMBv3 et NFSv3.

Sécurité du système de fichiers et du réseau

En plus des contrôles décrits ci-dessus, tous axés sur la sécurisation de l'accès aux partages et aux exportations, Qumulo prend également en charge un certain nombre de mesures de sécurité pour gérer l'accès aux répertoires et aux fichiers au sein de chaque partage ou exportation.

Bien que l'environnement d'exploitation Qumulo soit conforme aux normes de sécurité définies par les différents protocoles d'accès aux fichiers, et bien que Qumulo ait également conçu un certain nombre de fonctionnalités croisées personnalisées pour simplifier le processus d'optimisation de la sécurité des données dans les environnements multi-protocoles, il existe encore certains protocoles. différences de niveau en matière de gestion de la sécurité des données.

Listes de contrôle d'accès

Pour les charges de travail accessibles via SMB et NFSv4, Qumulo prend en charge l'authentification via Active Directory et les listes de contrôle d'accès (ACL) de style Windows qui peuvent être partagées entre les deux protocoles.

Cryptage des données par fil

Même avec des paramètres de sécurité de partage et de données appropriés en place, certaines entreprises ont besoin d'une couche supplémentaire de sécurité des données pour protéger les données contre tout accès non autorisé. Le chiffrement des partages peut être implémenté à l’échelle du cluster pour tous les partages SMB si nécessaire, ou par partage s’il n’est requis que pour certaines données. Pour les charges de travail NFSv4.1 qui le nécessitent, Qumulo prend en charge la sécurité des paquets krb5i pour garantir l'intégrité des données, et le cryptage des paquets krb5p pour empêcher les données d'être interceptées et lues en transit.

Une stratégie de protection globale

Malgré toutes les précautions, politiques et bonnes pratiques disponibles conçues pour protéger les données et minimiser les risques, il n'existe aucune garantie infaillible contre la possibilité d'une attaque de logiciel malveillant ou contre un intrus obtenant un accès non autorisé aux systèmes et données critiques. 

Cet article de blog a fourni un aperçu de haut niveau des fonctionnalités et contrôles de sécurité inhérents et configurables de Qumulo. Une stratégie de protection globale nécessite des stratégies et des pratiques supplémentaires pour garantir que toute attaque qui se produit puisse être rapidement découverte et contenue, et que toutes les données perdues ou les services impactés puissent être rapidement restaurés.

Apprendre encore plus

Contactez-nous

Articles Similaires

Remonter en haut