Przemyslaw Koch
Ransomware : Sophos et ARCserve jouent la protection combinée
Les outils de détection des maliciels sans signature du premier seront intégrés aux appliances de sauvegarde du second pour aider à améliorer la résilience en cas de contamination par rançongiciel.
ARCserve et Sophos viennent de nouer une large alliance stratégique décrite comme « visant à offrir une sécurité et une protection des données tout-en-un contre les cyberattaques ». Dans la pratique, il s’agit d’intégrer Intercept X Advanced for Server de Sophos aux appliances d’ARCserve et d’aider à une restauration rapide en cas de contamination du système d’information par un rançongiciel.
Pour mémoire, la solution de Sophos met notamment à profit la technologie d’Invincea, rachetée par l’éditeur début 2017 et intégrée au sein d’Intercept X à l’automne suivant. Cette technologie s’appuie sur des modèles établis par des algorithmes d’apprentissage profond, ou deep learning, pour identifier les activités malicieuses sans faire appel à des signatures de fichiers, et y compris lorsque aucun exécutable n’est impliqué.
Pour Sophos, ce partenariat pourrait constituer un point d’entrée supplémentaire dans les entreprises clientes d’ARCserve : Intercept X pour postes de travail profite de la même technologie et, en prime, de la brique CryptoGuard de prévention contre les ransomwares. L’ensemble peut s’administrer via une même console, en local ou en mode cloud.
L’initiative n’est en elle-même pas surprenante : le monde du stockage semble avoir compris la nécessité de s’attaquer à la question des ransomwares, notamment pour la restauration. Carbonite s’est ainsi offert Webroot en début d’année. Un peu plus tôt, Cohesity avait détaillé son approche en trois couches de protection des sauvegardes contre les attaques par ransomware, mais également des hôtes affectés, avec l’ambition d’accélérer considérablement la restauration. Et Imanis cherche à détecter des signes de compromission dans les données sauvegardées avec son système ThreatSense. Et l’on peut également penser aux efforts d’Acronis, voire de Veeam avec la version 10 d’Availability Suite.
Asigra, Rubrik, ou encore de FalconStor se sont quant à eux penchés sur la question de la prévention de dégradation des sauvegardes par les rançongiciels. Car oui, un ransomware peut, dans certains contextes, dégrader des sauvegardes. Un client de Veeam en témoignait d’ailleurs dans les forums de l’éditeur début 2017, après avoir été victime du maliciel Samas.
Las, les sauvegardes – quand elles sont disponibles et exploitables – ne font pas tout.
Début février, Mohamed Bakkali, ancien de l’Agence nationale pour la sécurité des systèmes d’information (Anssi) et co-fondateur de Zyroc, le soulignait ainsi : « dans le cadre d’une compromission, on ne peut repartir directement d’un backup, car il n’est pas sûr qu’il soit sain ». Alors oui, « la sauvegarde est indispensable, mais pas suffisante ». Un peu plus tard, Gérôme Billois, directeur associé Cybersécurité et confiance numérique chez Wavestone, insistait quant à lui sur les interdépendances très contraignantes entre systèmes, dans le cadre des opérations de restauration.
Mais l’une des questions clés, en cas d’incident, est celle de la confiance. Jérôme Saiz, d’Opfor Intelligence, le relevait ainsi récemment : dans une crise cyber, par rapport à un plan de reprise de l’activité classique, il faut tenir compte de la présence d’un assaillant. Un logiciel malveillant comme Emotet, qui vient de se réveiller après une pause estivale, en constitue une solide illustration : il peut être utilisé pour déposer n’importe quelle charge malveillante, dont le ransomware Ryuk. Dès lors, les opérations de nettoyage n’ont pas grand-chose de trivial. Kyle Hanslovan, PDG de Huntress Labs, évoquait au printemps « entre 3 jours et 3 mois » de travail, « suivant les compétences, les outils et la télémétrie disponibles ».