Scanrail - Fotolia
Stockage : ProLion arrive en France pour protéger les baies NetApp
L’éditeur autrichien, spécialisé dans les solutions qui étendent les fonctions des baies de stockage OnTap, entend se faire un nom en France avec un outil qui bloque l’accès aux ransomwares.
L’éditeur autrichien ProLion, spécialiste des outils pour les solutions de stockage NetApp, entend faire parler de lui en France avec une solution qui protège une baie de disques contre les ransomwares. Son dernier logiciel, Crypto Spike, se connecte à l’API FPolicy du système OnTap pour surveiller les accès anormaux, les bloquer, alerter les équipes cybersécurité et indiquer aux administrateurs du stockage quelles sauvegardes saines il peut restaurer en cas de fichiers endommagés.
« Crypto Spike a accès à toutes les actions de tous les utilisateurs sur tous les partages gérés par une baie NetApp. Par exemple, il va détecter qu’un utilisateur écrit dans deux fichiers en même temps, ou dans plus de dix fichiers en une seconde, etc. Ces comportements signifient dans la majorité des cas que ce n’est plus un humain qui est aux commandes, mais un malware qui se sert de son compte pour chiffrer les fichiers », explique Thibault Périé, directeur commercial de ProLion pour la France.
Détecter l’attaque, la bloquer, savoir comment réparer
En l’occurrence, Crypto Spike obéit à des règles. Celles que ProLion a renseignées dans sa base de connaissance, en étudiant les comportements de tous les malwares connus. Celles que l’entreprise utilisatrice lui demande de définir, car elle sait très bien que certains de ses comptes utilisateurs ne sont pas liés à des humains, mais à des logiciels de sauvegarde ou d’analyse qui ont une méthodologie particulière pour accéder aux données. Et, aussi, les règles que Crypto Spike, lui-même, estime qu’il faudrait définir après avoir observé pendant quinze jours les accès au stockage primaire.
Thibault PériéDirecteur commercial ProLion, France
« Nous ne travaillons qu’au niveau du stockage primaire, celui géré par NetApp. Quand un fichier a été endommagé, nous allons chercher sa version saine dans les snapshots réalisés par le système OnTap », précise Thibault Périé. Il suggère toutefois que ProLion serait en discussion avec plusieurs éditeurs de solutions de sauvegarde, dont Veeam, pour exploiter leurs particularités.
« Notez que, même sans passer par un logiciel dédié aux sauvegardes, notre solution n’impose pas de restaurer un snapshot entier. Nous sommes capables de n’extraire du snapshot que la copie saine d’un fichier détruit. En faisant cela, nous permettons à tous les collaborateurs de continuer à travailler normalement. Sauf, bien entendu, au collaborateur dont le compte a été utilisé frauduleusement et dont nous bloquons tous les accès au niveau de la baie NetApp », assure le représentant de ProLion.
Il reconnaît que Crypto Spike n’empêche pas forcément le malware de démarrer son travail de sabotage des fichiers. En revanche, le logiciel serait très efficace pour arrêter une attaque dès qu’elle a commencé, c’est-à-dire bien avant qu’elle ait des conséquences dramatiques.
Retracer le fil des accès à une baie OnTap
Selon Thibault Périé, la valeur de Crypto Spike est surtout dans sa capacité à retracer tout l’historique des accès. Après avoir détecté – et bloqué – une attaque, il envoie un rapport avec la trame des événements qui ont précédé. Soit par e-mail aux responsables de la cybersécurité dans l’entreprise, soit directement dans le SIEM d’un centre de supervision.
« L’idée est des prévenir les secours et de leur donner toutes les clés pour qu’ils puissent intervenir sur le réseau et sur l’annuaire des comptes utilisateurs. L’interdiction d’accès à un utilisateur n’est levée que lorsque l’administrateur du stockage a manuellement restauré ses droits depuis la console d’OnTAP. Ce n’est pas Crypto Spike qui prend cette décision. Notre logiciel se charge juste d’envoyer un mail à l’utilisateur pour le prévenir quand ses droits d’accès sont restaurés. »
C’est aussi cette trame qui permet de savoir quelle sauvegarde récupérer. « Plus exactement, Crypto Spike va donner des indices aux équipes sécurité, qui vont leur permettre de déterminer depuis quand un compte utilisateur a des comportements malveillants. C’est alors que les équipes de sécurité vont dire aux administrateurs du stockage qu’il vaut mieux, par exemple, récupérer la sauvegarde d’un fichier vieille de deux jours plutôt que celle d’il y a une heure. »
Thibault Périé explique en effet que les cybermalfaiteurs ont perfectionné leurs attaques au point de ne plus chiffrer à toute vitesse tous les documents auxquels ils accèdent. Les outils de surveillance découvriraient à présent très facilement de telles actions peu discrètes. De plus en plus, les ransomwares lanceraient leurs chiffrements au compte-gouttes. Crypto Spike garde en mémoire qu’un utilisateur a réenregistré très rapidement un fichier, ce qui peut arriver en utilisation normale. Mais, si cela se reproduit, même plusieurs jours après, il déclenche une alerte.
Une alternative aux outils de NetApp
La filiale française de ProLion existe en réalité depuis 2020, mais elle était jusqu’ici passée sous tous les radars pour cause d’activité gelée par la pandémie de Covid-19.
« ProLion a neuf ans d’existence. Notre métier historique est de proposer de la haute disponibilité entre deux sites équipés de baies NetApp, avec notre logiciel ClusterLion. Nous bénéficions de fait d’un solide réseau de partenaires intégrateurs et revendeurs en France, dans l’écosystème NetApp », argumente Thibault Périé.
Thibault PériéDirecteur commercial ProLion, France
Paradoxalement, NetApp ne fait pas lui-même partie des partenaires, car les solutions de ProLion concurrencent celles qu’il vend en option. Sur la haute disponibilité, la solution MetroCluster de NetApp, par, exemple, suppose d’installer trois machines, alors que ClusterLion se contente de deux baies OpenTap, une sur chaque site. Quant à la cybersécurité, NetApp propose depuis la version 9.8 d’OnTap l’option Cloud Secure, entretemps incluse dans l’offre Cloud Insights, qui analyse de la même façon que Crypto Spike les accès à ses baies.
« Le premier avantage de Crypto Spike est qu’il fonctionne sur site. Parce que si des pirates vous attaquent, il y a des chances qu’ils saturent ou coupent votre connexion à Internet. Et, dans ce cas, un outil qui fonctionne en cloud ne sert plus à rien. L’autre avantage est que notre produit est véritablement pensé pour s’interfacer avec les équipes cybersécurité et leur SIEM », promet notre interlocuteur.
Crypto Spike, qui prend la forme d’une machine virtuelle à installer sur un serveur à part, est par ailleurs facturé au nombre de contrôleurs NAS dans une baie NetApp. Selon Thibault Périé, les entreprises ne paient pas de licence supplémentaire quand elles augmentent leur nombre d’utilisateurs ou leur quantité de disques.
La machine virtuelle est également installable en cloud pour superviser les accès aux services de stockage en ligne de NetApp, à savoir Cloud Volume OnTap (CVO). Elle sait aussi surveiller les baies virtuelles OnTap qui sont configurées sur une infrastructure hyperconvergée (OnTap Select).