kaptn - Fotolia
Ransomwares : la défense doit s’organiser au-delà des sauvegardes traditionnelles
Les logiciels malveillants mettent à l’épreuve les back-up et les plans de reprise de l’activité des entreprises victimes. De quoi s’interroger sur l’efficacité réelle des stratégies reposant uniquement sur les sauvegardes.
Le message est connu, régulièrement répété : contre les rançongiciels, la meilleure protection est la prévention. Et elle passe par des sauvegardes régulières. Mais ce n’est pas forcément une panacée. Certains acteurs de l’industrie l’ont bien compris et proposent désormais des approches complémentaires.
Certaines organisations ont bien été sauvées par leurs back-ups, comme des hôpitaux en ont témoigné en 2016. Mais le fait est que ce n’est pas toujours trivial. Le vrai-faux ransomware NotPetya a ainsi mis à rude épreuve les plans de reprise d’activité des entreprises qu’il a touchées, l’an passé.
Une étude de Trend Micro pour la France, publiée à l’automne 2016, soulignait les limites du recours aux sauvegardes.
Selon ce rapport, il faudrait compter en moyenne 29 heures de travail pour réparer une infection par ransomware. Et encore, quand on y parvient pleinement. Seulement 65 % des entreprises n’ayant pas payé la rançon auraient pu « faire face à la menace en limitant les pertes » grâce à une sauvegarde.
Dans un tel contexte, il n’est pas surprenant que près d’un tiers des sondés se soient dits prêts à payer une rançon parce qu’ils ont besoin d’accéder rapidement aux fichiers pris en otage.
Face à cela, plusieurs acteurs cherchent à proposer une couche de protection supplémentaire pour éviter d’avoir à recourir à de longs processus de restauration en cas d’incident.
Détecter les comportements suspects pour les cantonner
Face à la menace, si l’application régulière des correctifs s’avère un élément de prévention clé, les éditeurs sont nombreux à adopter des approches éloignées des seules signatures. L’antivirus traditionnel, basé sur de simples listes de signatures, a montré sa principale limite : le temps, élément critique de la protection contre les menaces émergentes.
Il s’agit de miser sur l’analyse comportementale, car de nombreux indices peuvent trahir l’activité d’un rançongiciel. Cela commence bien sûr par les activités sur les fichiers : l’accès à un grand nombre d’entre eux, en parallèle ou successivement, avec chiffrement puis effacement, peut trahir l’activité d’un maliciel. Cela vaut aussi, à plus haut niveau, sur l’entropie du système de fichiers, susceptible de décroître brutalement sous l’effet d’une réorganisation massive des fichiers se traduisant par une utilisation soudainement très ordonnée des blocs de données.
Des acteurs tels que Carbon Black, Cylance, CounterTack, CrowdStrike, LightCyber – racheté depuis par Palo Alto Networks –, SentinelOne, Tanium ou encore Cybereason n’ont pas manqué pousser ces nouvelles approches. Ils ne sont pas les seuls : des acteurs de l’antivirus traditionnel s’y sont également mis, comme Bitdefender et Trend Micro, pour n’en citer que deux.
Cybereason,par exemple, propose un outil gratuit depuis le début 2017. Idem avec RansomWhere, pour macOS. Citons aussi les outils préventifs de Kaspersky, de Malwarebytes, de McAfee, et tout récemment d’Acronis, avec son logiciel gratuit Ransomware Protection.
Depuis l’automne, Windows 10 intègre en natif un mécanisme de surveillance des accès aux dossiers qui suit la même logique.
Protéger les données par micro-sauvegardes
Certains acteurs vont plus loin. Ils adoptent pour cela une approche duale : d’un côté, ils cherchent à détecter les comportements suspects pour y mettre un terme le plus vite possible ; de l’autre, ils misent sur de rapides micro-sauvegardes - des instantanés ou snapshots - pour permettre la récupération rapide des fichiers éventuellement chiffrés avant l’interception du processus malveillant.
SentinelOne s’est engagé dans cette direction, dès 2015, allant jusqu’à proposer une garantie contractuelle. Ses capacités dites de roll back ont d’ailleurs séduit Pacifica/Crédit Agricole Assurances (lire par ailleurs). Sophos a adopté la même approche avec Intercept X, tout comme Carvir Cyber Security, ou Kaspersky.
De son côté Check Point Software a présenté sa solution en la matière au mois de février 2017. Quant à Acronis, l’éditeur a intégré des mécanismes de protection comparables dans la version 2017 de son outil de sauvegarde True Image, mécanismes que l’on retrouve aussi dans son récent produit gratuit.
ShieldFS : un système de fichier résilient grâce au Machine Learning
Des chercheurs de l’université polytechnique de Milan tentent d’intégrer des capacités de résilience directement au sein du système de fichiers de Windows. C’est le projet ShieldFS.
Là encore, il s’agit de mettre en place une couche de protection qui agisse comme un mécanisme de copie-sur-écriture à chaque fois que le composant de détection révèle une activité suspecte.
Cette couche d’abstraction, de fait, s’interpose entre l’application et le fichier réel, pour en produire une copie à la volée lorsque c’est nécessaire, puis assurer une restauration tout aussi immédiate.
Le composant de détection s’appuie sur plusieurs modèles comportementaux, développés par apprentissage automatique (Machine Learning), et sollicités de manière adaptative.