Cybersécurité : autopsie d'une attaque par la sauvegarde

Lors d'une cyberattaque, comprendre comment l'assaillant a pu s'introduire est primordial. On l'oublie souvent, la gestion des données de sauvegarde peut aider RSSI et leurs équipes dans leur autopsie

Lors d’une cyberattaque, comprendre rapidement comment l’assaillant a pu s’introduire dans le réseau est primordial. Quelles vulnérabilités ont été exploitées ? Quels contrôles ont été contournés ? Comment les privilèges d’accès ont-ils été détournés ? Quelles sont les données sensibles ou réglementées qui ont été touchées ?

On l’oublie souvent, mais la gestion des données de sauvegarde peut aider les RSSI et leurs équipes à répondre à ces questions, sans pour autant toucher aux données brutes, ce qui pourrait alerter les cybercriminels ou empirer le problème.

Un exemple simple est celui de l’analyse des vulnérabilités : une approche classique consiste à analyser les systèmes de production à travers un réseau. Cette approche a des répercussions sur les performances de la production, car elle nécessite de créer des ouvertures dans les pare-feux pour permettre un accès, laissant souvent les identifiants d’accès sur un autre système. Les parties périphériques du réseau, souvent celles qui représentent le « patient zéro » dans une attaque, peuvent ne jamais être analysées. De même, lors des tests de pénétration, les organisations hésitent souvent à laisser les testeurs s’attaquer directement à leurs environnements de production, au cas où ils provoqueraient une panne ou une dégradation des performances.

Face à ces risques, l’analyse des sauvegardes se présente comme une alternative non négligeable. Les plateformes modernes sont déjà optimisées pour la recherche et l’extraction de données, une capacité qui peut être étendue à l’ensemble du système informatique, quelle que soit la charge de travail.

Tirer le meilleur parti des jumeaux numériques

Procéder aux analyses et aux tests sur les jumeaux numériques des sauvegardes présente plusieurs avantages : cette méthode évite de mettre plus à risque le réseau réel de l’entreprise, mais permet également d’effectuer un travail plus approfondi, de réduire les frais sur les systèmes, de procéder à une détection plus efficace et plus rapide, et de restaurer une sauvegarde propre et non compromise en cas d’attaque avérée.

Les jumeaux numériques étant déclinables autant que nécessaire, les entreprises peuvent également effectuer plusieurs types de tests simultanément. Par exemple, en utilisant un seul clone de sauvegarde fonctionnant dans une machine virtuelle, plusieurs testeurs peuvent attaquer différentes instances en parallèle, sans que ces attaques tests ne s’affectent mutuellement.

De la même façon, les plateformes de simulation de violation, et de validation des contrôles peuvent cibler plusieurs copies des systèmes de production afin d’en identifier les forces et les faiblesses. Les entreprises obtiennent ainsi des résultats plus rapidement, qui leur permettent de connaître plus tôt le potentiel d’intrusion, et d’appliquer ainsi les correctifs nécessaires aux systèmes réels.

Se concentrer sur les exécutables

Les fichiers exécutables sont les véhicules d’intrusion préférés des cybercriminels. Ils peuvent rester sur un système pendant plusieurs semaines sans être détectés, se répliquer, chiffrer des fichiers, envoyer des données à des tiers, etc.

Lorsqu’une attaque par ransomware est détectée, les cybercriminels peuvent donc déjà être en possession d’informations cruciales, et menacer de les publier si la victime refuse de payer la rançon.

En travaillant avec des données brutes, il est fort probable que toute action visant à supprimer les fichiers exécutables alertera l’attaquant, qui se précipitera alors pour verrouiller ou supprimer les données associées. En outre, les exécutables auront été sauvegardés en même temps que l’ensemble des systèmes, de sorte que toute restauration contiendrait toujours le fichier endommagé ou la vulnérabilité, entraînant la reprise de l’attaque.

Les sauvegardes offrent ainsi la possibilité de remonter dans le temps pour savoir quand le fichier exécutable est apparu pour la première fois, de l’isoler et de le supprimer ou d’apporter des mesures correctives dans le cas où il se serait répliqué. La sauvegarde, alors sans risque, peut être restaurée.

Utiliser les sauvegardes en tant que séries temporelles

Une autre raison essentielle pour laquelle il est préférable d’aborder la sécurité des systèmes par le biais des sauvegardes est le temps. Les sauvegardes régulières permettent à l’entreprise de créer une chronologie de l’état de ses systèmes et de ses données sur plusieurs semaines, plusieurs mois voire plusieurs années. Un élément essentiel pour remonter l’origine d’une attaque.

Si les organisations considéraient autrefois ces sauvegardes uniquement comme une assurance contre la perte, le vol ou la détérioration des données, l’intensification du paysage de la menace a fait évoluer cette vision. Elles sont désormais l’assurance ultime contre les cyberattaques ainsi qu’un outil puissant de test et de prévention.

Les RSSI peuvent donc utiliser les sauvegardes pour s’acquitter des deux tâches cruciales qui définissent leur travail : protéger les données et les systèmes de l’organisation, ainsi que restaurer des systèmes en bon état après une attaque. Enfin, elles constituent également une source de connaissances pour la gouvernance des données et les opérations de sécurité.