Les services de stockage cloud sont-ils une bonne stratégie de protection contre les attaques de ransomwares?

Solution simple, bon marché et relativement évolutive
(même si je suis conscient qu'il n'a rien à voir avec le stockage en ligne)

J'ai deux clés USB que je tourne régulièrement (vous pouvez ajouter un rappel dans votre calendrier si vous avez peur de le faire). Vous pouvez utiliser l'un des nombreux outils de synchronisation pour choisir les dossiers à copier, j'utilise Allway Sync .

L'un des lecteurs est toujours hors ligne. Vous pouvez même le déplacer vers un autre emplacement pour rendre vos données résilientes aux cambrioleurs visitant votre maison ou incendiant ou autre chose.

Vous pouvez également chiffrer le disque si vous ne voulez pas que d'autres personnes falsifient votre sauvegarde. J'utilise VeraCrypt .

Notes

Le plus souvent vous faites pivoter vos disques, le moins de données que vous perdrez en cas d'infection par un ransomeware. Mais bien sûr, c'est l'inconvénient de cette solution, dont vous avez besoin de faire tourner manuellement vos disques de temps en temps.
Mais c'est une solution bon marché, flexible et efficace contre de nombreux problèmes qui pourraient survenir.

Une solution simple

Pour moi, il importe de garder la solution simple afin qu'elle ne puisse pas être utilisée à mauvais escient. Par exemple, la solution NAS ne fonctionnera que si personne ne monte jamais les disques. Je peux facilement voir comment cela pourrait échouer avec un utilisateur inexpérimenté qui ne sait pas exactement ce qu'il fait.
Planifiez ce jour où vous vous asseyez et essayez de résoudre un problème. Une solution consiste à monter les disques et vous avez totalement oublié votre schéma de sauvegarde que vous avez configuré il y a plusieurs mois.

Au moment de la rédaction de ce document, Dropbox serait un bon moyen d'atténuer les attaques de ransomwares car un historique de version de 30 jours des modifications de fichiers est conservé sur leurs serveurs (même sur le niveau gratuit).

Cela, en fonction du volume de données, nécessite une connexion Internet rapide pour le téléchargement et le téléchargement pour qu'il soit efficace.

Cependant, (grosse mise en garde) il ne faudrait pas grand-chose pour que de nouveaux ransomwares soient conçus qui saisissent votre jeton de session de Dropbox.com, ou qui installent un enregistreur de frappe afin de capturer le mot de passe de votre fournisseur de cloud, puis procède à la sélection de l'option "Supprimer définitivement", rendant les fichiers irrécupérables.

Il en va de même pour toutes les options de stockage en ligne, qu'elles soient mappées en tant que lecteur ou non, car les ransomwares pourraient facilement être conçus pour rechercher SMB partages sur le réseau local et y chiffrer les fichiers également. Le seul réel L'option de sauvegarde en ligne serait si vous aviez une option d'écriture seule où le protocole réseau autorisera les nouveaux fichiers, les modifications et les suppressions uniquement avec un contrôle de version complet et aucun moyen possible de désactiver le contrôle de version ou de supprimer définitivement les anciennes copies.

Cela laisse ensuite les sauvegardes hors ligne comme dernière option. Ceux-ci devraient être lancés manuellement sur des supports amovibles, qui seraient mieux stockés hors site cryptés pour une protection contre les menaces non malveillantes (par exemple, le feu ou le vol).

Que recommanderiez-vous comme stratégie de sauvegarde pour éviter les ransomwares?

Stockage en lecture seule

La solution la plus simple couvre 90% des besoins de conservation des données d'une personne moyenne: stockez vos anciennes données dans un format en lecture seule. Combien de vos données sont d'anciennes informations fiscales, des ressources d'anciennes écoles/emplois, des photos de vacances ou tout autre type d'informations cela ne va pas changer?

Un courant, DVD-R stocke près de 5 Go pour quelques dollars. En plus de stocker vos informations sur Dropbox ou sur une clé USB externe, jetez simplement les trucs de l'année dernière sur un disque le 1er janvier et Sharpie l'année en haut. Continuez à sauvegarder régulièrement les disques de la manière qui vous convient, mais un "point de contrôle" physique dans un classeur n'est jamais une mauvaise chose.

Pour les professionnels en charge de grandes quantités de données professionnelles, apparemment, 1 TB stockage optique est en route, bien que des sauvegardes réseau fréquentes soient encore nécessaires, même quelques jours la valeur des données (développement de code, contrats commerciaux, séances de photographie professionnelles) pourrait valoir beaucoup d'argent.

C'est un peu effrayant qu'une seule réponse ici mentionne la vérification des sauvegardes, donc j'ai ressenti le besoin d'ajouter cette réponse:

Quoi que vous choisissiez comme stratégie de sauvegarde: Vos sauvegardes ne valent absolument rien si vous ne disposez pas d'un mécanisme de vérification fonctionnel et bien testé pour vérifier l'intégrité de les fichiers.

Ce n'est qu'une question de temps jusqu'à ce que le ransomware tente de décrypter les fichiers à la volée lorsque vous essayez d'y accéder. Après un certain temps, le logiciel malveillant supprimera alors la copie locale de la ou des clés et rendra bon nombre ou la plupart de vos sauvegardes sans valeur. Il y a déjà des attaques comme celle-ci signalées sur les bases de données des serveurs Web.

Malgré cela: personnellement, je ne téléchargerais jamais de données sensibles sur un service cloud sans les crypter au préalable. (Yup c'est un peu ironique) Rappelez-vous: "cloud" est juste un synonyme de "autre serveur gars".

Non. La sauvegarde cloud grand public n'est pas une solution efficace. En fait, aucune solution unique ne protégera vos données, vous devez les mélanger un peu.

Pour vous donner une bonne réponse, je devrais connaître vos habitudes, vos habitudes d'utilisation et bien d'autres détails, mais voici ma meilleure estimation basée sur un propriétaire de maison/petite entreprise moyen avec lequel je travaille habituellement.

Donc, pour sauvegarder, ou pour être l'archivage exact.

C'est une question très complexe et vous devez décider combien vous pouvez vous permettre de perdre. Fournir une sécurité des données à 99,9% est une affaire TRÈS coûteuse (pensez au stockage redondant géographiquement dispersé sans point de défaillance unique). Les données peuvent être perdues de bien plus de façons que vous ne le pensez, pas seulement les ransomwares. Par exemple, le DVD ou le BR-D ne durera que quelques années, le lecteur flash sera mort dans environ 7 ans, le disque dur typique n'est plus utilisable après 5 ans, le format peut devenir obsolète, l'interface peut devenir obsolète, les disques durs peuvent faire des erreurs non corrigibles (et en fait ils le font), votre sauvegarde peut être tuée par la foudre, le feu, les inondations, elle peut être volée, vous pourriez perdre votre mot de passe si vous cryptez (et vous devriez) ... Imaginez simplement un scénario de cauchemar où vous avez Archive NTBackup sur un disque dur défaillant IDE - amusant.

Donc, quelques solutions:

Tout d'abord, surveillez votre système de fichiers . L'attaque par ransomware créera d'énormes changements dans le système de fichiers et vous saurez immédiatement qu'il y a un problème.

OPTION 1 - allez avec M-Disc . 100 Go de données, ce n'est pas tant que ça, vous pouvez donc en faire deux copies sur 100 Go M-Disc BDXL. Mettez-en un dans un tiroir à la maison, mettez-en un dans un coffre-fort bancaire et vous êtes bon. Pendant des millénaires, disent-ils. Gardez à l'esprit que vous pouvez toujours perdre vos données. C'est un support en lecture seule, donc son utilisation sur un ordinateur infecté n'est pas un problème. Entre l'archivage, utilisez une carte SD pleine taille (disons 128 Go), basculez son commutateur pour lire uniquement pour un usage quotidien et pour lire et écrire lors de la sauvegarde. Entre l'archivage, utilisez un DVD jusqu'à ce que vous en ayez assez pour une autre archive M-Disc (attention à la longévité du DVD). Je ne suis en aucun cas affilié à M-Disc, mais j'ai une assez bonne expérience de son utilisation.

Ils ont également une solution Dropbox + M-Disc sur leur site Web, vous pouvez donc utiliser Dropbox pour plus de commodité et faire expédier vos archives.

OPTION 1.1 - Identique à ci-dessus, mais en utilisant un disque Blu-Ray ordinaire. C'est moins cher mais beaucoup plus risqué. Assurez-vous de re-graver vos archives une fois par an.

OPTION 2 - configurez un petit serveur de fichiers (Linux) et montez son stockage pour plus de commodité, mais assurez-vous qu'il versionne ses sauvegardes sur un stockage non accessible depuis vos ordinateurs clients (NAS ou Cloud ou autre). Donc, en cas de problème, le stockage monté sera chiffré, mais vous pouvez toujours revenir en arrière car le serveur lui-même n'est pas infecté. Pare-feu pour ne pas autoriser l'accès à distance car les futurs ransomwares plus avancés pourraient l'exploiter en volant les informations d'identification d'un client infecté. Assurez-vous de toujours avoir plus d'une copie de vos données, tenez compte de la longévité du support utilisé et remplacez les disques durs dès les premiers signes de problème.

OPTION 3 - demandez à un informaticien crédible de mettre en place une solution adaptée à vos besoins afin d'avoir un accès instantané à vos données et à des archives (presque) pare-balles. Je sais que les gens viennent ici pour des solutions de bricolage, mais la protection des données est une science, pas quelque chose que vous pouvez résumer sur une seule page et je suis sûr à 100% que vous ne pouvez pas voir toutes les réserves à votre solution.

Quoi que vous choisissiez, il n'y a pas de solution "installez-le et oubliez-le", et qui prétend qu'il y en a, est probablement incompétent.

J'utilise une pile de disques durs USB-3 externes, "A", "B", "C", etc. que je tourne en séquence et exécute une sauvegarde nocturne automatique. (mon ordinateur fonctionne 24/7, donc la nuit, il exécute des tâches telles que des sauvegardes complètes, des analyses approfondies de logiciels malveillants et des défragmentation occasionnelles) En d'autres termes, le lecteur qui est écrit ce soir est le plus ancien de la séquence. J'en garde 3 hors site dans un coffre-fort bancaire que je rafraîchis environ une fois par semaine. Depuis que je vais à la banque ou dans le centre commercial où se trouve la banque, régulièrement pour d'autres affaires, cela n'ajoute pas beaucoup de fardeau. (le stockage hors site protège contre l'incendie, le vol et les événements similaires).

Le seul autre travail que je dois faire est que lorsque je m'assois devant mon ordinateur pour commencer ma journée, je dois me rappeler de remplacer le connecteur USB de la sauvegarde de la nuit dernière par le suivant dans la séquence, ce qui est désormais une habitude.

Ma prochaine tâche à accomplir pour résoudre ce problème consiste à ajouter une vérification automatique que les fichiers sont lisibles et non chiffrés. En ce moment, je le fais manuellement sur une base de vérification ponctuelle, mais cela prend du temps et de l'attention, donc j'aimerais l'automatiser.

Rester simple.

Alors que les solutions de synchronisation dans le cloud peuvent fournir une protection contre les ransomwares grâce au contrôle de version des fichiers, le choix d'une solution individuelle nécessite des recherches^{(1) (2)} et je pense que c'est une tâche qui ne vaut pas la peine . En fonction d'un service cloud, leur fonctionnalité client est différente et ces sociétés créent et prennent en charge leurs solutions principalement en tant qu'outil de synchronisation plutôt que pour la sauvegarde et la gestion des versions.

^{(1) Google Drive propose une version des fichiers (30 jours), mais les anciennes versions comptent pour la limite d'espace. Google ne semble pas publier d'informations sur ce qui se passe si vous aviez un plan de 100 Go et ~ 100 Go de données qui changeraient instantanément. Il pourrait soit arrêter la synchronisation ou sacrifier les anciennes versions.}

^{(2) Dropbox propose des versions illimitées conservées pendant 30 jours dans leurs forfaits payants.}

Je suggérerais d'aller avec une solution de sauvegarde de version complète qui sauvegarde sur le cloud (ainsi que votre destination de réseau local).

J'utilise Arq qui déduplique les fichiers à la manière d'un git⁽³⁾ et les chiffre AES avant de quitter la machine. Les fichiers stockés dans le cloud ou le réseau ne se transforment pas après avoir été sauvegardés, donc aucun ransomware ne changerait leur contenu (à moins qu'ils ne remplacent l'exécutable, mais ce serait trop ciblé).

^{(3) Cela signifie que les fichiers sauvegardés sont divisés et traités comme des blocs de données immuables. Si les fichiers source changent, les nouvelles données sont écrites avec les anciennes restantes jusqu'à ce que le processus de récupération de place les supprime.}

Le plus important: c'est une solution de protection des données qui peut être testée (restauration sur la même machine, sur une autre) avant toute catastrophe.

Une telle attitude traite également tout service cloud comme un simple espace de stockage, ce qui évite à l'utilisateur d'avoir à considérer de subtiles différences entre les services.

La seule chose qu'il n'offre pas est l'accès Web aux fichiers (en raison du cryptage), donc doit effectuer une restauration (et une installation de logiciel au cas où tous les ordinateurs seraient perdus), mais vous devez décider si vous voulez sauvegarde-et-protection ou synchronisation-et- partage .

Crashplan , un fournisseur de stockage cloud payant, a n article dédié sur la façon dont sa solution de stockage cloud en ligne peut vous aider à récupérer de certaines attaques de ransomwares.
Leurs services pourraient être une alternative adaptée à votre cas d'utilisation où vous devez sauvegarder une grande quantité de données pour un stockage à long terme (merci @GuntramBlohm).

Extrait:

CryptoLocker et CryptoWall sont une forme de malware qui crypte les fichiers sur votre ordinateur et vous demande de payer une rançon pour décrypter ces fichiers. Au lieu de payer les criminels derrière cette attaque, vous pouvez utiliser CrashPlan pour restaurer vos fichiers à partir d'une date et d'une heure antérieures à l'infection. Cet article décrit comment utiliser CrashPlan pour récupérer vos fichiers à partir d'une attaque CryptoLocker ou CryptoWall.

ÉDITER:
Comme indiqué dans les commentaires de @ Ajedi32, un ransomware intelligent pourrait supprimer définitivement des fichiers de votre historique, rendant vos fichiers originaux irrécupérables.
De nombreux fournisseurs de stockage cloud ne suppriment pas immédiatement vos fichiers, mais les stockent plutôt dans un répertoire (limité dans le temps). Cela seul ne suffit pas, car le répertoire de la corbeille peut généralement être vidé à tout moment.

Ciblage ransomware intelligent ...

• Crashplan pourrait modifier les paramètres de sauvegarde afin qu'aucun fichier supprimé ne soit stocké.
• Google Drive pourrait supprimer définitivement fichiers de la corbeille.
• Dropbox pourrait également supprimer définitivement les fichiers de la corbeille.

Aucune solution impliquant un code de "sauvegarde sur le cloud" qui s'exécute UNIQUEMENT * sur votre PC "professionnel" n'est sûre.

* mis à jour grâce aux commentaires

Tôt ou tard, les auteurs des logiciels de rançon vont commencer à détourner les connexions de stockage dans le cloud.

Ma solution consiste à partager les dossiers des utilisateurs afin qu'une deuxième boîte Linux hautement sécurisée quelque part (locale ou cloud) puisse lire les fichiers des utilisateurs et les sauvegarder sur la ou les destination (s) appropriée (s), le média rw local, la lecture locale- uniquement média ou cloud. En supposant que la boîte Linux reste sécurisée, le malware ne peut pas attaquer directement les sauvegardes.

Vous DEVEZ conserver suffisamment de sauvegardes historiques complètes pour couvrir la période de temps maximale entre le moment où la rançon démarre le chiffrement de vos fichiers et le moment où vous AVISEZ que cela se produit. Cela peut être considérablement plus long que quelques jours.

Les auteurs de rançongiciels sont confrontés à un compromis entre agir lentement pour effectuer autant de sauvegardes que possible et agir rapidement pour éviter la détection et être empêché de continuer le cryptage des fichiers.

Les archives photographiques sont probablement une cible juteuse ici car elles sont probablement stockées pendant une longue période et ne sont pas examinées et ont souvent une valeur sentimentale élevée. Crypter lentement la collection de photos de quelqu'un (original et sauvegarde) POURRAIT entraîner un paiement de rançon plus élevé que d'essayer d'attaquer rapidement un PC entier.

Le NAS Setup est mon choix préféré, pour la deuxième sauvegarde, vous pouvez utiliser un disque dur hors ligne pour effectuer une sauvegarde une fois par mois. Le NAS est bien parce que vous pouvez mettez les disques hors ligne quand vous le voulez OR vous pouvez faire ce que j'essaie de faire. Changez les disques, une fois par an, nettoyez les disques sur le NAS ( également bon pour la vitesse, etc.) Gardez les anciens disques durs dans un bon endroit (et étiquetez-les).

S'ils traversent votre première couche de sécurité et infectent votre NAS, vous pouvez simplement retirer les disques.

J'utilise également des systèmes de récupération par défaut qui m'aident à conserver des sauvegardes lorsque de telles choses se produisent.

Résumons le fonctionnement du ransomware:

Le ransomware crypte tout ce qu'il trouve. Ceci comprend:

• Tous les lecteurs locaux
• Médias externes connectés à votre ordinateur au moment de l'attaque
• Partages réseau montés avec accès en écriture

Cela vous donne les précautions possibles suivantes

• Stockage cloud sans client installé localement (impossible pour de grandes quantités de fichiers)
• Stockage dans le cloud avec un client local, mais vous êtes toujours déconnecté, sauf si une sauvegarde est due (facile à oublier)
• Lecteurs hors ligne, que vous connectez uniquement lorsqu'une sauvegarde est prévue
• Médias en lecture seule tels que DVD et Blueray (Bon pour l'archivage)
• Chemin réseau auquel votre compte d'utilisateur n'a pas accès. Ensuite, exécutez la tâche de sauvegarde à partir d'un autre compte qui a réellement accès. Cependant, la méthode de sauvegarde doit stocker plusieurs versions. Sinon, les sauvegardes intactes pourraient simplement être remplacées par les versions cryptées/corrompues au cas où l'utilisateur ne remarquerait pas le cryptage suffisamment tôt.

Personnellement, j'ai choisi la dernière option pour moi car j'ai toujours des sauvegardes entièrement automatisées. Dans le cas où mon ordinateur serait compromis par un ransomware, il ne serait pas en mesure de crypter le partage réseau en raison des autorisations manquantes. Associez-le à sauvegardes hors ligne occasionnelles et vous devrait être bien.

Malheureusement, si nous tenons compte de tous les exploits possibles, la seule solution valide utilise des supports en lecture seule. Un root-exploit, key-logger ou similaire rend la plupart des autres méthodes inutiles. En raison de l'effort supplémentaire, ceux-ci ne seraient probablement utilisés que dans des attaques visant des individus (bureau local, restaurant, etc.).

Les autres réponses répondent très bien à vos premières préoccupations. Comme sur les alternatives pour protéger les fichiers contre les ransomwares sans dépendre des solutions tierces (c'est-à-dire l'hébergement cloud):

Obtenez un autre PC (un avec une grande unité de stockage) exécutant un système d'exploitation plus sûr sur votre réseau local et installez un serveur de logiciel de contrôle de version (par exemple Subversion).

Validez vos fichiers dans une copie de travail et conservez-les synchronisés via le client de contrôle de version.

Subversion serait bien pour cela, car il n'y aura pas beaucoup de conflits de soumissions simultanées. Vous pouvez créer un script pour que les commandes de synchronisation s'exécutent selon un calendrier.

J'ai rendu mes disques de sauvegarde amorçables avec un petit système Linux faisant un rsnapshot automatique et un arrêt après que cela ait réussi. Étant donné que mes données ne changent pas beaucoup, je peux conserver un nombre élevé d'instantanés.

Oh, si vous êtes vraiment paranoïaque, vous pouvez mesurer le temps que prend normalement le rsnapshot et si tout d'un coup cela prend beaucoup plus de temps, c'est une bonne indication que quelque chose ne va pas sur votre système ...

Tout service de stockage cloud avec versioning activé vous protégera des ransomwares. L'option de version est essentielle ici, car vous devrez peut-être récupérer une version précédente si le logiciel malveillant a modifié vos fichiers dans le service cloud.

AWS S3 a le versioning en option, mais il n'est pas activé par défaut. DropBox a le versioning activé par défaut. Google Drive pour les fichiers non Google (Google Docs, etc.) vous oblige à activer manuellement l'option "conserver pour toujours" pour ce faire.

Il existe cependant une atténuation non cloud relativement simple pour cette menace.

1. Configurez un NAS ou serveur de fichiers Linux pour stocker les données, puis ajoutez-y un ou plusieurs lecteurs de sauvegarde externes.
2. Laissez vos ordinateurs utiliser le stockage directement depuis le NAS/serveur, ou sauvegardez le stockage local sur celui-ci.
3. Faites exécuter un utilitaire de sauvegarde directement sur le NAS/serveur et configurez-le pour sauvegarder sur le disque externe.
4. Assurez-vous que le disque externe n'est pas accessible de n'importe où en dehors du NAS/serveur lui-même - via les autorisations de fichier sur Linux, ou via une option de configuration dans l'interface graphique NAS.

Cette sauvegarde secondaire sera inaccessible aux ransomwares sur votre ordinateur. Si vous deviez être infecté, vous nettoieriez le malware (duh), puis restaurer cette sauvegarde secondaire sur votre NAS/serveur.

La plupart des unités NAS ont une fonction de sauvegarde intégrée pour les disques externes. Si vous utilisez un serveur Linux, rsnapshot fera le travail pour vous. Vous pouvez le configurer dans cron pour qu'il s'exécute aussi souvent que vous aimez - garantissant que vous ne perdrez pas plus que les données produites dans ce laps de temps.

CrashPlan peut également être utilisé pour la sauvegarde locale si vous avez besoin de déduplication/compression. (Bien que cela ne fonctionnera qu'une fois par jour, sauf si vous vous abonnez)

Bien que cela prenne un certain travail de configuration, il peut fonctionner principalement sans entretien jusqu'à ce que vous remplissiez votre stockage.