Alors qu’aujourd’hui les groupes de ransomwares ciblent spécifiquement les serveurs de sauvegarde sur site, leur défense est encore plus importante pour les entreprises. Voici neuf mesures essentielles à prendre pour protéger ces serveurs.

Appliquer religieusement les correctifs

Il est important de s’assurer que le serveur de sauvegarde de l’entreprise est parmi les premiers à recevoir les dernières mises à jour du système d'exploitation. La plupart des attaques de ransomware exploitent des vulnérabilités pour lesquelles des correctifs sont disponibles depuis longtemps, mais qui n'ont pas été appliqués. Souscrire à toutes les mises à jour automatiques délivrées par le logiciel de back-up permet aussi de bénéficier de toutes les protections incluses dans la mise à jour. 

Désactiver les ports entrants

Les serveurs de back-up sont exposés à deux types d’attaques : l’exploitation d’une vulnérabilité par le pirate ou la connexion à l’aide d’identifiants compromis. La désactivation de tous les ports entrants, à l'exception des ports strictement nécessaires, peut empêcher les unes et les autres. Seuls les ports dont le logiciel de sauvegarde a besoin pour effectuer des sauvegardes et des restaurations doivent rester ouverts. Et ces ports ouverts ne doivent être accessibles qu’avec un VPN dédié au serveur de back-up. Même les utilisateurs du réseau LAN local doivent utiliser le VPN.

Bloquer les requêtes DNS sortantes

Quand il infecte un serveur de sauvegarde, le ransomware commence d’abord par contacter son serveur de commande et de contrôle. S'il en est empêché, il ne peut recevoir d'instructions sur la marche à suivre. L’usage d’un fichier hôte local ou d’un système DNS restreint, ne prenant pas en charge les requêtes externes, est donc intéressant. Cela peut sembler ridicule, mais c'est le moyen le plus simple d'arrêter un ransomware qui a infecté un système. L’avantage est réel et son inconvénient mineur. Après tout, pourquoi un serveur de back-up aurait-il légitimement besoin de l'adresse IP d'une machine aléatoire sur Internet ?

Déconnecter le serveur de back-up du LDAP

Le serveur de sauvegarde ne doit pas être connecté au protocole LDAP (Lightweight Directory Access Protocol) ou à tout autre système d'authentification centralisé. Ces systèmes sont souvent compromis par des ransomwares et peuvent être facilement utilisés par les attaquants pour obtenir les noms d'utilisateur et les mots de passe du serveur de back-up lui-même ou de son application de sauvegarde. Beaucoup de professionnels de la sécurité estiment qu'aucun compte d'administrateur ne devrait figurer dans l’annuaire LDAP, alors qu’il y a déjà un système distinct de gestion des mots de passe. Un gestionnaire de mots de passe commercial permettant le partage des mots de passe uniquement entre personnes qui ont besoin d'y accéder, suffit largement.

Activer l'authentification multifactorielle

L'authentification multifactorielle (MFA) peut renforcer la sécurité des serveurs de sauvegarde, mais il faut utiliser une autre méthode que les SMS ou les courriels, tous deux fréquemment ciblés et contournés. À la place, il est préférable d’utiliser une application d'authentification tierce comme Google Authenticator ou Authy ou l'un des nombreux produits commerciaux disponibles. 

Limiter les comptes root et administrateur

Il est important de configurer les systèmes de back-up de telle sorte que personne ou presque n'ait besoin de se connecter directement à un compte administrateur ou root. Par exemple, si un compte utilisateur est configuré sous Windows en tant que compte administrateur, cet utilisateur ne doit pas avoir à se connecter à ce compte pour administrer le système de sauvegarde. Ce compte ne doit être utilisé que pour certaines tâches, par exemple la mise à jour du système d'exploitation ou l'ajout de stockage, qui nécessitent un accès peu fréquent et qui peuvent être surveillées de près par des applications tierces en cas d’usage abusif de comptes avec privilèges. 

Envisager le back-up SaaS

L'utilisation d'un logiciel en tant que service (SaaS) permet de déplacer le serveur de sauvegarde en dehors de l'environnement IT sur site de l'entreprise. Cela signifie qu'il n'est pas nécessaire de mettre à jour en permanence le serveur de back-up et de le segmenter du reste du réseau à l'aide d'un pare-feu. Il est également inutile de maintenir un système de gestion des mots de passe distinct pour les comptes de la sauvegarde avec privilèges. 

Instaurer le moindre privilège

Il faut faire en sorte que le personnel ayant besoin d’accéder au système de sauvegarde ne dispose que des privilèges nécessaires à l'accomplissement de tâches autorisées. Par exemple, la possibilité de supprimer des back-ups, de réduire les périodes de rétention et d'effectuer des stockages doit être limitée à un petit groupe, et ces comportements doivent être suivis et surveillés de près. Si les attaquants obtiennent un accès administrateur sans restriction au système de sauvegarde, ils pourraient utiliser les restaurations pour transférer toutes les données qu'ils veulent vers un emplacement non crypté pour les exfiltrer. 

Créer un compte root/admin distinct

Un identifiant distinct, équivalent à l’identifiant root, et auquel on accède qu'occasionnellement, peut éviter certains dommages résultant d’une compromission, s'il déclenche des alarmes quand il est utilisé. Compte tenu des dégâts que peuvent causer ce genre de privilèges à un système de sauvegarde et à des données sensibles, l'effort en vaut la peine. 

Outre ces 9 mesures, le fournisseur du produit de back-up a souvent des conseils à donner sur son produit. C’est une bonne chose de le consulter.