Prêt à parler à un ingénieur système ?

Veuillez entrer vos informations et nous vous contacterons pour organiser un appel. Merci!

Verrouillage du temps de rétention pour la récupération des ransomwares

Verrouillage du temps de rétention pour la récupération des ransomwares

Les attaques de ransomwares sont en augmentation, deviennent perturbatrices et potentiellement très coûteuses pour les entreprises. Quelle que soit la méticulosité avec laquelle une organisation suit les meilleures pratiques pour protéger les données précieuses, les attaquants semblent garder une longueur d'avance. Ils cryptent de manière malveillante les données primaires, prennent le contrôle de l'application de sauvegarde et suppriment les données de sauvegarde.

La protection contre les rançongiciels est aujourd'hui une préoccupation majeure pour les organisations. ExaGrid offre une approche unique pour s'assurer que les attaquants ne peuvent pas compromettre les données de sauvegarde, permettant aux organisations d'être sûres qu'elles peuvent restaurer le stockage principal affecté et éviter de payer de vilaines rançons.

En savoir plus dans notre vidéo

Voir le séminaire

Fiche technique sur le verrouillage du temps de rétention pour la récupération des ransomwares

Télécharger

 

Le défi est de savoir comment protéger les données de sauvegarde contre la suppression tout en permettant à la rétention de sauvegarde d'être purgée lorsque les points de rétention sont atteints. Si vous verrouillez la rétention de toutes les données, vous ne pouvez pas supprimer les points de rétention et les coûts de stockage deviennent intenables. Si vous autorisez la suppression des points de rétention pour économiser de l'espace de stockage, vous laissez le système ouvert aux pirates pour supprimer toutes les données. L'approche unique d'ExaGrid s'appelle Retention Time-Lock. Il empêche les pirates de supprimer les sauvegardes et permet de purger les points de rétention. Le résultat est une solide solution de protection et de récupération des données à un très faible coût supplémentaire de stockage ExaGrid.

ExaGrid est un stockage de sauvegarde hiérarchisé avec une zone d'atterrissage de cache disque frontal et un niveau de référentiel séparé contenant toutes les données de rétention. Les sauvegardes sont écrites directement dans la zone d'atterrissage de cache disque ExaGrid "face au réseau" (entrefer à plusieurs niveaux) pour des performances de sauvegarde rapides. Les sauvegardes les plus récentes sont conservées sous leur forme complète non dédupliquée pour des restaurations rapides.

Une fois que les données sont validées dans la zone d'atterrissage, elles sont hiérarchisées dans un référentiel de conservation à long terme "sans accès au réseau" (intervalle d'air à plusieurs niveaux) où les données sont dédupliquées de manière adaptative et stockées en tant qu'objets de données dédupliqués pour réduire les coûts de stockage de données de conservation à long terme. Comme les données sont hiérarchisées au niveau du référentiel, elles sont dédupliquées et stockées dans une série d'objets et de métadonnées. Comme avec d'autres systèmes de stockage d'objets, les objets et les métadonnées du système ExaGrid ne sont jamais changés ou modifiés, ce qui les rend immuables, permettant uniquement la création de nouveaux objets ou la suppression d'anciens objets lorsque la rétention est atteinte. Les sauvegardes dans le niveau de référentiel peuvent être n'importe quel nombre de jours, de semaines, de mois ou d'années requis. Il n'y a pas de limite au nombre de versions ou à la durée pendant laquelle les sauvegardes peuvent être conservées. De nombreuses organisations conservent 12 hebdomadaires, 36 mensuels et 7 annuels, voire parfois, une conservation « pour toujours ».

Le Retention Time-Lock for Ransomware Recovery d'ExaGrid s'ajoute à la conservation à long terme des données de sauvegarde et utilise 3 fonctions distinctes :

  • Objets de déduplication de données immuables
  • Niveau sans accès au réseau (espace d'air à plusieurs niveaux)
  • Demandes de suppression retardées

 

L'approche d'ExaGrid en matière de rançongiciel permet aux organisations de mettre en place une période de verrouillage qui retarde le traitement de toute demande de suppression dans le niveau référentiel, car ce niveau n'est pas en contact avec le réseau et n'est pas accessible aux pirates. La combinaison d'un niveau sans accès au réseau, d'une suppression différée pendant un certain temps et d'objets immuables qui ne peuvent pas être changés ou modifiés sont les éléments de la solution ExaGrid Retention Time-Lock. Par exemple, si la période de verrouillage du temps pour le niveau de référentiel est définie sur 10 jours, alors lorsque des demandes de suppression sont envoyées à ExaGrid à partir d'une application de sauvegarde qui a été compromise, ou à partir d'un CIFS piraté, ou d'autres protocoles de communication, l'ensemble les données de rétention à long terme (semaines/mois/années) sont toutes intactes. Cela donne aux organisations des jours et des semaines pour identifier qu'elles ont un problème et le restaurer.

Les données sont verrouillées dans le temps pendant un nombre de jours défini par la politique contre toute suppression. Ceci est séparé et distinct du stockage de rétention à long terme qui pourrait être conservé pendant des années. Les données de la zone d'atterrissage seront supprimées ou cryptées, cependant, les données du niveau de référentiel ne sont pas supprimées sur demande externe pendant la période configurée - elles sont verrouillées dans le temps pendant un nombre de jours défini par la politique contre toute suppression. Lorsqu'une attaque de ransomware est identifiée, placez simplement le système ExaGrid dans un nouveau mode de récupération, puis restaurez toutes les données de sauvegarde sur le stockage principal.

La solution fournit un verrou de rétention, mais uniquement pour une période de temps réglable car elle retarde les suppressions. ExaGrid a choisi de ne pas implémenter Retention Time-Lock pour toujours car le coût du stockage serait ingérable. Avec l'approche ExaGrid, tout ce qui est nécessaire est jusqu'à 10 % de stockage de référentiel supplémentaire pour maintenir le délai des suppressions. ExaGrid permet de définir le délai de suppression via une politique.

Processus de récupération - 5 étapes faciles

  • Appelez le mode de récupération.
    • L'horloge de verrouillage du temps de rétention est arrêtée et toutes les suppressions sont mises en attente indéfiniment jusqu'à ce que l'opération de récupération des données soit terminée.
  • L'administrateur de sauvegarde peut effectuer la récupération à l'aide de l'interface graphique d'ExaGrid, mais comme il ne s'agit pas d'une opération courante, nous vous suggérons de contacter le support client d'ExaGrid.
  • Déterminez l'heure de l'événement afin de pouvoir planifier la restauration.
  • Déterminez quelle sauvegarde sur ExaGrid a terminé la déduplication avant l'événement.
  • Effectuez une restauration à partir de cette sauvegarde à l'aide de l'application de sauvegarde.

 

Les avantages d'ExaGrid sont :

  • La rétention à long terme n'est pas affectée et le verrouillage du temps de rétention s'ajoute à la politique de rétention
  • Les objets de déduplication immuables ne peuvent pas être modifiés, modifiés ou supprimés (en dehors de la politique de rétention)
  • Gérez un seul système au lieu de plusieurs systèmes pour le stockage de sauvegarde et la récupération des rançongiciels
  • Deuxième niveau de référentiel unique qui n'est visible que pour le logiciel ExaGrid, pas pour le réseau - (intervalle d'air à plusieurs niveaux)
  • Les données ne sont pas supprimées car les demandes de suppression sont retardées et donc prêtes à être récupérées après une attaque de ransomware
  • Des purges quotidiennes, hebdomadaires, mensuelles, annuelles et autres se produisent toujours, mais sont simplement retardées, pour maintenir les coûts de stockage en ligne avec les périodes de rétention
  • Pour utiliser les suppressions différées, la politique par défaut ne prend que 10 % supplémentaires du stockage du référentiel
  • Le stockage n'augmente pas éternellement et reste dans la période de conservation des sauvegardes définie pour réduire les coûts de stockage
  • Toutes les données de rétention sont conservées et ne sont pas supprimées

 

Exemples de scénarios

Les données sont supprimées dans la zone d'atterrissage du cache disque d'ExaGrid via l'application de sauvegarde ou en piratant le protocole de communication. Étant donné que les données du niveau de référentiel ont un délai de suppression différée, les objets sont toujours intacts et disponibles pour la restauration. Lorsque l'événement ransomware est détecté, placez simplement ExaGrid dans un nouveau mode de récupération et restaurez. Vous avez autant de temps pour détecter l'attaque par rançongiciel que le temps de verrouillage a été défini sur l'ExaGrid. Si vous avez défini le verrouillage horaire sur 10 jours, vous disposez de 10 jours pour détecter l'attaque par ransomware (pendant laquelle toute la conservation des sauvegardes est protégée) pour mettre le système ExaGrid dans le nouveau mode de récupération pour restaurer les données.

Les données sont chiffrées dans la zone de destination du cache du disque ExaGrid ou sont chiffrées sur le stockage principal et sauvegardées sur ExaGrid de sorte qu'ExaGrid dispose de données chiffrées dans la zone de destination et les déduplique dans le niveau de référentiel. Les données de la Landing Zone sont cryptées. Cependant, tous les objets de données précédemment dédupliqués ne changent jamais (immuables), ils ne sont donc jamais impactés par les données chiffrées nouvellement arrivées. ExaGrid a toutes les sauvegardes précédentes avant l'attaque du rançongiciel qui peuvent être restaurées immédiatement. En plus de pouvoir récupérer à partir de la sauvegarde dédupliquée la plus récente, le système conserve toujours toutes les données de sauvegarde conformément aux exigences de conservation.

Caractéristiques :

  • Objets de déduplication immuables qui ne peuvent pas être changés ou modifiés ou supprimés (en dehors de la politique de rétention)
  • Toute demande de suppression est retardée du nombre de jours dans la politique de protection.
  • Les données chiffrées écrites dans ExaGrid ne suppriment ni ne modifient les sauvegardes précédentes dans le référentiel.
  • Les données Landing Zone chiffrées ne suppriment ni ne modifient les sauvegardes précédentes dans le référentiel.
  • Définissez la suppression différée par incréments de 1 jour (cela s'ajoute à la politique de conservation à long terme de la sauvegarde).
  • Protège contre la perte de toutes les sauvegardes conservées, y compris les sauvegardes mensuelles et annuelles.
  • L'authentification à deux facteurs (2FA) protège les modifications apportées au paramètre Time-Lock.
    • Seul le rôle d'administrateur est autorisé à modifier le paramètre Time-Lock, après approbation du responsable de la sécurité
    • 2FA avec identifiant/mot de passe administrateur et code QR généré par le système pour une authentification à deux facteurs.
  • Mot de passe distinct pour le site principal par rapport au deuxième site ExaGrid.
  • Séparez le mot de passe du responsable de la sécurité ou du vice-président de l'infrastructure/des opérations pour modifier ou désactiver le verrouillage de la durée de conservation.
  • Fonction spéciale : Alarme en cas de suppression
    • Une alarme est déclenchée 24 heures après une suppression importante.
    • Alarme en cas de suppression importante : une valeur peut être définie comme seuil par l'administrateur de sauvegarde (la valeur par défaut est de 50 %) et si une suppression est supérieure au seuil, le système déclenchera une alarme, seul le rôle d'administrateur peut effacer cette alarme.
    • Un seuil peut être configuré, par partage individuel, en fonction du modèle de sauvegarde. (La valeur par défaut est de 50 % pour chaque partage). Lorsqu'une demande de suppression arrive au système, le système ExaGrid honorera la demande et supprimera les données. Si RTL est activé, les données seront conservées pour la politique RTL (pour le nombre de jours défini par une organisation). Lorsque RTL est activé, les organisations pourront récupérer les données à l'aide du PITR (Point-In-Time-Recovery).
    • Si une organisation reçoit fréquemment de fausses alarmes positives, le rôle d'administrateur peut ajuster la valeur de seuil de 1 à 99 % pour éviter davantage de fausses alarmes.
  •  Alarme sur le changement du taux de déduplication des données
    Si le stockage principal est crypté et envoyé à ExaGrid à partir de l'application de sauvegarde ou si l'auteur de la menace crypte les données sur la zone d'atterrissage ExaGrid, ExaGrid constatera une baisse significative du taux de déduplication atteint et enverra une alarme. Les données du niveau référentiel restent protégées.

Parlez-nous de vos besoins

ExaGrid est l'expert en stockage de sauvegarde, c'est tout ce que nous faisons.

Demander un devis

Notre équipe est formée pour s'assurer que votre système est correctement dimensionné et pris en charge pour répondre à vos besoins croissants en matière de données.

Contactez-nous pour les prix »

Discutez avec l'un de nos ingénieurs système

Avec le stockage de sauvegarde hiérarchisé d'ExaGrid, chaque appliance du système apporte non seulement un disque, mais également de la mémoire, de la bande passante et une puissance de traitement, tous les éléments nécessaires pour maintenir des performances de sauvegarde élevées.

Programmer un appel »

Planifier la preuve de concept (POC)

Testez ExaGrid en l'installant dans votre environnement pour bénéficier de performances de sauvegarde améliorées, de restaurations plus rapides, d'une facilité d'utilisation et d'une évolutivité. Mettez-le à l'épreuve ! 8 sur 10 qui le testent, décident de le garder.

Programmez maintenant »