La plupart des organisations échouent lamentablement à se défendre contre les cyberattaques et les intrusions de ransomwares. C’est le point de vue de James Blake, CSO EMEA chez Cohesity, qui a parlé à Computer Weekly des fonctionnalités clés du service Datahawk récemment lancé par la société de sauvegarde et de son initiative Data Security Alliance.
“J’ai vu comment les gens font de la défense et pourquoi ils échouent lamentablement”, a déclaré Blake, qui a ajouté que la sécurité avait souvent un budget et des effectifs en tête, mais pas de véritable intelligence.
“Il n’y a pas de véritable corrélation linéaire entre les dépenses et les effectifs et la capacité opérationnelle”, a-t-il déclaré. “Les règles [of any defensive scanning capability] ne peut jamais devancer l’adversaire. L’attaquant a toujours l’avantage du premier arrivé.
“Et puis vous devez toujours supposer que les défenses sont construites avec de bons processus et que les règles sont maintenues, et ce n’est tout simplement pas le cas.”
Ainsi, a déclaré Blake, une grande partie de la gestion de toute attaque de ransomware consiste à gérer avec succès l’impact et la récupération de l’attaque.
Cela signifie pouvoir restaurer les dernières copies propres des données qui n’ont pas été corrompues.
Pour résoudre ce problème, Cohesity, qui est à la base un fournisseur de logiciels et d’appliances de sauvegarde, identifie les données propres à l’aide d’informations de renseignement sur les menaces sous licence de Blue Hexagon de Qualys dans le cadre de son initiative Data Security Alliance.
“L’idée est d’arrêter le déroulement du processus de ransomware avant qu’il n’atteigne les étapes finales – l’exfiltration et l’impact – dans le modèle en 14 étapes de Mitre Attack”, a déclaré Blake.
Cela se produit en détectant les modèles de signature dans les sauvegardes pour identifier un point de récupération sûr sans artefacts malveillants, a-t-il ajouté.
Pendant ce temps, la fonctionnalité Datahawk recherche de manière proactive les activités liées au système de fichiers dans les systèmes d’entreprise, a déclaré Blake.
Ceux-ci incluent les modifications du système de fichiers, la suppression des fichiers exécutables associés aux processus de ransomware. “Tout ce qui touche au système de fichiers”, a-t-il déclaré. “Les compte-gouttes et les fichiers temporaires qui se lancent lorsque quelqu’un clique sur un e-mail, par exemple.”
D’autres fonctionnalités incluent l’audit et la classification des données pour comprendre l’impact probable d’une attaque.
“Le calcul et le stockage deviennent des produits de base”, a déclaré Blake. « Ce qui est important, ce sont les données. Et il est essentiel de comprendre où se trouvent ces actifs. S’il y a un impact sur le système, vous devez savoir ce qu’il fait.
“Datahawk exploite les données de la plate-forme de gestion des données pour classer les données critiques et les PII [personally identifiable information] pour permettre au client de comprendre quelles données ont quitté l’entreprise et quel impact cela pourrait avoir.
Pendant ce temps, Cohesity a également intégré le cyber-voûte de Fort Knox dans Datahawk. C’est son point de vue sur la façon de mettre les données hors de portée des attaquants.
Pour l’entreprise, cela signifie stocker les données dans le sens où elles sont invisibles sur le réseau. En d’autres termes, dit Blake, « il ne peut pas être découvert, il n’est pas monté, mais peut être récupéré à un endroit choisi ».
L’approche de Cohesity contraste avec d’autres fournisseurs, qui utilisent des instantanés immuables ou la fonctionnalité de stockage immuable dans le stockage AWS S3.
Cohesity – comme d’autres fournisseurs – ne rend ces données accessibles que via une authentification multi-facteurs, mais utilise le concept de «salle blanche» dans laquelle les données peuvent être montées avant d’être remises en production.
La société a annoncé sa Data Security Alliance lors de son sommet ReConnect le mois dernier. Il rassemble 12 entreprises partenaires ayant une expertise en matière de cybersécurité et de gestion de la sécurité des données, dont Palo Alto Networks, Cisco, BigID et Splunk.
Pendant ce temps, DataHawk est une offre de logiciel en tant que service (SaaS) qui combine les fort Knox service de sauvegarde des données avec analyse et détection des menaces et classification intelligente des données dans une seule offre. Un client doit acheter DataProtect avant d’ajouter des services tels que DataHawk.
