Aller au contenu

Crypto et serveur physique


Messages recommandés

Bonjour,

 

Les serveurs des nombreux fournisseurs avec qui je travail sont tombé ces mois ci à cause de crypto et bien souvent le temps de faire le tour de chacun des postes il leur a fallu 1 mois pour retourner à plein régime.

 

Vous avez mis quoi en place pour limiter les risques ?

  • Un bon antivirus ? Lesquels vous utilisez ?
  • Une bonne sauvegarde ? Le crypto peut-il remonter sur l'hôte, le crypter et se propager au NAS de sauvegarde ?
  • Sensibiliser le personnel ? Là je vous avoue c'est comme pisser dans un violon. Combien de fois on me dit "Ah bon, fallait pas ouvrir ce mail ?"

 

Si vous avez des astuces pour les éviter ou si vous avez eu la "chance" de vous faire une expérience en remontant vos sauvegardes fonctionnelles ou non sur un serveur complet après un attaque ça m'intéresse. 

 

Lien vers le commentaire
Partager sur d’autres sites

La base : pas de données hors perso sur les postes utilisateurs

 

Sinon avec un serveur de fichier bien segmenté, seul un bout des données se fera chiffrer (sauf le coup de pas de bol ou c'est le DG qui ramène le crypto ^^), et backup et clichés instantanés.

Cela suppose une conformité RGPD et bonnes pratiques au niveau de la gestion des droits (pas d'utilisateur admin du domaine comme on voit encore parfois).

 

On en parle pas assez, mais les clichés instantanés sur un serveur de fichier ça peux gérer plus de 90% des demandes de restauration dans un délai ridicule et pour un coût ridicule aussi (ça coute juste de l'espace disque).

Pour les 10% autres, sauvegarde locale + externalisation.

 

Si tout cela est respecté, le délai de remise en service sur un crypto majeur est faible :

- restauration du serveur de fichier (ou des clichés si suffisants)

- Remasterisation des postes utilisateurs (avec un WDS et une image bien faite ça va super vite)

 

Pour revenir sur les questions du topic :

 

- Antivirus : pas de marque en particulier, juste une version pro avec une console de monitoring. Il ne faut pas les activer à minima (oui c'est relou un antivirus, mais si on désactive toutes les fonctions ça sert à rien)

 

- Pour la sauvegarde :

* Si la sauvegarde locale est sur un NAS, brider les accès au NAS au strict minimum (désactiver tous les protocoles non utilisés, filtrage ip source, etc.)

* Ne pas monter le NAS en direct sur le serveur (genre disque S de sauvegarde en iscsi, montage smb, etc), mais utiliser un montage dans le soft de backup, du ftp, n'importe quoi mais que l'OS ne soit pas capable d’accéder au NAS nativement si il devait être compromis (enfin si l'os est compromis sur le serveur de sauvegarde c'est que le compte admin est compromis souvent)

* Toujours avoir une autre backup externalisée ou sur un autre site

 

- Sensibilisation : Oui c'est sans fin, mais si on n'en fait pas les utilisateurs ne le seront jamais. Être disponible pour les questions et ne pas juger, il vaux mieux répondre 3 fois par jour a la question "est-ce que je peux ouvrir ce mail " que de se prendre un crypto violent.

 

Après dans des cas extrême d'attaque ciblée, aucune protection ne sera efficace à 100% (sauf une backup très bien ficelée), ils sont quand même doués ces pirates ...

 

Sur des cas de ransomware lambda je croise les doigts mais pour moi ça s'est toujours soldé par une restauration fichier voir machine entière.

 

PS : la vie d'une boite ce n'est pas que les serveurs et les fichiers, vérifier aussi la sécurité et les backups sur les services SAAS (qui a dit O365 ?)

Lien vers le commentaire
Partager sur d’autres sites

Bonjour, @Culnuteur,

 

Il y a 12 heures, Culnuteur a dit :

Un bon antivirus ? Lesquels vous utilisez ?

 

Le débat de savoir quel antivirus est meilleur qu'un autre peut durée un long moment. De plus, aucun antivirus à ce jour n’est en mesure de bloquer une attaque du type ransomware.

L'antivirus, c'est la ceinture de sécurité que tu as dans ta voiture, tu la mets pour limiter les risques d’accident, mais ça ne veut pas dire que tu auras zéro accident en voiture. L'antivirus c'est pareil, il te limite les risques, mais ne te garantis pas d'avoir zéro virus.

 

Il y a 12 heures, Culnuteur a dit :

Une bonne sauvegarde ? Le crypto peut-il remonter sur l'hôte, le crypter et se propager au NAS de sauvegarde ?

 

Une bonne sauvegarde ? Déjà si tu as une seule sauvegarde ce n'est pas bon. Nous avons la règle du 3,2,1 qui doit être appliquée impérativement quand cela est possible (quand le budget et l'environnement technique le permettent). Pour rappel, 3 sauvegardes, sur 2 supports différents, dont 1 externalisé.

Et oui, un ransomware peut réaliser le chiffrement d'un hôte et se propager sur un NAS si celui-ci à les droits nécessaires.

 

Il y a 12 heures, Culnuteur a dit :

Sensibiliser le personnel ? Là je vous avoue c'est comme pisser dans un violon. Combien de fois on me dit "Ah bon, fallait pas ouvrir ce mail ?"

 

Oui, la sensibilisation des utilisateurs est primordiale, c'est en effet une lourde tâche et de loin la plus complexe et longue. Tu auras beau avoir autant de sécurité, de sauvegarde, de procédure que tu veux, si tes utilisateurs ne sont pas sensibilisés aux risques, ça ne servira à rien. Le maillon le plus faible dans notre milieu, c'est et ça restera nous, l'être humain.

Si l'utilisateur te fait ce genre de remarque que tu cites, c'est que la sensibilisation n'est pas faite correctement.

 

Il y a 12 heures, Culnuteur a dit :

Si vous avez des astuces pour les éviter ou si vous avez eu la "chance" de vous faire une expérience en remontant vos sauvegardes fonctionnelles ou non sur un serveur complet après un attaque ça m'intéresse. 

 

Il ne s'agit pas d'astuce, mais plutôt de conseil et de bonnes pratiques :

  • Plusieurs sauvegardes ;
  • Vérifier la viabilité de tes sauvegardes régulièrement ;
  • Appliquer les bonnes pratiques en matière de sécurité ;
  • Sensibiliser correctement tes utilisateurs ;
Lien vers le commentaire
Partager sur d’autres sites

Merci pour vos conseils.

 

Je coche toutes les cases c'est rassurant, sauf pour la sensibilisation. Il va falloir que je m'impose de faire des rappels réguliers aux utilisateurs. Ceux qui me font peur c'est surtout les plus âgés, ceux à la direction qui ont de fait beaucoup plus de droits sur les dossiers sensibles.

 

Récemment on a externalisé la partie compta qui est accessible directement sur le cloud de notre expert comptable. On travail sur leurs serveurs donc c'est eux qui assurent la sécurité pour cette partie. J'avoue que quand on ne gère pas tout du début à la fin ça fait un peu flipper car en cas de problème on a rien pour se retourner.

 

 

Lien vers le commentaire
Partager sur d’autres sites

il y a 40 minutes, Culnuteur a dit :

Je coche toutes les cases c'est rassurant, sauf pour la sensibilisation. Il va falloir que je m'impose de faire des rappels réguliers aux utilisateurs. Ceux qui me font peur c'est surtout les plus âgés, ceux à la direction qui ont de fait beaucoup plus de droits sur les dossiers sensibles.

 

Pour ce point, il faut faire des formations par petit groupe et sous forme interactive, pas 4 heures d'affiler des diapositives PowerPoint, car ça, c'est sûr, l'utilisateur tu le perds dans les 15 premières minutes. 😉

 

Leur faire comprendre qu'ils sont acteurs et pas seulement spectateurs de la sécurité de leur entreprise, mais également de leur vie personnelle. Car ce type de formation à la sensibilisation de la sécurité informatique sert aussi dans la vie privée. 👍

Lien vers le commentaire
Partager sur d’autres sites

il y a 23 minutes, Culnuteur a dit :

C'est vrai que même pour moi aussi se sera moins chiant des petites séances de 15 minutes max par services avec la possibilité de leur faire faire des manip sur cas concrets.

 

Je vais prévoir ça pour la reprise.

 

15 minutes, ce n'est pas assez long. Il faut compter une bonne demi-journée, je pense minimum.

Lien vers le commentaire
Partager sur d’autres sites

Pour la partie anti-virus, je travaille avec Panda et leur solution "adaptive defense 360"

Grosso modo, le soft a une phase d'audit ou il analyse tous les soft utilisés sur chaque poste.

 

Ensuite deux solutions : soit tu le mets en mode "cool", c'est à dire que dés qu'il détecte qu'un nouveau programme non listé chez eux , il bloque et propose a l'utilisateur d'autoriser ou non son execution.

 

Sinon tu le mets en mode "bloquage" et du coup toute appli non reconnue est systématiquement bloquée.

Cela peut être un peu galère au début si tu as des applis spécifiques, mais il suffit de les mettre en "exclusions" et au bout de quelques semaines t'es plutôt en sécurité. rien n'est infaillible ceci dit mais cela ajoutes une couche de sécurité supplémentaire.

 

En dehors de ça : backup et bonne gestion des droits

Lien vers le commentaire
Partager sur d’autres sites

×
×
  • Créer...