NAKIVO > Blog

Comment protéger les sauvegardes contre les ransomwares grâce à la recherche de logiciels malveillants dans les sauvegardes de NAKIVO

Publié le: mars 26, 2024

Written by: NAKIVO Team

& & < & &< <>> <>Les sauvegardes sont devenues une cible privilégiée pour les ransomwares. Les pirates veulent s’assurer que les entreprises paient la rançon en les empêchant de réaliser la récupération de leurs données de manière indépendante. Avec NAKIVO Backup & Replication, vous bénéficiez de plusieurs fonctionnalités (par exemple, des cibles de sauvegarde immuables) qui garantissent qu’une fois créée, une sauvegarde ne peut pas être infectée ou corrompue par un nouveau ransomware. Cependant, comment empêcher une infection malveillante existante, qui peut être latente dans votre environnement de production, de se propager à vos sauvegardes ?

Les ransomwares peuvent être sophistiqués et, après avoir infecté une machine, ils peuvent rester inactifs avant d’être activés pour détruire des données. Lorsqu’une machine virtuelle ou physique infectée par un ransomware à chiffrement retardé est sauvegardée, le malware peut rester dormant dans la sauvegarde. Si la sauvegarde infectée est restaurée ultérieurement, le ransomware peut potentiellement redevenir actif et lancer son processus de chiffrement au fil du temps. Ce scénario peut entraîner une réinfection des systèmes et le chiffrement des données nouvellement restaurées, ce qui représente un risque important pour l’intégrité de votre infrastructure.

Dans cet article, nous expliquons deux façons d’utiliser la recherche de logiciels malveillants dans les sauvegardes dans NAKIVO Backup & Replication afin de garantir que les sauvegardes que vous créez sont propres et prêtes à être restaurées chaque fois.

See the Solution in Action

See the Solution in Action

Get a personalized demo of any feature to get started in no time. Our engineers are here to help and answer any questions you may have.

Book a Free Demo

NAKIVO bonnes pratiques pour la récupération du ransomware

La réplication des sauvegardes NAKIVO & vous aide à vous assurer que vous disposez d’un nombre suffisant de copies des données critiques à différents emplacements pour pouvoir les récupérer avec succès après tout incident.

Voici quelques-unes des bonnes pratiques pour la récupération après une attaque par ransomware :

  • Appliquer la stratégie de sauvegarde 3-2-1. Créez des sauvegardes à intervalles réguliers pour vous assurer que vous disposez d’au moins trois copies des données. Au moins deux copies doivent être stockées sur deux supports différents, et au moins une copie doit être stockée hors site. Une politique de conservation appropriée, par exemple en utilisant le schéma de conservation grand-père-père-fils , vous garantira de disposer de suffisamment de points de récupération pour choisir une copie propre si votre infrastructure est touchée par une attaque de ransomware.
  • Immuabilité. Stockez l’une des copies de sauvegarde sur un Stockage immuable ou un stockage isolé. Le Stockage immuable vous permet d’écrire une sauvegarde une seule fois, mais sans possibilité de modifier ou de supprimer les données par la suite par un ransomware. Le stockage isolé est un support de stockage qui est physiquement déconnecté après l’écriture d’une sauvegarde, ce qui empêche les ransomwares d’accéder physiquement à ces données. NAKIVO Backup & Replication & x id=« 9 »/>prend en charge plusieurs cibles immuables.
  • Intégration des logiciels de sauvegarde et antivirus. Vous devez utiliser un logiciel antivirus pour détecter les menaces sur les machines physiques et virtuelles. Les logiciels antivirus peuvent détecter et supprimer la plupart des types de virus. Vous devez également utiliser la détection des menaces pour les sauvegardes en intégrant un antivirus à votre solution de sauvegarde afin de disposer de sauvegardes propres pour des récupérations propres. Vous pouvez utiliser la recherche de logiciels malveillants dans les sauvegardes dans NAKIVO Backup & Replication pour intégrer un antivirus et analyser les sauvegardes à la recherche de logiciels malveillants.
  • Réplication et reprise après sinistre. Utilisez la réplication, qu’elle soit régulière ou en temps réel, pour le basculement et la reprise après sinistre au cas où un ransomware mettrait votre infrastructure à mal et que vous deviez redémarrer vos machines à un autre emplacement.

Protéger vos sauvegardes grâce à la recherche de logiciels malveillants dans les sauvegardes de NAKIVO

La fonctionnalité de recherche de logiciels malveillants dans les sauvegardes de NAKIVO de NAKIVO Backup & Replication & de NAKIVO Backup & Replication vous permet d’intégrer un logiciel antivirus et de réaliser la recherche de logiciels malveillants dans vos sauvegardes.

Comment fonctionne la recherche de logiciels malveillants dans les sauvegardes de NAKIVO

Les disques de la machine physique ou virtuelle sont exposés directement à partir de la sauvegarde en tant que disques virtuels. Ils sont ensuite démarrés sur le serveur hyperviseur sélectionné, tel qu’un hôte ESXi, Hyper-V, Nutanix, machines Linux/Windows et VMware Cloud Director.

Dans le cas d’un hôte VMware ESXi, les disques virtuels sont connectés en tant que cibles iSCSI à une machine virtuelle temporaire sur l’hôte VMware ESXi. Les disques virtuels des machines virtuelles sont également connectés au serveur d’analyse en tant que cibles iSCSI. Ainsi, l’antivirus exécuté sur le serveur d’analyse peut analyser les disques/volumes montés en tant que cibles iSCSI, de la même manière que l’antivirus analyse les disques locaux.

Voici quelques conditions à remplir pour que la fonctionnalité fonctionne :

  • Le service iSCSI Initiator doit être exécuté sur le serveur d’analyse.
  • Un agent est installé sur le serveur d’analyse afin de le connecter aux composants NAKIVO Backup & Replication nécessaires.

Remarque : Le Transporteur installé sur la machine avec le référentiel de sauvegarde peut être utilisé par défaut comme serveur d’analyse pour analyser les sauvegardes dans ce référentiel de sauvegarde. Vous pouvez utiliser cette option par défaut si un antivirus est installé sur la machine avec un référentiel de sauvegarde.

Vous pouvez consulter la liste complète des conditions à remplir et des antivirus pris en charge .

L’environnement utilisé dans la procédure pas à pas

Cette fonctionnalité peut être utilisée immédiatement après la création d’une sauvegarde pour gagner du temps lorsque vous devez récupérer rapidement un objet ou une machine, ou juste avant la récupération si vous souhaitez vous assurer que le point de récupération est exempt d’infection.

Nous fournissons les workflows pour les deux scénarios ci-dessous en utilisant les éléments suivants dans notre environnement :

  • NAKIVO Backup & Réplication v.10.11 appliance virtuelle : 192.168.101.211
  • Un serveur d’analyse avec antivirus : Windows 10 x64 (192.168.101.225)
  • ESET NOD 32 Antivirus v.16 installé sur un serveur d’analyse
  • ESXi 7.0 : 192.168.101.201
  • ESXi 7.0 : 192.168.101.202 (les deux hôtes ESXi sont ajoutés à l’inventaire)
  • Une machine virtuelle Windows sur ESXi 7.0
  • Une sauvegarde de machine virtuelle Windows dans un référentiel de sauvegarde de NAKIVO Backup & Replication & Replication

Une tâche de sauvegarde est planifiée pour s’exécuter quotidiennement.

Nous avons installé l’antivirus avec les paramètres par défaut en mode d’essai.

Remarque : NAKIVO ne fournit pas de licences pour les logiciels antivirus. Vous devez utiliser une clé d’essai ou acheter manuellement la licence antivirus.

Ajout d’un serveur d’analyse

NAKIVO Backup & Replication & Replication prend en charge les analyses de sauvegarde par un logiciel antivirus installé sur un serveur d’analyse accessible via le réseau :

  • Un serveur d’analyse peut être une machine physique ou virtuelle Windows/Linux sur laquelle un logiciel antivirus est exécuté. Les versions client et serveur des systèmes d’exploitation Linux et Windows sont prises en charge pour le serveur d’analyse.
  • Un serveur d’analyse doit être capable d’établir une connexion réseau avec NAKIVO Backup & Replication & >

Remarque : Il est recommandé d’utiliser un serveur d’analyse fonctionnant sous Linux pour analyser les sauvegardes Linux et des serveurs d’analyse fonctionnant sous Windows pour analyser les sauvegardes Windows. Les serveurs d’analyse Linux peuvent analyser les sauvegardes Windows dans les cas courants. Cependant, l’idée est que le système d’exploitation du serveur d’analyse doit être capable de comprendre le système de fichiers de la machine sauvegardée.

Commençons par ajouter un serveur d’analyse à l’inventaire dans l’interface web de la solution NAKIVO.

  1. Allez dans Paramètres > Inventaire, cliquez sur l’icône , puis cliquez sur Analyser les serveurs.

    Adding a scan server in NAKIVO Backup & Replication

  2. Entrez les paramètres du nouveau serveur d’analyse que vous ajoutez :
    • Afficher le nom : ScanServer01
    • Plateforme : Windows ou Linux – il s’agit du système d’exploitation de la machine sur laquelle l’antivirus est installé
    • Nom d’hôte ou adresse IP : Entrez le nom d’hôte ou l’adresse IP du serveur d’analyse
    • Type d’identifiants de connexion : Mot de passe (ou clé privée)
    • Nom d’utilisateur : Un compte utilisateur disposant de suffisamment d’autorisations, par exemple celui de l’administrateur
    • Mot de passe : Le mot de passe de ce compte utilisateur

    Définissez la charge maximale, c’est-à-dire le nombre maximal de tâches simultanées.

    Après avoir saisi tous les paramètres requis pour le serveur d’analyse, cliquez sur Connexion de test.

    Si le service initiateur iSCSI n’est pas démarré sur le serveur d’analyse, un message s’affiche pour vous en informer, comme indiqué ci-dessous.

    Adding a new scan server and connection test

  3. Pour démarrer le service initiateur iSCSI sur un ordinateur Windows :
    • Ouvrez la Gestion de l’ordinateur en appuyant sur Win+R, puis dans la boîte de dialogue Exécuter, entrez compmgmt.msc, et appuyez sur Entrée.
    • Accédez à Services et applications > Services, puis accédez à Service initiateur iSCSI Microsoft. Vous pouvez démarrer le service une seule fois ou le configurer pour qu’il démarre automatiquement après l’amorçage de Windows.
  4. Cliquez avec le bouton droit sur Service initiateur iSCSI Microsoft et cliquez sur Propriétés.

    Starting the iSCSI initiator service on the scan server (Windows 10)

  5. Dans la fenêtre des propriétés du service, définissez le type de démarrage sur Automatique et cliquez sur Démarrer. Cliquez ensuite sur OK pour enregistrer les paramètres.

    Starting iSCSI initiator on Windows 10 in automatic mode

  6. Revenez à l’interface Web de NAKIVO Backup & Replication & Replication et cliquez sur Effectuez à nouveau la connexion de test . La connexion de test devrait maintenant aboutir. Cliquez sur Ajoutez pour terminer l’ajout du nouveau serveur d’analyse.

    Remarque : Si le test échoue, assurez-vous que le pare-feu ne bloque pas la connexion réseau et que vous remplissez toutes les conditions à remplir.

    A connection with a scan server has been tested successfully

    7. Le nouveau serveur d’analyse s’affiche désormais dans la liste des serveurs d’analyse. Vous pouvez fermer cette fenêtre dans l’interface Web.

    A scan server has been added

Une fois le serveur d’analyse ajouté, vous pouvez configurer la recherche de logiciels malveillants dans les sauvegardes.

Analyse des sauvegardes à la recherche de logiciels malveillants avant la restauration

Vous pouvez effectuer des analyses à la recherche de logiciels malveillants dans NAKIVO Backup & Replication avant de procéder à la restauration des types de tâches de sauvegarde suivants :

  • VMware vSphere VM
  • machine virtuelle Microsoft Hyper-V
  • Nutanix AHV VM
  • VMware Cloud Director
  • Machines physiques
  • Démarrage instantané de machines virtuelles
  • Objet universel

Dans cet exemple, nous utilisons une tâche de démarrage instantané de machines virtuelles pour analyser les logiciels malveillants avant la récupération :

  1. Accédez à Tâches et sélectionnez la tâche de sauvegarde qui inclut les sauvegardes des machines que vous souhaitez vérifier pour détecter les virus et les logiciels malveillants. Dans notre cas, il s’agit de la tâche de sauvegarde VMware Windows VM.
  2. Une fois la tâche de sauvegarde sélectionnée, cliquez sur Récupération, puis dans le menu de récupération, cliquez sur Démarrage instantané pour VMware.

    Adding a new Flash VM boot job for a VMware VM

Le Nouvel assistant de tâche de sauvegarde pour VMware s’ouvre :

  1. Sauvegardes. Sélectionnez les sauvegardes de la tâche de sauvegarde souhaitée que vous souhaitez analyser à la recherche de virus. Vous pouvez sélectionner plusieurs sauvegardes. Nous sélectionnons Windows-VM, qui est la seule machine à sauvegarder dans nos sauvegardes. Cliquez sur Suivant à chaque étape de l’assistant pour continuer.

    Selecting a backup of a VMware VM for a flash VM boot job with a malware scan

  2. Destination. Sélectionnez l’emplacement où exécuter la machine virtuelle temporaire avec les disques virtuels connectés à partir de la sauvegarde à sauvegarder. Les options de destination comprennent un hôte ESXi, un magasin de données ESXi, un réseau virtuel et un VM-Ordner (facultatif). L’hôte ESXi sélectionné a déjà été ajouté à l’inventaire NAKIVO.

    Selecting a destination ESXi host to run a temporary VM

  3. Planification. Planifiez le calendrier ou sélectionnez l’exécution sur demande de cette tâche de démarrage instantané de machines virtuelles. Comme nous voulons analyser une sauvegarde à la recherche de virus avant la récupération, nous choisissons d’exécuter cette tâche sur demande.

    Selecting scheduling options for a Flash VM boot job

  4. Options. Configurez les options de la tâche de démarrage instantané de machines virtuelles.
    • Entrez un nom pour la tâche.
    • Pour l’option Détection des logiciels malveillants , cliquez sur Activé.

    Sélectionnez les paramètres de détection des logiciels malveillants dans la fenêtre contextuelle qui s’affiche :

    • Serveur d’analyse: Sélectionnez le serveur d’analyse qui a été ajouté à l’inventaire précédemment.
    • Type d’analyse: Analyse approfondie ou Analyse rapide. L’analyse rapide permet d’analyser les emplacements standard d’un disque (partition) du système d’exploitation généralement utilisés par les virus. L’analyse approfondie analyse tous les fichiers.
    • Sélectionnez le comportement en cas de détection d’un logiciel malveillant: Échouer la tâche de récupération ou Continuer et réaliser la récupération vers un réseau isolé.
    • Définir le délai d’expiration de l’analyse. Si le délai défini est dépassé, la tâche est interrompue avec le statut « Échec ».

    Une fois la configuration terminée, cliquez sur Apply pour enregistrer les paramètres de détection des logiciels malveillants pour cette tâche.

    Cliquez ensuite sur Terminer & Exécuter pour terminer l’assistant et exécuter le démarrage instantané de machines virtuelles avec l’analyse des logiciels malveillants.

    Enabling and configuring malware detection in options

  5. Sélectionnez la portée d’exécution de la tâche et cliquez sur Exécutez.

    Running the Flash VM Boot job for all VMs

Chaque disque virtuel de la machine virtuelle temporaire démarrée sur l’hôte ESXi est exposé en tant que cible iSCSI et est monté sur le serveur d’analyse.

Attendez que la VM temporaire soit créée sur l’hôte ESXi et que les disques virtuels soient montés et analysés à la recherche de logiciels malveillants et de virus.

Dans la capture d’écran ci-dessous, vous pouvez voir que la tâche de démarrage instantané est en cours d’exécution et que deux problèmes ont été détectés. Cliquez sur le lien 2 problèmes pour afficher les détails de l’analyse des logiciels malveillants.

2 issues were found after scanning a backup for viruses

Comme nous pouvons le constater, deux problèmes requièrent notre attention. Cliquez sur Afficher les détails pour afficher plus d’informations. Après la recherche de logiciels malveillants dans les sauvegardes de la machine virtuelle, l’antivirus a détecté deux fichiers suspects et considérés comme des logiciels malveillants.

The report of malware scan of the backup in NAKIVO Backup & Replication

Notez que la tâche de démarrage instantané de machines virtuelles ne s’arrête pas automatiquement. Vous devez arrêter cette tâche manuellement après avoir terminé l’analyse des logiciels malveillants et vérifié le rapport d’analyse antivirus.

Recherche de logiciels malveillants juste après la sauvegarde

Pour automatiser les analyses de logiciels malveillants après une tâche de sauvegarde, vous devez utiliser la solution Reprise après sinistre capacités :

  1. Accédez à Jobs dans l’interface Web NAKIVO Backup & Replication & Replication, cliquez sur + pour ajouter une nouvelle tâche, puis cliquez sur Tâche de reprise après sinistre.

    Adding a new site recovery job

  2. L’assistant de nouvelle tâche de reprise après sinistre à la séquence d’actions d’une tâche de reprise après sinistre.

    Adding the Run Jobs action in a new site recovery job

  3. Sélectionnez une tâche à exécuter. Sélectionnez la tâche Tâche de démarrage instantané pour le scan de malware VMware qui a été créée comme décrit dans la section précédente.

    Sélectionnez les options d’action :

    • Exécutez cette action dans : Exécutez cette action en mode test et en mode production
    • Comportement d’attente : Lancer immédiatement l’action suivante

    Cliquez sur Enregistrez pour enregistrer cette tâche de reprise après sinistre et continuer à configurer d’autres tâches.

    Selecting a Flash VM boot job to run as the first action in the site recovery job

  4. Ajoutez le Warten action comme deuxième action à exécuter juste après le démarrage du démarrage instantané de machines virtuelles.

    Adding the Wait action as the second action in the site recovery job

  5. Configurez l’action Warten . Définissez un temps d’attente en fonction de votre expérience dans votre environnement concernant le temps nécessaire pour analyser les disques de la machine actuellement sauvegardée. Dans notre exemple, 1 heure devrait suffire. Vous devez vous assurer que le temps est suffisant pour que l’analyse soit terminée lorsque le démarrage instantané de machines virtuelles avec la tâche d’analyse des logiciels malveillants est arrêté.

    Actions :

    • Exécuter cette action dans : Exécutez cette action en mode test et en mode production
    • Gestion des erreurs : Arrêtez et faites échouer la tâche si cette action échoue

    Cliquez sur Enregistrez et revenez à l’ajout d’actions de reprise après sinistre.

    Configuring the Wait action in the site recovery job

  6. Cliquez sur Arrêter les tâches pour ajouter la troisième action pour la tâche de reprise après sinistre.

    Adding the Stop VMware VMs action

  7. Configurez l’action Arrêter les tâches action. Sélectionnez le Tâche de démarrage instantané de machines virtuelles pour l’analyse des logiciels malveillants dans les sauvegardes pour VMware (que nous avons utilisé précédemment). Une fois la période définie pour analyser une sauvegarde de machine virtuelle à la recherche de logiciels malveillants (par l’action Warten) écoulée (expirée), la tâche de démarrage instantané de machines virtuelles doit être arrêtée (cette tâche ne peut être arrêtée que directement par un utilisateur ou par l’action Arrêter de la reprise après sinistre).

    Options d’action :

    • Exécutez cette action dans : Exécutez cette action en mode test et en mode production
    • Comportement d’attente : Warten auf den Abschluss dieser Aktion
    • Gestion des erreurs : Arrêter et faire échouer la tâche si cette action échoue

    Hit Enregistrer pour enregistrer cette action de tâche.

    Selecting a Flash VM boot job to stop

  8. Les trois actions de tâche de reprise après sinistre nécessaires ont été ajoutées. Cliquez sur Suivant dans l’assistant de tâche de reprise après sinistre pour continuer.

    All three actions for malware scan after making a backup are added to the site recovery job

  9. Comme il n’y a pas de tâches de réplication ou de basculement, vous pouvez ignorer l’étape de mappage réseau (). De même, vous pouvez ignorer l’étape Réassignation d’adresses IP .
  10. Planifiez le calendrier des tests à l’étape 4 de l’assistant. Utilisez l’option de planification chaînage de tâches pour exécuter cette tâche de Reprise après sinistre avec analyse des logiciels malveillants après la tâche de sauvegarde. Cela signifie que dès que la sauvegarde de notre machine virtuelle est terminée, la tâche de Reprise après sinistre nouvellement créée sera lancée automatiquement. Cela déclenche la tâche/action de démarrage instantané de machines virtuelles avec le paramètre d’analyse des logiciels malveillants activé. En conséquence, l’analyse des logiciels malveillants démarre automatiquement.

    Sélectionnez les options suivantes pour la planification n° 1 :

    • Exécuter après une autre tâche : Sauvegarde de la machine virtuelle VMware Windows
    • Exécuter cette tâche : Immédiatement.
    • Sélectionnez le Après avoir coché la case .

    Configuring scheduling using job chaining to run the site recovery job right after a VM backup job

  11. À l’étape Options , entrez le nom de la tâche, par exemple Recherche de logiciels malveillants SR après la sauvegarde de la machine virtuelle.

    Définissez les objectifs de temps de récupération. Cette valeur RTO ne doit pas être inférieure au temps de l’action Attendez action (la deuxième action dans la liste des actions de notre tâche de reprise après sinistre). Comme le temps d’attente dans cet exemple pour rechercher les logiciels malveillants est de 60 minutes, nous avons défini 65 minutes comme RTO pour cette tâche de reprise après sinistre. Cela est nécessaire pour éviter l’échec de la tâche résultant d’un temps insuffisant pour terminer toutes les actions de la tâche de reprise après sinistre.

    Cliquez sur Terminez pour enregistrer les paramètres et fermer l’assistant.

    Configuring site recovery job options

Vous pouvez maintenant lancer une tâche de sauvegarde de VM Windows et voir comment fonctionne l’automatisation des tâches :

  1. La tâche de sauvegarde de VM Windows est lancée.
  2. Une fois la tâche de sauvegarde de VM terminée, la tâche de reprise après sinistre est lancée. Cette tâche de Reprise après sinistre inclut la tâche de démarrage instantané de machines virtuelles.
  3. La tâche de démarrage instantané de machines virtuelles avec analyse des logiciels malveillants est lancée dans le cadre de la tâche de Reprise après sinistre.
  4. Lorsque l’heure définie pour l’analyse des logiciels malveillants est écoulée, toutes les tâches sont arrêtées. Vous pouvez vérifier les problèmes et afficher les rapports antivirus.

    Automatic scanning of backups for viruses after backup creation is working

Dans cet exemple, nous avons expliqué comment configurer les analyses de logiciels malveillants avec la solution NAKIVO pour qu’elles s’exécutent automatiquement après chaque tâche de sauvegarde. Vous pouvez également effectuer des analyses de logiciels malveillants avant de restaurer des machines physiques et virtuelles à partir d’une sauvegarde, comme indiqué ci-dessous.

See the Solution in Action

See the Solution in Action

Get a personalized demo of any feature to get started in no time. Our engineers are here to help and answer any questions you may have.

Book a Free Demo

Les gens qui ont consulté cet article ont également lu

Picture
Windows Server 2016 Essentials vs Standard
Picture
Guide de licence et de renouvellement de la solution NAKIVO
Picture
NAKIVO Backup & Replication v11.0.4 prend en charge la compatibilité avec VMware vSphere 9