Interrompre et suivre les attaques rançongiciel

Northern offre une couche de protection précieuse dans votre stratégie de protection contre les rançongiciels.

Résumé

Grâce aux fonctionnalités de Northern NSS, les clients sont en mesure d’interrompre les attaques en bloquant la création de fichiers ayant une extension particulière, d’obtenir des alertes immédiates lorsque les tentatives d’enregistrer ces extensions sont bloquées incluant l’identification de la machine organisatrice du changement et de visualiser des informations sur les tentatives d’attaques précédentes dans un tableau de bord.

Cette solution offre une couche supplémentaire et efficace de protection dans la lutte contre les attaques rançongiciels. Associée à des mesures de protection préalables et des outils additionnels , votre entreprise peut établir une défense robuste et résistante contre ce type de criminalité.

Northern Solution

NSS est capable de bloquer l’enregistrement de types de fichiers spécifiques (extensions de fichiers), d’enregistrer et d’alerter lorsque ces stratégies sont déclenchées, et de fournir des informations sur ces activités dans les tableaux de bord de gestion.

La configuration du logiciel est simple et est effectuée à l’aide de packs préconfigurés et du Northern Powershell Toolkit. Après configuration, la liste des extensions de fichiers à bloquer doit être maintenue par le client. Un processus régulier d’examen et de mise à jour de la liste des extensions bloquées devrait être mis en œuvre pour suivre l’évolution de la menace. La liste des extensions bloquées est mieux maintenue en créant des listes d’extension simples et en utilisant les fonctions du PowerShell toolkit pour les importer.

Une fois mise en œuvre, la solution :

  • Surveille et bloque continuellement les tentatives de sauvegarde des types de fichiers interdits.
  • Envoie des alertes à l’équipe d’intervention en cas de menace avec des informations sur la tentative d’attaque (Addresse IP et nom de la machine potentiellement infectée, extension de fichier bloquée, compte utilisé, etc.).
  • Fournit des tableaux de bord régulièrement mis à jour qui permettent d’identifier les modèles et de montrer l’efficacité du travail effectué.

Blocage des tentatives d’attaques

Pour les plates-formes cibles qui offrent l’interface nécessaire (voir pré-requis ci-dessous) NSS peut être configuré pour bloquer la création de fichiers en fonction de leur extension à l’aide de filtrage de fichiers (blocage avec alerte à l’administrateur). Cette fonctionnalité est utilisée pour empêcher les rançongiciels de chiffrer et d’enregistrer des fichiers avec une nouvelle extension de fichier. Le rançongiciel est paralysé puisque ses tentatives d’enregistrement sont refusées.

En implémentant une mise à jour de la configuration de NSS, via l’interface utilisateur ou le Powershell Toolkit de Northern, les clients sont en mesure de suivre les politiques au fur et à mesure que la menace rançongiciel change, en ajoutant de nouvelles extensions de fichiers pour bloquer les nouveaux types de rançongiciel. Les rançongiciels qui utilisent une extension aléatoire, conservent l’extension d’origine d’un fichier, ou utilisent une extension qui n’est pas encore bloquée, ne seront pas détectés.

Alerte lors du blocage des attaques

Normalement, le logiciel est configuré pour envoyer un e-mail à l’équipe de sécurité dans les deux minutes après la tentative. (Cet intervalle peut être raccourci ou allongé.) Ces alertes fournissent des informations telles que les comptes qui ont été utilisés lors de ces attaques, le nombre de tentatives, et les extensions de fichiers qui ont été bloquées.

NSS utilise le fichier de logs pour déclencher ces alertes. Les messages délivrés dépendent de la plate-forme utilisée. L’équipe des services professionnels de Northern sera en mesure de vous guider dans la détermination des renseignements qui peuvent être inclus dans vos alertes.

Exemple d’une notification par e-mail :

Tableaux de bord de gestion

Il est important d’être en mesure à la fois de bloquer les attaques et de recueillir des données sur les attaques qui ont été bloquées. Ces informations sont vitales si l’on veut trouver des modèles, afin que des solutions durables puissent être mises en œuvre, et elles permettent à l’équipe de sécurité de surveiller l’efficacité des processus mis en place et de signaler cette efficacité aux parties prenantes concernées.

L’interface libre-service possède un Contrôle d’accès basé sur les rôles (RBAC) peut être configurée pour afficher à la fois une vue d’ensemble et des informations détaillées sur les activités filtrage de fichiers (blocage) mises en place. La configuration est simple et réalisée en important un pack pré-configuré fourni par Northern.

Informations récapitulatives dans un tableau de bord par défaut :

Informations détaillées dans un tableau de bord par défaut :

Le tableau ci-dessous montre les tâches liées à la mise en œuvre de cette solution Northern, le temps requis et qui est responsable de chaque tâche*:

ActionTemps estiméResponsable
1Importer les paramètres de configuration et décrire les workflows2 heuresNorthern
2Modifier/confirmer la liste par défaut des extensions à bloquer1 heureCustomer
3Exécuter les commandes du powershell toolkit0,5 heureNorthern
4Mettre à jour la liste des extensions à bloquer au fur et à mesure que les menaces se développent1 heure à chaque foisCustomer

* La liste exacte des tâches impliquées, et le temps requis pour chacune, dépendra des circonstances spécifiques d’un client. Communiquez avec l’équipe des services professionnels de Northern pour obtenir de l’information sur ce qui sera nécessaire dans votre organisation.

La protection contre les rançongiciels ne peut être atteinte qu’en établissant plusieurs couches de sécurité, de processus et de sensibilisation. Northern offre l’une de ces couches, une solution logicielle qui interrompt, alerte et suit les tentatives d’attaques au fil du temps.

Si vous êtes déjà un client Northern, et que vous utilisez le logiciel à la fois pour la fonctionnalité des quotas et l’analyse du système de fichiers, alors il n’est pas nécessaire de préparer une nouvelle infrastructure d’application ou de préparer de nouvelles applications.

Il n’y a pas de pré-requis nécessaires pour modifier l’infrastructure informatique actuelle. Vous ne devriez pas avoir besoin de demander une approbation préalable ou de compléter un processus détaillé de contrôle des changements. Il s’agit d’un moyen simple d’améliorer la protection contre les rançongiciels pour votre organisation.

Pré-requisDétails
NSS déployéVersion 9.91 ou ultérieure
Base de données SQLSQL Server 2012 ou version ultérieure
Paramètres fonctionnels NSSGestion centralisée des services de fichiers (CFSM)
Plates-formes prises en chargeNetApp CDOT, NetApp 7-Mode, NetApp Cloud Volumes ONTAP, Dell EMC PowerStore/Unity/VNX, et Hitachi Vantara HNAS

More of what we deliver

Reduce risk

Security breaches, cyber-crime and data privacy regulation – your organization’s data will inevitably contain sensitive information.

Reduce cost

Storing your organization’s data is costly, especially when considering all expenses associated with housing the data.

Increase efficiency

Efficiency of those owning and being dependent of the data decreases as it becomes increasingly chaotic.

Corporate responsibility

Pressure mounts on all organizations to take more social responsibility – IT services, internal or external, need to incorporate capabilities facilitating CSR.
Northern Parklife icon

Get started

If you wish to start using NSS to interrupt and track Ransomware attacks please contact your Account Manager, or the Professional Services team, to schedule the first action: import configuration settings and describe workflows.

Contact Us