Reprise du message précédent :

 
Là oui on peut parler d'attaque mais ca représente quoi 1% des cas qu'on lit dans l'actualité.

 
 
ben chez moi, exploiter une faille, après l'avoir recherchée ou prendre la main sur un poste, après avoir transmis un fichier vérolé, cela se nomme bien une "attaque"
C'est clairement pas une "défense" ou une "non intervention"

 
Ouais enfin quand le fichier vérolé est dans un spam de 100 millions de destinataires.
Pour moi c'est pas vraiment une attaque mais plus de la pêche au gros  
 
Mais d'accord si le vocabulaire est comme ça  

Phishing/Fishing c'est plus ou moins la même chose en effet
 
On constate que tant l'ensemble des utilisateurs ne seront pas "éduqués" (et c'est une utopie), on n'arrivera pas à être étanche.

j'aurais jamais penser que le covid allaient creer des inconscients  
 
https://www.msn.com/fr-fr/actualite [...] EQNrB7Djnk
 

Les cyberattaques contre les hôpitaux ont bondi de 500% depuis l’arrivée du Covid"
 

Les hackers pensent que les hôpitaux paieront plu rapidement et/ou plus souvent vu les difficultés rencontrées déjà pour gérer l'afflux de patients covids. C'est moche

 
Quand tu vois les antivax, les négationistes du COVID, etc...
Je ne vois pas ce qu'il y a de surprenant. L'important pour eux c'est la thune rien d'autre.

 
 
Y'a zéro rapport. On s'éloigne du sujet.
Merci de ne pas se laisser emporter par F117.
 
Toutes les entités commerciales, publiques, etc. sont susceptibles de se faire attaquer.
Leur seul point commun : avoir un SI.
Discutons de ce SI SVP.

Faudrait surtout que les hopitaux investissent en securite...
Pour en avoir beaucoup comme client, c est juste pas etonant ...

S'il n'y avait que les hostos ...

Comme à chaque nouvelle attaque d'ampleur, je me pose des questions sur la stratégie de sécurité et sauvegarde de notre petite entreprise (2 serveurs physiques, 4 VMs, ~3To de données en tout, 10 PC portables et 10 clients légers).
 
On nous a bien proposé des solutions de sauvegarde qui ont l'air très bien sur le papier mais qui sont coûteuses. Je continue à réfléchir sur un montage pour pouvoir repartir en cas d'attaque de crypto. Quelques idées m'ont traversé l'esprit, je serai ravi d'avoir vos commentaires:
- 2 disques durs externes branchés sur des prises programmables qui ne sont activés que pendant les heures de sauvegardes en alternance 1 jour sur 2 (une version moderne de feignasse de la bonne vieille méthode de sauvegarde sur bande avec emport des bandes tous les jours )  
- la même chose que ci-dessus mais avec des mini-NAS programmés pour s'allumer (WOL?) et s'éteindre juste pour les sauvegardes
 
Par ailleurs, sortir les serveurs physiques/hyperviseurs du domaine pour ne pas les rendre visible par un crypto qui contaminerait les machines (VMs) du domaine, bonne ou mauvaise idée?
 
Merci pour vos avis

J'aime l'idée des prises programmables. J'avais imaginé pareil avec les ports d'un switch a programmer.

Veeam 11 avec immutabilité ? Vraie question

"On nous a bien proposé des solutions de sauvegarde qui ont l'air très bien sur le papier mais qui sont coûteuses. Je continue à réfléchir sur un montage pour pouvoir repartir en cas d'attaque de crypto. Quelques idées m'ont traversé l'esprit, je serai"
 
Si le cout des solutions tu les trouves couteuses, ne pas en avoir le jour J vont te sembler bien plus couteux
 
Malheureusement les crytpo c'est quand même l'enfer, et même avec le max d'idée, au final la seule chose qu'on arrive à faire ... c'est de savoir sous quel délai tu peux restaurer ton infra
 
Et très clairement dans énormément de sociétés, la sécurité du SI ... mise à part un antivirus souvent ça va pas très loin. Et même dans les grosses, ils se font aussi malgré tout pirater.
 
Je viens d'intégrer une nouvelle société il y a à peine 2 mois en tant que RSI, et c'est assez déprimant de voir les habitudes (pas de changement de mot de passe, tout le monde connais les mots de passes des autres, tous admin etc...)
 
 
 

ce n'est pas vraiment conseillé les changements de mdp réguliers.
 
Mais oui certaines habitudes ont la vie dur et il est dur de s'en défaire.

Oui personnellement je recommande plus souvent aux utilisateurs un max deux changements par an. Et je préfère pousser la double authentification ou un mot de passe un peu plus fort. Car trop de changement = post-it pour noter le mot de passe

C'est une très mauvaise idée, et tes autres idées ne sont pas loin. Il ne faut pas essayer de faire de la sécu sans de solides compétences dans le domaine. Ni faire le radin non plus sur les solutions de sauvegarde/restauration...

et elles seront toujours visible dans le DNS

Vous raisonnez sous HyperV.
 
Sous vSphere, etc., l'infra de virtualisation peut être totalement décorrélée de l'infra virtualisé de prod avec son AD, etc.

On est bien d'accord, sauf que si la solution en question n'offre pas non plus une garantie totale, la question peut se poser avant d'investir (ou pas) dans des usines à gaz
 

Je trouve que les changements de mdp trop fréquents sont contre-productifs, entre les post-its, les oublis, les confusions etc...
 

 
Mes idées sont peut-être très mauvaises mais j'aimerais bien que tu m'expliques pourquoi
 
Dans mon esprit simpliste, un crypto va crypter tout ce qu'il va pouvoir trouver sur son passage et on est jamais à l'abri de nouvelles failles même sur des sytèmes de sauvegardes sophistiqués. Du coup, je me dis que l'une des parades simples et efficace au problème est du purement et simplement déconnecter physiquement les disques de sauvegarde, ou d'isoler certaines machines pour limiter la casse. Si j'ai demandé des avis, c'est justement pour comprendre en quoi ça pourrait être une bonne ou mauvaise idée

De ce que je comprends, tu reconnectes à moment donné ton disque dur pour qu'il puisse effectuer le backup d'après ou du surlendemain => risque pour la sécurité.  
La méthode du pauvre, c'est de backuper sur un hdd externe mais ce hdd externe tu le reconnectes plus du tout à ton réseau de backup avant d'avoir copier ce qu'il contient sur un support qui ne sera jamais connecté au réseau d'entreprise.
Si ton réseau est infecté, dès que tu vas brancher ton disque dur il va se retrouver infecté et tu seras foutu...
 
Les solutions fiables à ma connaissance :
-Faire du backup  / backup copy sur un autre système de fichier que windows. Donc sur un datadomain avec le protocole ddboost par exemple ou alors sur de la robotique. La il y a 0 risque.
-Faire de l'archivage legal vers amazon S3 par exemple. Dès que les données sont envoyé sur le cloud, elles ne peuvent plus être modifiées.  
En cas de problème, il y aura quand même besoin d'un certain temps avant de pouvoir restaurer je suppose
-Applocker. Fonctionnalité windows qui permet de définir des extentions/éditeurs autorisées. C'est assez contraignant mais en gros tu fais une liste blanche de tout ce que tu autorises et tout le reste sera bloqué. Le cryptolocker qui va tenter de modifier l'extention du fichier ne pourra donc pas le faire car il se verra refuser la possibilité.
Je ne connais pas d'autres solution, mais il doit en exister d'autre je suppose. Ca fait presque 1 an que je ne suis plus les produits de backup, je faisais un peu de veeam avant ca. Faut que je regarde les news de la v11 d'ailleurs qui doit améliorer certains points je suppose.

on ne va pas réinventer la roue
mais pour les sauvegardes, il faut essayer de tendre vers le 3-2-1
    -disposer de trois copies de vos données au moins ;
    -stocker ces copies sur deux supports différents;
    -conserver une copie de la sauvegarde hors site.
 
aprés il y a la réalité : le temps, l'argent

 
j'ai pas encore regardé cette fonctionnalité, mais cela fonctionne sous Windows ou sur un NAS ?
Ca me parait compliqué que Veeam puisse verrouiller l'accès.

Dans pas mal de cas, la téléphonie a été rendue aussi hors-service. Est-ce que ça veut dire qu'il n'y avait de VLAN dédié à la téléphonie ?
 
Je ne vois pas trop comment la téléphonie a pu aussi être impactée
 

Cela passe pour le moment uniquement par un système sous linux et avec des précautions particulières : https://community.veeam.com/vug-fra [...] 8#post2388

 
Serveur gestion de la téléphonie impacté par le cryptolocker ?

C'est que je pense aussi. Si tes serveurs Skype sont down par exemple, ta téléphonie IP est par terre.

Bonjour a tous
 
pour eviter de se connecter sur chaque serveur pour savoir si il est crypté ou non
y a t'il moyen de lancer une recherche par exemple *.locky sur l'ensemble des serveurs ? utilisez vous un logiciel de recherche ou autre ?
 
merci du retour

Pas d'AV sur les serveurs ? Avec gestion centralisée ?
Pourquoi ne pas s'y connecter ? Y'en a tant que ça ?

Déjà vu :  serveur DHCP mutualisé entre clients "standard" et équipements ToIP. S'il tombe, tout tombe.

 
Tu ne peux pas savoir à l'avance avec quelle extension les fichiers seront cryptés.
D'habitude, tu es prévenu très vite par les utilisateurs qui ne peuvent plus travailler.

dans l'exemple le client a deja eu l'attaque par les virus : how2decrypt et doppeled
 
pour éviter de se tapper les 100 ene de serveurs  

how2decrypt est le fichier texte habituel que l'on trouve avec les cryptos pour savoir où envoyer les bitcoins.
 
Le crytpo va attaquer les lecteurs réseaux, il fonctionne souvent avec le minimum de droit.
C'est juste un user qui clic sur un lien dans un mail.
Il suffit juste ensuite de vérifier les lecteurs réseaux connectés sur le profil utilisateur.
C'est suffisant dans quasiment tous les cas.

 
Des centaines de serveurs et pas d'AV pour lancer des scans ? Pas de gestion centralisée et d'accès à distance aux serveurs ? Pas de compétences en scripting relativement basique pour lancer un script, même via GPO, afin de parcourir les volumes locaux à la recherche de ce qu'on veut ?
 
Je ne voudrai pas offusquer mais la question me fait peur lorsqu'elle concerne un parc avec des "100 ene de serveurs"

@ShonGail, je n'ai pas d'information sur tes questions , mon collègue recupere des informations au compte-gouttes, auprès du SI du client

ça c'est le cas "simple".

Le cas compliqué où les pirates pénètres en profondeur ton système  pendant plusieurs jours / mois  avant de tout cryptolocker, quoi qu'il arrive t'es mort.

Faut des sauvegardes offline

 
T'es mort de toutes façons.
Les données ont été dérobées et peuvent être rendues publiques ou revendues.

Mieux vaut demander à des pros là

"Faut des sauvegardes offline"
 
 
Oui le soucis étant de le faire régulièrement. Car remonter une sauvegarde qui a 1 mois par exemple ... c'est mieux que rien certes. Mais avec un ERP, de la production, traçabilité de produit etc... ça devient très compliqué.
 
Pour avoir eu déjà dans deux entreprises différentes à vivre un Cryptolocker.... c'est un enfer sans nom !

Avec du Veeam ou du Synology C2 c'est facile de nos jours.

 
La facilité c'est très relatif.
Encore faut-il avoir les bons admins en interne ou le bon presta.
Une sauvegarde correcte, cela se met en place mais cela doit aussi être suivi, géré, adapté, testé.
Et y'a des boites, pourtant à plusieurs millions d'€ de CA, qui n'ont pas ce niveau. Ou qui l'ont perdu.

Tout à fait !
Les outils sont là de nos jours, mais après il faut un suivi et bien mettre en place tout ça.