Veeam Data Platform permet de minimiser les pertes de données dues à une cyberattaque en détectant les menaces connues et les anomalies de sauvegarde en ligne pendant la sauvegarde ou en temps réel en utilisant les outils de détection existants type EDR (Endpoint Detection and Response) existants, en les soumettant à un système SIEM au choix et en lançant une chasse proactive aux menaces afin de réduire les risques pour les données.
L'Inline Malware Detection est disponible dès la version Veeam Data Platform Foundation. Cette fonctionnalité permet d'effectuer une analyse entropique en ligne, à la volée, d'un flux de données afin de détecter immédiatement les données chiffrées par un ransomware
L'Inline Malware Detection fonctionne à l'aide d'un modèle d'apprentissage automatique (ML) spécialement formé à cet effet. En outre, le même moteur détecte d'autres signes d'un logiciel malveillant ou d'une cyberattaque, tels que des liens en oignon, directement dans un flux de sauvegarde.
L'Inline Malware Detection est directement effectuée par les proxies ou les agents de l'infrastructure de sauvegarde.
La seconde fonctionnalité de détection d'activité suspectes se base sur la recherche de fichiers Guest OS comportant des extensions connues de logiciels malveillants et d'autres signes de présence de malwares.
L'analyse de l'activité du système de fichiers compare les index des fichiers Guest OS afin de détecter les changements suspects tels que les suppressions ou renommages en masse de "bons" fichiers connus (tels que les documents et les images), l'apparition de nombreux nouveaux fichiers avec des extensions inconnues auparavant, et d'autres activités qui peuvent être le signe d'un ransomware, d'un pirate informatique ou d'une activité malveillante interne.
Veeam Incident API permet aux outils EDR externes (y compris NDR/ MDR/XDR) de notifier le serveur de sauvegarde des infections à des stades d'attaque plus précoces, en s'assurant que tous les points de restauration créés après le moment correspondant pour la machine donnée sont marqués comme étant infectés.
De plus, Veeam peut créer instantanément un point de restauration out-of-band de la machine affectée, avant que le logiciel malveillant n'ait une chance de faire plus de dégâts.
Une fois qu'un malware est identifié dans une sauvegarde, Veeam permet de le localiser facilement grâce aux règles YARA.
Le scan via règles YARA permet de trouver rapidement le point de restauration sain le plus récent de la chaine de sauvegarde et d'empécher la réinfection de l'environnement de production.
Il est possible de programmer des scans de contenu à exécuter périodiquement avec SureBackup, ce qui est utile dans la phase de post-récupération pour confirmer que la récupération est propre et qu'il n'y a pas de réintroduction de malware.
Cette fonctionnalité n'est disponible que dans les éditions Advanced et Premium de Veeam Data Platform.
Tous les points de restauration pour lesquels une menace aurait été détectée sont marqués comme suspect ou infectés dans la console Veeam Backup et Replication afin d'empêcher la restaurations accidentelles de machines infectées.
Si un certain évènement est confirmé comme faux-positif, tous les points de restaurations affectés sont automatiquement nettoyés.
Quel que soit le type de menace identifié, Veeam permet la transmission de l'événement correspondant à un système SIEM de au choix grâce au nouveau support de Syslog.