Comment atténuer les attaques de ransomware

18.mai.2021
Les ransomwares constituent une menace sérieuse pour la sécurité des entreprises de toutes tailles et de tous secteurs. Alors que les conséquences d'une attaque peuvent être extrêmement dommageables et perturbateurs, la solution peut être simple: une prévention proactive grâce à une forte dose d'hygiène de sécurité. Nous couvrons ici les bases des Ransomware et les meilleurs conseils pour sécuriser votre organisation face à ces cyber attaques.
mitigate Ransomware attacks

Qu'est-ce qu'un Ransomware (rançongiciel) et comment cela affecte-t-il les entreprises?

Le ransomware est un type de logiciel malveillant qui crypte les fichiers d'une victime ou bloque l'accès à un système jusqu'à ce qu'une somme d'argent (rançon) demandée par l'attaquant soit payée. Vos systèmes et vos données peuvent être infectés par un ransomware de différentes manières, souvent par le biais d'e-mails de phishing (ingénierie sociale) ou de téléchargements sur des sites Web compromis incitant les utilisateurs à cliquer et à installer des fichiers malveillants sur leurs machines. En outre, de nouvelles méthodes de rançongiciel ciblant les serveurs Web vulnérables ont également été observées comme point d’entrée sur le réseau d’une organisation.

La pandémie mondiale a fourni le terreau idéal pour les ransomwares alors que le travail à distance et l'adoption massive de services cloud se développent. Les chercheurs ont constaté une augmentation significative des ransomwares Ryuk, représentant un tiers de toutes les attaques de ransomwares depuis 2020 et affectant les entreprises, des prestataires de soins de santé (Universal Health Services) aux cabinets d'avocats (Seyfarth Shaw) et aux détaillants en ligne (Steelcase). Ryuk est particulièrement dangereux car les pirates utilisent une approche ciblée et utilisent souvent plusieurs types de logiciels malveillants, notamment les logiciels malveillants Emotet et TrickBot, pour compromettre les réseaux d'entreprise.

Un autre ransomware notable, Maze, s'efforce de voler les fichiers de la victime avant de les chiffrer comme dans les attaques de Canon, LG Electronics et Xerox. Malgré l'annonce du retrait de leurs opérations en octobre 2020, leur technique de double extorsion a été rapidement adaptée et évoluée par d'autres opérations de ransomware telles que REvil, Clop et DoppelPaymer pour continuer la dévastation.

 

 

Mieux vaut prévenir que guérir les ransomwares

Alors que les enjeux des ransomwares continuent d'augmenter (maintenant plus d'un milliard de dollars), il est trop facile de rejeter la responsabilité sur les employés victimes. La triste vérité est que les hackers sont tout simplement meilleurs pour attaquer que les organisations ne le sont pour se défendre, et les premiers auront toujours l'avantage sur les seconds. La seule façon dont les organisations peuvent vraiment se défendre contre les ransomwares est d'empêcher l'intusion à la source. Au lieu de nouvelles technologies brillantes, les responsables de la sécurité doivent se recentrer sur le renforcement de leur cyber-hygiène selon les normes de sécurité les plus élevées possible, en fournissant à leurs employés les connaissances nécessaires pour reconnaître et repousser les attaques de phishing, ainsi que les outils et processus pour soutenir la réduction proactive des risques.

Les violations de données via un ransomware les plus réussies découlaient de l'exploitation de vulnérabilités connues (par exemple dans des logiciels tiers) ou de simples défaillances de sécurité (contrôles d'accès inappropriés, mauvaise configuration de la base de données et comptes de fournisseurs par défaut) plutôt que des failles 0-days. Il est clair que les mesures de sécurité préventives sont beaucoup plus efficaces pour étouffer dans l’œuf la cause profonde, raison même pour laquelle "identifier" est recommandé comme point de départ dans le cadre de la cybersécurité du NIST.

 

NIST Cybersecurity framework 1.1

 

Ce schéma des meilleures pratiques de sécurité met en évidence le rôle de l’évaluation des risques - "identifier" avant de pouvoir "protéger et détecter". Le changement de paradigme pandémique a considérablement élargi le périmètre de sécurité et la surface d'attaque. Pourtant, de nombreuses organisations renforcent simplement leur mécanisme de "protection et de détection" sans réévaluer leur exposition aux risques. Ce faisant, ils consacrent du temps et des ressources à des éléments qui ne présentent pas de risque au départ, laissant les actifs risques réels non protégés. C’est pourquoi il est n"cessaire de commencer par "identifier" - obtenir une visibilité sur l’évolution de votre posture de sécurité et évaluer ses faiblesses afin qu’elle devienne l'élément clé de votre programme de sécurité. Vous aurez alors un plan pour prendre de meilleures décisions, que ce soit pour la hiérarchisation des vulnérabilités, la cadence des correctifs ou l'investissement dans de nouvelles technologies, afin d'atteindre vos objectifs de réduction des risques. Bien sûr, la prévention à elle seule ne peut pas vous protéger à 100% contre les ransomwares, il est toujours vital pour les organisations de sauvegarder leurs données qui leur permettront de les récupérer dans les pires scénarios. Mais pour trouver l'équilibre et augmenter la résilience, vous devez commencer par une évaluation des risques.

 

 

Un plan en trois étapes pour améliorer l'hygiène de sécurité

 

Les mesures de cyber-hygiène proactives sont simples à mettre en œuvre et aideront instantanément à améliorer la préparation d'une organisation aux attaques potentielles.

 

 

1. Accroître la sensibilisation à la sécurité

 

Les entreprises doivent changer d'orientation et adopter le travail à distance. Cela a changé le périmètre de sécurité de manière incommensurable, passant de la sécurité des pare-feu de bureau à des points finaux tels que les ordinateurs portables des employés, augmentant les menaces de ransomware et l'infiltration potentielle du système en cas d'actifs compromis à domicile.

Les systèmes de sécurité à domicile étant moins performants que ceux de l'environnement de bureau, il n'a jamais été aussi important de faire de votre personnel la première ligne de défense de la cybersécurité . De nombreuses attaques de ransomwares et de phishing répandues se développent sur des tactiques d'ingénierie sociale pour inciter les employés non sensibilisés à cliquer sur des liens malveillants, et s'ils sont téléchargés, les pirates peuvent prendre le contrôle de l'ordinateur de la victime et bloquer l'accès. Il est donc essentiel d'aider les employés à mieux comprendre et repérer ces menaces.

Au-delà de l'éducation et de la formation, votre cyberhygiène peut être considérablement renforcée par des jeux de rôle et des attaques de phishing simulées. Les exercices de red teaming sont utiles pour aider les organisations à mesurer le niveau de sensibilisation à la sécurité de leurs employés, à mieux comprendre les menaces et l'impact des attaques de phishing et de ransomware, et à ajuster leur programme de sécurité pour renforcer les systèmes à haut risque et fermer les portes dérobées auparavant inconnues.

Notre service de red teaming peut aider à concevoir et orchestrer des campagnes de phishing personnalisées pour cibler les employés et fournir des mesures sur les performances pour garantir que vos dirigeants aient un aperçu du fait qu'un manque de sensibilisation à la sécurité puisse avoir un impact négatif sur votre entreprise à la fois financièrement et sur le plan de la réputation.

 

 

2. Mesurez souvent et atténuez les risques en continu

 

Si vous ne pouvez pas le mesurer, vous ne pouvez pas l’améliorer. Les pirates opportunistes fondent souvent leurs attaques sur des lacunes en matière de défense de la sécurité, des vulnérabilités connues et des employés sans méfiance. Disposer d'un processus continu d'évaluation des risques est un élément clé de la prévention. Surtout pour les entreprises sujettes à des faiblesses de sécurité telles que le shadow IT et une mauvaise visibilité des actifs.

Une évaluation régulière des vulnérabilités et une surveillance de la sécurité sont essentielles pour repérer les menaces potentielles et y remédier avant qu'elles ne deviennent un problème. Mais la façon dont vous allez procéder dépend de la criticité de l'entreprise, de la maturité de la sécurité et de la composante technologique de votre entreprise :

  • Tests annuels vs évaluation continue. Tous les actifs d'entreprise ne nécessitent pas une évaluation continue, par exemple s'ils ne sont pas critiques pour l'entreprise et s'ils n'ouvrent pas la voie vers des actifs critiques pour l'entreprise. Dans le même temps, les tests d'intrusion annuels ne suffisent pas pour sécuriser les infrastructures critiques ou les applications Web. Savoir ce qui est critique ou non dans votre environnement professionnel vous aidera à déterminer la cadence requise pour les tests et la surveillance de la sécurité.
  • Risque vs vulnérabilités. Pour les organisations plus matures, la quantité de nouvelles vulnérabilités découvertes chaque jour signifie que l’approche traditionnelle "scan and patch" ne fonctionne plus. Les équipes de sécurité doivent aller au-delà des scores de gravité CVSS génériques et tirer parti des informations sur les menaces pour prioriser les efforts de correction sur les risques les plus importants pour l'organisation afin de réduire le temps d'exposition avec une plus grande efficacité.
  • Évaluation de la sécurité en silo ou en vue complète. La sécurité est souvent une réflexion après coup lors de l'adoption de nouvelles technologies. Même lorsque les contrôles de sécurité sont pris en compte, ils manquent souvent la cible en raison d'une mise en œuvre cloisonnée. Les attaquants peuvent utiliser n'importe quelle exposition à la sécurité de votre infrastructure pour accéder et naviguer dans vos systèmes. Pour éviter cela, les entreprises doivent aller au-delà des évaluations cloisonnées des appareils, des réseaux, des applications, des données et des utilisateurs vers une évaluation de la "sécurité complète" pour obtenir la vue la plus complète de leur surface d'attaque.

 

 

3. Se préparer pour le pire

Renforcer la sensibilisation à la sécurité et un processus de cyber-hygiène robuste qui, dès le départ, minimisera considérablement vos risques. Mais comme aucune entreprise n'est totalement à l'abri des cyberattaques, comment préparer votre organisation en cas d'attaque de ransomware ? Simulation d'attaque basée sur des scénarios.

Une fois que vous avez investi et mis en œuvre les outils et les processus de sécurité pour empêcher les attaquants d'entrer, il est important de valider qu'ils fonctionnent et fonctionnent comme ils le devraient pour une couche supplémentaire de sécurité. Les tests basés sur des scénarios, tels que la simulation d'attaque de violation présumée ou d'empreinte numérique, vous aideront à comprendre ce qui pourrait se passer si une violation se produisait et jusqu'où un attaquant peut aller sans être détecté. Il va au-delà des tests d'intrusion lambdas pour évaluer vos capacités de prévention, de détection et de réactivité, et surtout, il révélera les chemins d'attaque cachés qui vous sont inconnus. Par exemple là où les menaces pourraient provenir de vos actifs publics et aider à améliorer les contrôles de sécurité.

Quand rien n’est certain, il est important d’être prêt. Nos pirates éthiques et notre équipe de sécurité offensive utilisent des techniques de piratage avancées pour aider à faire évoluer votre programme de sécurité à travers des scénarios d'attaque réels. Compléter la gestion des vulnérabilités avec des attaques simulées et une équipe red teaming avancée pourrait faire la différence entre une violation de données coûteuse et le maintien de votre réputation.

 

 

 

Faites le point sur votre surface d'attaque complète

Looking for anything in particular?

Type your search word here