Se concentrer sur l'essentiel : 6 étapes pour se défendre contre les ransomwares
Les ransomwares sont la monétisation d'une mauvaise cyber-hygiène. Voici six étapes qui vous permettront d'améliorer vos défenses en matière de sécurité.
Les attaques de ransomware sont devenues la bête noire de la direction de presque toutes les organisations. Pour la seule année 2020, on a enregistré plus de 300 millions d'attaques de ransomwares, soit une progression de plus de 60 % par rapport à 2019. Plusieurs facteurs viennent renforcer cette tendance, parmi lesquels une augmentation régulière de l'utilisation de la cryptomonnaie, la présence d'un réseau de chaîne de valeur de ransomware sophistiqué ainsi qu'un modèle économique de double extorsion reconnu. Pourtant, l'une des principales causes de cette propagation reste le grand nombre de vulnérabilités et de mauvaises configurations des logiciels dont se délectent les instigateurs de menaces. C'est ainsi qu'ils parviennent à s’infiltrer dans les organisations et à propager leurs attaques.
Les ransomwares dépendent des attaquants qui exploitent les vulnérabilités
Avec le télétravail comme nouvelle norme, les attaquants se concentrent sur les failles des infrastructures d'accès à distance et des applications web pour en faire des points d'entrée dans le réseau. REvil/Sodinokibi, l'organisation de ransomware la plus importante à ce jour, ne cesse de cibler les vulnérabilités des infrastructures VPN (CVE-2019-11510), de serveurs web (CVE-2019-2725), de bureaux à distance (CVE-2019-19781), et, tout récemment, de gestion informatique à distance (CVE-2021-30116). Les efforts du ransomware Conti se sont aussi fréquemment déployés sur des systèmes VPN et des protocoles de bureau à distance (RDP) afin d'accéder au réseau de leurs victimes. Les vulnérabilités logicielles sont devenues le vecteur d'attaque de ransomware à la croissance la plus rapide étant donné l'important volume de CVE publiées chaque année et le manque de demande d'interaction utilisateur pour déployer leurs offensives.
Mais les équipes de sécurité ne devraient pas seulement se préoccuper des vulnérabilités CVE. Les mauvaises configurations jouent elles aussi un rôle prépondérant dans la propagation des ransomwares au sein des organisations. Les exploits de ransomware ont pris pour cible les faiblesses d'Active Directory (AD) et se sont mis à se déplacer latéralement à la recherche de proies de plus prestigieuses. En exploitant les mauvaises configurations d'Active Directory, le groupe de ransomwares Ryuk a réussi à propager une attaque à partir d'un seul e-mail et à infecter la totalité d'un domaine en un peu plus de 24 heures. On dit souvent qu'Active Directory détient les « clés du royaume » car il se tient au centre du contrôle des authentifications, des autorisations et des accès de l'organisation. Lorsqu'AD est compromis, il ne reste plus aux attaquants qu'à l'utiliser, ainsi que l'attribut de sa politique de groupe, pour déployer des ransomwares à travers la totalité de l'entreprise.
Comprendre comment consolider votre défense contre les ransomwares
En matière de protection contre les ransomwares, il y a les bonnes et les mauvaises nouvelles.
Les mauvaises, pour commencer : il n'existe aucun remède miracle pour protéger votre organisation. Aucune technologie basée sur l'intelligence articielle (IA), aucune anlyse comportementale avancée ni solution de détection/réponse en temps-réel magique ne peut résoudre le problème. Les cyber-défenseurs à la recherche d'une solution unique contre les ransomwares vont être terriblement déçus.
Et les bonnes nouvelles cette fois : il existe une voie à suivre qui consiste à se concentrer sur les bases de la sécurité. Je sais ce que vous pensez : la cyber-hygiène, quel ennui ! Oui, mais ça marche... Les principes de base sont essentiels pour contrer le succès des attaques de ransomware. Les cyber-experts tels que la Cybersecurity and Infrastructure Security Agency (CISA) américaine et le National Cyber Security Centre (NCSC) britannique n'ont de cesse de marteler les principes de base, tels que :
- Mener des sessions de formation sur la connaissance de la cyber-sécurité
- Segmenter votre réseau en unités métier et ressources individuelles afin de contenir les intrusions
- Activer l'authentification multifacteur (MFA) à chaque point d'entrée
- Maintenir des sauvegardes fréquentes des données et images système
- Accomplir une évaluation permanente de la gestion des vulnérabilités basée sur le risque et d'Active Directory sur l'intégralité de votre surface d'attaque
6 étapes pour se défendre contre les ransomwares
Pour vous assister sur ce dernier principe de base, Tenable recommande de suivre les six étapes suivantes afin de vous aider à mieux vous défendre contre les ransomwares.
- Scannez souvent, scannez tout
- Renforcez AD pour protéger vos ressources les plus précieuses
- Limitez l'élévation de privilèges
- Priorisez en vous appuyant sur les prédictions
- Appliquez la remédiation comme si votre entreprise en dépendait
- Évaluez vos performances pour améliorer votre stratégie
Tenable se tient à vos côtés pour vous épauler tout au long de ce parcours.
En savoir plus
- Lire l'article de blog : Comment mesurer l'efficacité d'un programme de cyber-sécurité : 5 questions à se poser
- Visionner le webinaire : Découvrez Tenable.ad : Sécurisez Active Directory et bloquez les chemins d'attaque
- Télécharger l'eBook : Une rançon de roi : Comment empêcher la propagation des ransonmwares via AD
Articles connexes
- Active Directory
- Executive Management
- Threat Management
- Vulnerability Management
- Vulnerability Scanning