Se concentrer sur l'essentiel : 6 étapes pour se défendre contre les ransomwares
par Nathan Dyer
Page d'accueil des blogs / Actualités et points de vue
Les ransomwares sont la monétisation d'une mauvaise cyber-hygiène. Voici six étapes qui vous permettront d'améliorer vos défenses en matière de sécurité.
Les attaques de ransomware sont devenues la bête noire de la direction de presque toutes les organisations. Pour la seule année 2020, on a enregistré plus de 300 millions d'attaques de ransomwares, soit une progression de plus de 60 % par rapport à 2019. Plusieurs facteurs viennent renforcer cette tendance, parmi lesquels une augmentation régulière de l'utilisation de la cryptomonnaie, la présence d'un réseau de chaîne de valeur de ransomware sophistiqué ainsi qu'un modèle économique de double extorsion reconnu. Pourtant, l'une des principales causes de cette propagation reste le grand nombre de vulnérabilités et de mauvaises configurations des logiciels dont se délectent les instigateurs de menaces. C'est ainsi qu'ils parviennent à s’infiltrer dans les organisations et à propager leurs attaques.
Les ransomwares dépendent des attaquants qui exploitent les vulnérabilités
Avec le télétravail comme nouvelle norme, les attaquants se concentrent sur les failles des infrastructures d'accès à distance et des applications web pour en faire des points d'entrée dans le réseau. REvil/Sodinokibi, l'organisation de ransomware la plus importante à ce jour, ne cesse de cibler les vulnérabilités des infrastructures VPN (CVE-2019-11510), de serveurs web (CVE-2019-2725), de bureaux à distance (CVE-2019-19781), et, tout récemment, de gestion informatique à distance (CVE-2021-30116). Les efforts du ransomware Conti se sont aussi fréquemment déployés sur des systèmes VPN et des protocoles de bureau à distance (RDP) afin d'accéder au réseau de leurs victimes. Les vulnérabilités logicielles sont devenues le vecteur d'attaque de ransomware à la croissance la plus rapide étant donné l'important volume de CVE publiées chaque année et le manque de demande d'interaction utilisateur pour déployer leurs offensives.
Mais les équipes de sécurité ne devraient pas seulement se préoccuper des vulnérabilités CVE. Les mauvaises configurations jouent elles aussi un rôle prépondérant dans la propagation des ransomwares au sein des organisations. Les exploits de ransomware ont pris pour cible les faiblesses d'Active Directory (AD) et se sont mis à se déplacer latéralement à la recherche de proies de plus prestigieuses. En exploitant les mauvaises configurations d'Active Directory, le groupe de ransomwares Ryuk a réussi à propager une attaque à partir d'un seul e-mail et à infecter la totalité d'un domaine en un peu plus de 24 heures. On dit souvent qu'Active Directory détient les « clés du royaume » car il se tient au centre du contrôle des authentifications, des autorisations et des accès de l'organisation. Lorsqu'AD est compromis, il ne reste plus aux attaquants qu'à l'utiliser, ainsi que l'attribut de sa politique de groupe, pour déployer des ransomwares à travers la totalité de l'entreprise.
Comprendre comment consolider votre défense contre les ransomwares
En matière de protection contre les ransomwares, il y a les bonnes et les mauvaises nouvelles.
Les mauvaises, pour commencer : il n'existe aucun remède miracle pour protéger votre organisation. Aucune technologie basée sur l'intelligence articielle (IA), aucune anlyse comportementale avancée ni solution de détection/réponse en temps-réel magique ne peut résoudre le problème. Les cyber-défenseurs à la recherche d'une solution unique contre les ransomwares vont être terriblement déçus.
Et les bonnes nouvelles cette fois : il existe une voie à suivre qui consiste à se concentrer sur les bases de la sécurité. Je sais ce que vous pensez : la cyber-hygiène, quel ennui ! Oui, mais ça marche... Les principes de base sont essentiels pour contrer le succès des attaques de ransomware. Les cyber-experts tels que la Cybersecurity and Infrastructure Security Agency (CISA) américaine et le National Cyber Security Centre (NCSC) britannique n'ont de cesse de marteler les principes de base, tels que :
- Mener des sessions de formation sur la connaissance de la cyber-sécurité
- Segmenter votre réseau en unités métier et ressources individuelles afin de contenir les intrusions
- Activer l'authentification multifacteur (MFA) à chaque point d'entrée
- Maintenir des sauvegardes fréquentes des données et images système
- Accomplir une évaluation permanente de la gestion des vulnérabilités basée sur le risque et d'Active Directory sur l'intégralité de votre surface d'attaque
6 étapes pour se défendre contre les ransomwares
Pour vous assister sur ce dernier principe de base, Tenable recommande de suivre les six étapes suivantes afin de vous aider à mieux vous défendre contre les ransomwares.
- Scannez souvent, scannez tout
- Renforcez AD pour protéger vos ressources les plus précieuses
- Limitez l'élévation de privilèges
- Priorisez en vous appuyant sur les prédictions
- Appliquez la remédiation comme si votre entreprise en dépendait
- Évaluez vos performances pour améliorer votre stratégie
Tenable se tient à vos côtés pour vous épauler tout au long de ce parcours.
En savoir plus
- Lire l'article de blog : Comment mesurer l'efficacité d'un programme de cyber-sécurité : 5 questions à se poser
- Visionner le webinaire : Découvrez Tenable.ad : Sécurisez Active Directory et bloquez les chemins d'attaque
- Télécharger l'eBook : Une rançon de roi : Comment empêcher la propagation des ransonmwares via AD
Articles connexes
Cybersecurity Snapshot: CISA Shines Light on Cloud Security and on Hybrid IAM Systems’ Integration
March 15, 2024Check out CISA’s latest best practices for protecting cloud environments, and for securely integrating on-prem and cloud IAM systems. Plus, catch up on the ongoing Midnight Blizzard attack against Microsoft. And don’t miss the latest CIS Benchmarks. And much more!
Poor Identity Hygiene at Root of Nation-State Attack Against Microsoft
February 1, 2024The latest breach suffered by Microsoft shows once again that detection and response are not enough. Because the source of an attack almost always boils down to a single overlooked user and permission, it’s critical for organizations to have strong preventive security.
Cybersecurity Snapshot: What’s in Store for 2024 in Cyberland? Check Out Tenable Experts’ Predictions for OT Security, AI, Cloud Security, IAM and more
December 29, 2023The new year is upon us, and so we ponder the question: What cybersecurity trends will shape 2024? To find out, we asked Tenable experts to read the tea leaves. Their 2024 forecasts include: A bigger security role for cloud architects; a focus by ransomware gangs on OT systems in critical industries; an intensification of IAM attacks; and much more!
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Active Directory
- Executive Management
- Threat Management
- Vulnerability Management
- Vulnerability Scanning