Les ransomwares rabattent les cartes de la cybersécurité

0

Le 28 mars, le célèbre virus WannaCry, qui cible les mêmes systèmes vulnérables depuis près d’un an, a infecté une grande usine de production, tandis qu’une municipalité majeure aux Etats-Unis a dû faire face au ransomware SamSam ces derniers jours. Heureusement, il semblerait que seulement une poignée des serveurs chez le constructeur aient été impactés, et les chaînes de production ont été épargnées. Quant à SamSam, l’attaque ne ciblait que les règlements de factures en ligne et les services d’agenda des tribunaux. Cela aurait pu être bien pire.

Dans le cas de Wannacry, l’utilisateur final clique sur un lien ou ouvre un document en pièce jointe d’un mail malveillant. Ou alors, il se rend sur site web compromis et récupèrent un bug en plus de ce qu’ils regardaient ou téléchargeaient. Dans tous les cas, le fichier malveillant est installé sur un terminal vulnérable connecté à un réseau ouvert, puis part de là pour localiser d’autres systèmes vulnérables et chiffrer leurs données.

Quant à SamSam, il est apparu en fin 2015, d’abord considéré comme étant peu risqué. Cependant, ces derniers mois, les créateurs du ransomware ont passé la vitesse supérieure, ciblant de nombreuses entreprises du secteur de la santé aux institutions éducatives, en passant par les gouvernements locaux. Cinq grandes villes ont été ciblées depuis le début de l’année, dont une deux fois en une semaine. On estime qu’à date, le groupe derrière SamSam a extorqué près d’un million de dollars de ses victimes.

Les réseaux sont de plus en plus complexes, et les ressources informatiques de moins en moins nombreuses, se concentrant sur les capacités du réseau (gestion du cloud, applications…). En conséquence, les équipes informatiques se sont détournées des pratiques basiques de sécurité. D’autre part, les cybercriminels ont utilisé une stratégie particulièrement effective consistant à attaquer sur tous les fronts. Non seulement ils développent de nouveaux vecteurs d’attaques pour exploiter la surface d’attaque étendue par la transformation numérique, mais ils utilisent également la méthode éprouvée consistant à cibler des vulnérabilités connues qui n’ont tout simplement pas été corrigées par les équipes informatiques.

Comment rester protégé?

Les cybercriminels utilisent une stratégie «d’attaque sur tous les fronts» particulièrement efficace. Non seulement ils développent de nouveaux vecteurs d’attaque pour exploiter la surface d’attaque en expansion créée par la transformation numérique, mais ils ciblent des vulnérabilités connues que les équipes informatiques n’ont tout simplement pas corrigé.

La meilleure approche de défense consiste à développer un processus méthodique pour réduire le nombre d’attaques possibles auxquelles votre organisation est exposée. D’après les experts de Fortinet, cela commence par les bases:

  • Inventoriez activement tous les appareils: vous devez connaître les appareils présents sur votre réseau à tout moment. Bien sûr, c’est difficile à faire si vos dispositifs de sécurité et vos points d’accès ne peuvent pas se parler.
  • Suivrez des menaces: vous devez également vous abonner à des flux de menaces en temps réel pour que vos systèmes de sécurité restent à l’affût des dernières menaces.
  • Surveillez les indicateurs de compromis (IOC): Une fois que vous pouvez lier un inventaire à une menace, vous pouvez rapidement voir quels sont les périphériques les plus exposés et les hiérarchiser en les durcissant, les corrigeant, les isolant ou les remplaçant.
  • Automatisez les correctifs: personne n’aime patcher les systèmes. Mais ils continuent d’être le principal intermédiaire pour les attaques et les logiciels malveillants – comme le montre la récente violation de WannaCry. C’est pourquoi, autant que possible, vous devriez développer un processus d’automatisation du processus de correction.
  • Segmentez le réseau: La réalité est, vous allez être violé. Lorsque cela se produit, vous voulez limiter autant que possible l’impact de cet événement. La meilleure défense est de segmenter le réseau. Sans segmentation appropriée, les vers de rançon comme WannaCry peuvent facilement se propager dans les magasins de sauvegarde, ce qui rend beaucoup plus difficile l’implémentation d’autres parties de votre plan de réponse aux incidents (IR). Les stratégies de segmentation, y compris la micro-segmentation dans les environnements virtuels et la macro-segmentation entre les réseaux physiques et virtuels, vous permettent d’isoler de manière proactive et / ou dynamique une attaque, limitant ainsi sa capacité à se propager.
  • Appliquez les contrôles de sécurité: Mettre en œuvre des solutions basées sur la signature et le comportement pour détecter et contrecarrer les attaques tant à la périphérie, qu’une fois qu’elles ont pénétré votre réseau.
  • Sauvegardez les systèmes critiques: Lorsque vous traitez avec des rançongiciels, la chose la plus importante que vous pouvez faire est de vous assurer que vous avez une copie des données critiques et des ressources stockées hors réseau afin que vous puissiez reprendre les opérations dès que possible.
  • Renforcez les points de terminaison et les points d’accès: assurez-vous que tous les périphériques entrant sur votre réseau répondent aux exigences de sécurité de base et que vous analysez activement les périphériques et le trafic infectés.
  • Implémentez l’automatisation: Après avoir verrouillé les zones sur lesquelles vous avez le contrôle, vous devez appliquer l’automatisation à autant de processus de sécurité de base que possible. Cela permet à vos ressources informatiques de se concentrer sur les tâches d’analyse et de réponse de niveau supérieur qui peuvent vous protéger des menaces plus avancées qui ciblent également votre organisation.
  • Déployez d’un environnement de sécurité: pour garantir que ces pratiques de sécurité soient parfaitement intégrées à chaque nouvel écosystème de réseau que vous mettez en ligne, vous devez déployer des solutions de sécurité intégrées qui permettent de centraliser l’orchestration et l’analyse. Plutôt qu’une stratégie de sécurité de plus en plus complexe et fragmentée, une seule structure de sécurité conçue pour s’étendre et s’adapter à votre réseau en évolution dynamique offre une large visibilité et un contrôle granulaire à vos opérations de sécurité.

About Author

Globb Security France

Leave A Reply