Protection contre les ransomwares

Les ransomwares représentent un danger croissant pour les entreprises et les institutions publiques. Des attaques comme "WannaCry" ont montré que les mesures de protection traditionnelles sont insuffisantes. Pour renforcer la sécurité, il faut avant tout mettre l'accent sur la gestion des droits d'utilisateur et le contrôle des applications.

Illustration : La fonction Greylist empêche les logiciels malveillants de se propager dans l'entreprise et de chiffrer les données commerciales. © CyberArk

 

Il est clair que les approches de sécurité traditionnelles basées sur l'utilisation de logiciels antivirus ou d'analyseurs de logiciels malveillants sont insuffisantes pour se défendre contre les ransomwares. De telles solutions tentent de détecter les attaques en utilisant des signatures. Si un malware est détecté, le logiciel de protection le bloque et empêche ainsi l'accès aux ressources du système. C'est précisément à ce stade que le grave inconvénient de ces solutions apparaît : Comme elles dépendent de la détection de logiciels malveillants, elles ne peuvent souvent pas offrir une sécurité fiable contre le nombre croissant de nouveaux ransomwares encore inconnus.

Par conséquent, une entreprise doit prendre des mesures supplémentaires. Les options courantes sont par exemple

  • Mise sur liste noire d'applications
  • Mise sur liste blanche des applications
  • Greylisting des applications
  • Contrôle du moindre privilège

Mise sur liste noire

 Une approche de blacklisting permet aux entreprises d'empêcher l'exécution de logiciels malveillants dans leur environnement. Si cette méthode permet de détecter et de bloquer les anciennes versions de logiciels malveillants, elle est difficilement applicable à la protection contre les ransomwares. Chaque jour, des milliers de nouvelles versions de ransomwares sont publiées, de sorte que l'adaptation continue des listes noires relève de l'impossible.

Liste blanche

Le whitelisting des applications est par nature efficace à 100 % dans la lutte contre les ransomwares, car cette procédure bloque toutes les applications qui ne sont pas explicitement fiables. Bien que cette stratégie de confinement permette de prévenir les attaques de ransomware de manière extrêmement efficace, elle est également difficile à mettre en œuvre dans la pratique. Pour une mise sur liste blanche efficace des applications, les équipes informatiques doivent savoir exactement de quelles applications et versions d'applications chaque utilisateur et système de l'entreprise a besoin, et chaque version d'application doit être explicitement placée sur la liste blanche. Contrairement à la liste noire, la création et la gestion d'une liste blanche prennent ainsi beaucoup de temps, car il faut non seulement tenir compte de toutes les applications utilisées, mais aussi et surtout des mises à jour des applications. Enfin, la mise à jour peut modifier la valeur de contrôle - par exemple un hachage - de l'application autorisée de telle sorte qu'elle diffère de l'inscription sur la liste blanche et que, par conséquent, le programme ne démarre plus.

Greylisting

Le greylisting des applications constitue une autre possibilité. Cette approche permet aux entreprises d'empêcher l'exécution de logiciels malveillants connus sur des listes noires dans leurs environnements tout en limitant les autorisations pour toutes les applications qui ne sont pas explicitement de confiance ou inconnues. Cette classification peut être effectuée à l'aide de différents paramètres qu'un administrateur enregistre de manière centralisée - par exemple des certificats d'éditeurs de logiciels, des sommes de hachage de programmes ou encore des sources identifiables de manière fiable comme certains serveurs, services de distribution de logiciels ou dossiers de programmes dans le réseau de l'entreprise. La procédure de greylisting offre donc plus de flexibilité que le whitelisting et peut servir à empêcher les actions d'applications inconnues comme l'établissement d'une connexion Internet, l'accès au réseau ou la lecture, l'écriture et la modification de fichiers. En limitant les autorisations, les ransomwares ne sont généralement pas non plus en mesure d'accéder aux fichiers et de les crypter.

Moindre privilège

Enfin, il convient de mentionner le contrôle du moindre privilège, qui n'est pas seulement une routine de sécurité, mais aussi l'une des "dix lois immuables sur la sécurité" de Microsoft. Cet aspect est particulièrement important dans le monde Windows. Ainsi, il n'est pas rare que des utilisateurs ordinaires disposant d'un ordinateur Windows obtiennent en même temps des droits d'administrateur ou du moins des droits d'utilisateur étendus. Il y a plusieurs raisons à cela, comme la décharge du service informatique, l'utilisation d'applications qui ne peuvent être exécutées qu'en mode administrateur ou tout simplement les "droits souverains" des utilisateurs finaux sur leur propre appareil. Si l'on accorde plus de privilèges que nécessaire, il en résulte une surface d'attaque importante, confuse et fréquemment utilisée. Si un attaquant obtient l'accès à un ordinateur sur lequel un administrateur de domaine est ou était connecté, il peut dérober les données d'accès au compte de domaine et accéder ainsi à toutes les ressources, droits et privilèges du compte correspondant pour l'ensemble du domaine. De cette manière, les pirates peuvent s'infiltrer progressivement au cœur d'une entreprise et lancer une attaque de ransomware à grande échelle dans le but de prendre le contrôle complet du réseau de l'entreprise. Par conséquent, les entreprises et les institutions publiques devraient utiliser une solution qui soutient la mise en œuvre de politiques de moindre privilège flexibles pour les utilisateurs professionnels et administratifs. Cette solution devrait permettre, d'une part, de limiter les privilèges au minimum nécessaire et, d'autre part, d'attribuer des droits en fonction des besoins et, si nécessaire, uniquement de manière temporaire et en fonction des tâches.

Conclusion

Les ransomwares se présentent actuellement pour les pirates comme une méthode très fiable et appropriée pour placer les entreprises devant le dilemme suivant : copier les données détournées ou - dans l'espoir de récupérer les données - effectuer un paiement. Les solutions de sécurité classiques comme les logiciels antivirus ne sont pas efficaces pour lutter contre les ransomwares, c'est pourquoi il faut prendre des mesures de sécurité supplémentaires. L'analyse de différentes options montre que même le blacklisting et le whitelisting ne sont pas des moyens appropriés à eux seuls. Ce sont surtout l'approche du moindre privilège et le contrôle des applications qui s'avèrent efficaces.

Une première étape consiste à retirer les droits d'administrateur local, car les recherches de CyberArk ont montré qu'un grand nombre de logiciels malveillants modernes nécessitent de tels droits pour fonctionner correctement. Toutefois, cette mesure n'est pas suffisante. Le contrôle des applications avec le greylisting est tout aussi important. En combinant l'approche du moindre privilège et le contrôle des applications, on dispose d'un bouclier efficace contre le chiffrement par des logiciels malveillants, et ce sans nuire à la productivité des utilisateurs.

Michael Kleist, directeur régional DACH chez CyberArk à Düsseldorf

(Visité 48 fois, 1 visites aujourd'hui)

Plus d'articles sur le sujet

ACTUALITÉS SUR LA SÉCURITÉ

Bleiben Sie informiert über aktuelle Sicherheitsthemen – praxisnah und zuverlässig. Erhalten Sie exklusive Inhalte direkt in Ihren Posteingang. Verpassen Sie keine Updates.

Jetzt anmelden!
anmelden
Vous pouvez vous désinscrire à tout moment !
close-link