Combattre les attaques de ransomware

Les ransomwares restent une activité lucrative pour les cybercriminels. Pour contourner les mesures de sécurité des entreprises, les pirates utilisent désormais fréquemment le spear-phishing sophistiqué pour que les victimes cliquent sur des liens et des pièces jointes malveillants ou visitent des sites web infectés. Une fois infecté, le cheval de Troie d'extorsion commence à chiffrer les fichiers et les dossiers sur les disques durs locaux, les sites de stockage locaux connectés et, le cas échéant, d'autres nœuds informatiques situés sur le même réseau.

L'infection passe généralement inaperçue jusqu'à ce que l'accès aux données soit refusé ou qu'un message soit envoyé à la victime pour demander une rançon en échange d'une clé de décryptage. Mais les entreprises ne devraient en aucun cas céder aux exigences des maîtres chanteurs, car le décryptage des données n'est pas garanti pour autant : La variante du ransomware GermanWiper, par exemple, écrase définitivement les fichiers avec des zéros au lieu de les crypter de manière récupérable, ce qui les détruit définitivement. En outre, le paiement d'une rançon encourage les criminels à attaquer à nouveau l'entreprise à l'avenir.

Meilleures pratiques de base en matière de prévention

Les conséquences d'une attaque par ransomware peuvent être dévastatrices : de la perte de données confidentielles et critiques pour l'entreprise aux pertes financières dues aux perturbations des processus commerciaux, en passant par des dommages importants pour la réputation. Voici donc quelques mesures de base pour endiguer le risque d'attaques de ransomware :

Création d'une liste blanche d'applications : Ainsi, seuls certains programmes peuvent être exécutés sur un ordinateur. La mesure devrait également inclure la désactivation des scripts macro des fichiers Microsoft Office transmis par e-mail.

Sauvegarde régulière des données : Cela doit se faire dans un environnement non connecté et l'intégrité des sauvegardes doit être vérifiée régulièrement.

Formation à la sécurité : Les employés doivent être pleinement informés des risques liés aux ransomwares et formés à la reconnaissance des attaques de spear phishing.

Mise à jour régulière des programmes antivirus et antimalware avec les dernières signatures.

Approche "zero trust" contre les attaques de logiciels malveillants

Outre le respect des mesures de sécurité de base, la mise en œuvre d'une solution de gestion des accès privilégiés (PAM) avec une approche "zero trust" permet aux entreprises d'éviter la principale cause actuelle de violation de la sécurité - l'utilisation abusive de comptes et d'identifiants privilégiés - et de minimiser l'impact d'une attaque par ransomware. En effet, cela permet d'empêcher les logiciels malveillants de s'exécuter ou du moins de limiter leur propagation sur le réseau. Les mécanismes de protection comprennent

1. mise en place d'un environnement admin sécurisé : Par exemple, lorsqu'un administrateur se connecte à des serveurs, il est important d'éviter toute infection par des logiciels malveillants pendant cette session. C'est pourquoi l'accès ne doit se faire qu'à partir d'une source propre. Le PAM avec l'approche Zero Trust empêche ici l'accès des postes de travail des utilisateurs qui ont également accès à Internet et aux e-mails, car ceux-ci sont particulièrement vulnérables aux infections par des logiciels malveillants. Au lieu de cela, l'accès n'est accordé que via des consoles d'administration sécurisées et privilégiées, comme une boîte de saut administrative.

2. sécurisation de l'accès à distance : Un environnement d'administration à privilège zéro bien conçu permet non seulement aux employés d'accéder à distance et en toute sécurité aux ressources 24 heures sur 24, mais il convient également aux équipes informatiques ou de développement externalisées, car il réduit le besoin d'un VPN et prend en charge toute la sécurité de transport entre les passerelles de clients sécurisés et les connecteurs de serveurs distribués. Sans protection adéquate, les ransomwares peuvent se propager sur le réseau dès qu'un utilisateur final infecté se connecte via un VPN.

3. le zonage pour les accès privilégiés : La répartition des systèmes et des unités organisationnelles en zones permet certes encore aux ransomwares de se propager, mais pas sur les systèmes nécessitant une vérification supplémentaire des utilisateurs. Le PAM avec l'approche Zero-Trust permet un contrôle spécifique à l'utilisateur des accès privilégiés aux systèmes. La zone dans laquelle se trouve un utilisateur est donc la seule portée du ransomware, tant qu'un mécanisme de protection se trouve entre l'utilisateur et son accès à une autre zone. Cet accès est contrôlé par la solution PAM et sa légitimité est vérifiée par l'authentification multifactorielle (MFA). Sans réponse MFA, le ransomware ne peut pas passer au système suivant.

4. minimiser la surface d'attaque Les ransomwares n'ont pas toujours besoin de privilèges, mais si le malware parvient à obtenir des autorisations étendues, son impact est d'autant plus grand. En sécurisant les comptes locaux partagés, les entreprises peuvent minimiser la surface d'attaque. Les solutions PAM avec une approche de confiance zéro gèrent ces comptes d'administrateurs alternatifs et de services utilisés par plusieurs utilisateurs et offrent un accès juste à temps aux utilisateurs autorisés par MFA. Dans ce cas, les privilèges requis ne sont accordés que pour une période limitée et/ou un domaine limité nécessaire à la tâche en question.

5. limitation des privilèges : Le PAM avec l'approche Zero Trust permet en outre un contrôle détaillé de l'accès dont dispose un utilisateur privilégié et des commandes qu'il peut exécuter. Cela permet également de limiter la possibilité pour les logiciels malveillants d'installer des fichiers ou d'augmenter les autorisations.

Par Martin Kulendik, Centrify