Chaque conversation que j’ai avec les RSSI au sujet de leurs préoccupations et de leurs priorités est garantie de présenter une chose : un ransomware. C’est le scénario cauchemardesque d’un RSSI – un événement de sécurité très public qui endommage les capacités opérationnelles tout en faisant également une hémorragie de données, le tout emballé avec un prix élevé.
A propos de l’auteur
Andrew Rose est CISO résident, EMEA chez Proofpoint.
Des recherches récentes ont montré que 44% des entreprises ont été touchées par des ransomwares en 2020 ; étant donné l’ampleur potentielle de l’impact, c’est un chiffre terriblement élevé. Parmi ces organisations, 34% ont décidé de payer la rançon pour récupérer leur position.
Fait intéressant, 98% des entreprises qui ont payé ont pu récupérer leurs données. Ce chiffre n’était que de 78% l’année précédente et suggère un niveau croissant de professionnalisme de la part de l’attaquant, car il reconnaît qu’un moyen d’augmenter les taux de paiement est de faire confiance au fait que le paiement entraînera réellement la récupération des données.
Un exemple de ce professionnalisme accru a été démontré dans une attaque récente contre une marque de mode. Dans ce cas particulier, l’attaquant a étudié les données volées pour trouver des détails sur la politique de cyber-responsabilité de l’organisation, puis a fixé la rançon à ce chiffre spécifique. L’attaquant a ensuite négocié ce montant avec la victime, sur la base de son évaluation de la santé financière de l’organisation, jusqu’à ce qu’il reçoive finalement un paiement convenu.
Ce type de professionnalisme va même jusqu’à « l’engagement client ». Nous pouvons souvent voir un niveau de support technique, fourni via des plateformes de messagerie instantanée anonymes, pour aider les victimes à permettre la récupération une fois qu’elles ont payé. Ce qui a rendu cette attaque particulière intéressante, c’est que, après la négociation, l’attaquant a offert à l’organisation de solides conseils pour empêcher les attaques de ransomware de se reproduire – les conseils nous donnent un bon aperçu de ce que chacun de nous peut faire pour mieux protéger notre organisation d’entrer dans cette danse douloureuse et coûteuse avec les criminels. Les conseils comprenaient ce qui suit :
Sommaire
1. Mettre en œuvre le filtrage des e-mails
Le principal conseil était de mettre en œuvre le filtrage des e-mails. Les statistiques montrent qu’environ 94 % des cyberattaques commencent par e-mail, il s’agit donc d’une véritable « lance à incendie » de risque directement dans une organisation. Bien que les attaques de ransomware aient commencé par tirer parti des ports RDP (Remote Desktop Protocol), etc., la recherche a montré une augmentation des attaques de ransomware via des campagnes de phishing par e-mail, ce qui contraste fortement avec les années précédentes, où les pirates utilisaient principalement les téléchargeurs comme premier charge utile.
2. Effectuez des tests de phishing et de pénétration des employés
Parmi les attaques arrivant par e-mail, plus de 99% nécessitent que l’utilisateur prenne des mesures pour permettre une violation réussie, qu’il s’agisse d’exécuter une macro, de distribuer des informations d’identification ou simplement de payer une fausse facture. Les employés sont la principale surface d’attaque de toute entreprise et il est essentiel qu’ils soient formés et formés sur la façon de reconnaître et de gérer les menaces.
Cela doit également être soutenu par des tests d’intrusion réguliers pour s’assurer que toute mauvaise configuration du périmètre ou les périphériques de périmètre non corrigés sont détectés et corrigés avant qu’ils ne soient exploités.
3. Examinez la politique de mot de passe Active Directory
Le troisième conseil fourni par les cybercriminels était de s’assurer que la politique de mot de passe était suffisamment robuste. Cela commence par avoir une authentification multifacteur (MFA) pour l’accès externe, qui est également étendue à la politique de mot de passe interne. Une partie de la kill-chain du ransomware consiste à étendre les privilèges pour permettre aux attaquants d’accéder et de supprimer de gros volumes de données critiques avant le cryptage forcé. Cela peut être réalisé en identifiant les mots de passe internes faibles, ou simplement en exploitant un fichier XLS que les administrateurs de base de données peuvent avoir répertoriant tous les mots de passe clés de leur domaine.
4. Investissez dans une meilleure technologie de détection et de réponse des points finaux (EDR)
Il est de plus en plus courant de voir des cybercriminels faire preuve de créativité dans leurs attaques. Une tendance récente implique que les acteurs utilisent des outils légitimement installés tels que PowerShell pour atteindre leurs objectifs. Dans une attaque de ransomware, les attaquants ont utilisé BitLocker pour chiffrer les appareils. La leçon ici est que la détection des logiciels malveillants basée sur les signatures n’est plus suffisante. Une protection plus intelligente des terminaux, avec la possibilité de surveiller en permanence les comportements suspects et d’activer la récupération, devient essentielle.
5. Mieux protéger le réseau interne et isoler les systèmes critiques
Les grands réseaux plats peuvent être plus faciles à administrer, mais ils permettent à l’attaquant d’atteindre ses objectifs plus facilement. Des couches supplémentaires et concentriques de segmentation et de contrôle du réseau, enroulées autour des systèmes et des données critiques, signifient qu’une infection malveillante est moins susceptible d’avoir un impact sur les services critiques. Les systèmes informatiques d’entreprise ont tendance à être les plus à risque, car ils envoient et reçoivent des e-mails en permanence, ils doivent donc être séparés de l’infrastructure et des données « joyaux » d’une organisation.
6. Mettre en œuvre le stockage hors ligne et la sauvegarde sur bande
Le concept de sauvegarde a presque disparu en tant que sujet de discussion – et c’est une mauvaise chose. Les sauvegardes en ligne automatisées d’aujourd’hui sont transparentes, pratiques et automatisées, mais malheureusement aussi vulnérables aux attaques. Si un attaquant peut voler les informations d’identification de l’administrateur, il peut supprimer ou endommager l’intégralité de la sauvegarde d’une entreprise, laissant une entreprise sans position de récupération. L’époque des bandes et des camionnettes est peut-être en train de s’éloigner, mais il est essentiel qu’un modèle clair existe pour pousser les sauvegardes dans un véritable stockage hors ligne afin de les tenir à l’écart des acteurs malveillants externes.
Six recommandations essentielles, directement du clavier d’un gang de ransomware de plusieurs millions de dollars. Suivez ces conseils de base pour vous assurer que votre organisation réduit le risque d’infection. N’oubliez pas que bon nombre de ces attaques sont opportunistes – les entreprises n’ont pas besoin d’une sécurité parfaite, juste assez pour s’assurer que l’attaquant se rend compte que son risque/rendement est mieux servi ailleurs. C’est peut-être égoïste, mais il y a une part de vérité dans le vieil adage : « vous n’avez pas besoin de distancer le lion… »
