La plupart des décideurs de la gestion informatique doivent faire tourner tellement d’assiettes, toutes en même temps, qu’il y a toujours un danger que l’une d’entre elles finisse par tomber par terre et se briser.
A propos de l’auteur
Peter Mackenzie, responsable de la réponse aux incidents, Sophos.
Le problème, c’est que ce n’est pas parce que vous vous êtes occupé d’un problème de cybersécurité ou que vous avez décidé qu’il n’est pas pertinent pour votre entreprise que vous pouvez tout oublier. Avec la sophistication et la détermination croissantes des attaquants, et le type de menaces en constante évolution, vous ne pouvez pas vous permettre de baisser la garde avec n’importe quel aspect de la sécurité, même pour un instant.
Bien que le maintien de la sécurité informatique soit une tâche de plus en plus difficile, un bon point de départ est d’éviter un certain nombre d’idées fausses courantes, qui ont toutes été rencontrées au sein d’un large éventail d’organisations lors de l’enquête et de la neutralisation des attaques au cours de l’année écoulée.
Sommaire
Perception erronée 1 : nous sommes trop petits pour être une cible et n’avons vraiment rien qui vaille la peine d’être volé
Il est facile de penser que les attaquants ciblent des poissons plus gros que votre organisation. Ou que vous êtes dans un secteur à faible taux d’intérêt et que vous n’avez tout simplement aucun actif susceptible d’attirer l’attention d’un cybercriminel de passage. Mais notre expérience nous dit le contraire. Si vous avez une puissance de traitement et une présence numérique, vous êtes une cible potentielle.
Il convient de rappeler que même si les pirates informatiques de Corée du Nord et de Russie font la une des journaux, la plupart des attaques ne sont pas menées par des États-nations mais par des opportunistes à la recherche de proies faciles. Ainsi, quelle que soit la taille de votre entreprise, si vous avez des faiblesses dans vos défenses, telles que des failles de sécurité, des erreurs ou des erreurs de configuration, vous pourriez facilement être le prochain.
Perception erronée 2 : nous n’avons pas besoin de technologies de sécurité avancées installées partout
Certaines équipes informatiques pensent toujours qu’un logiciel de sécurité des terminaux est suffisant pour contrecarrer toutes les menaces et qu’elles n’ont donc pas besoin de sécurité pour leurs serveurs. Grosse erreur. Contrairement au passé, toute erreur de configuration, de correctif ou de protection fait des serveurs une cible principale.
La liste des techniques d’attaque conçues pour contourner ou désactiver les logiciels de point de terminaison comprend celles exploitées par des humains qui exploitent l’ingénierie sociale, le code malveillant injecté directement dans la mémoire, les attaques de logiciels malveillants « sans fichier » telles que les DLL réfléchissantes (Dynamic Link Library) et les attaques utilisant un accès à distance légitime. des agents comme Cobalt Strike, ainsi que des outils d’administration informatique de tous les jours. Malheureusement, les technologies antivirus de base auront du mal à détecter et à bloquer de telles menaces.
Même l’hypothèse selon laquelle les points de terminaison protégés peuvent empêcher les intrus de se frayer un chemin vers des serveurs non protégés est erronée. Une expérience récente nous montre que les serveurs sont désormais une cible de choix et que les attaquants peuvent facilement trouver leur chemin en utilisant des identifiants d’accès volés.
La plupart des cybercriminels contemporains ont une solide compréhension des machines Linux. En fait, les attaquants peuvent pirater et installer des portes dérobées dans les machines Linux pour cacher et maintenir l’accès à votre réseau. Si votre organisation ne repose que sur une sécurité de base, les intrus n’auront pas trop de mal à contourner vos défenses de cette manière.
Perception erronée 3 : nous avons déjà mis en place des politiques de sécurité solides
Oui, il est essentiel d’avoir des politiques de sécurité pour les applications et les utilisateurs. Mais une fois que vous les avez mis en place, ce n’est pas la fin de l’affaire. Ces politiques doivent être vérifiées et mises à jour en permanence à mesure que de nouvelles fonctionnalités et fonctionnalités sont ajoutées aux appareils connectés au réseau et que les stratégies des cyber-attaquants deviennent de plus en plus sophistiquées.
Votre organisation doit tester régulièrement ses politiques de cybersécurité, en utilisant des techniques telles que des tests d’intrusion, des exercices sur table et des essais de vos plans de reprise après sinistre pour s’assurer que vos défenses sont aussi robustes que vous aimeriez le croire.
Perception erronée 4 : Nos employés comprennent la sécurité
Selon Sophos State of Ransomware 2021, 22% des organisations pensent qu’elles seront touchées par des ransomwares au cours des 12 prochains mois car il est difficile d’empêcher leurs utilisateurs finaux de compromettre la sécurité. La formation aide, mais les messages appris peuvent vite être oubliés.
En outre, les tactiques d’ingénierie sociale telles que les e-mails de phishing sont de plus en plus difficiles à repérer. Les messages sont souvent faits à la main, écrits avec précision, persuasifs et soigneusement ciblés.
Les cybercriminels trouvent constamment de nouvelles façons de surprendre les utilisateurs finaux. Au fur et à mesure qu’ils intensifient leurs efforts, vous devez également augmenter les vôtres. Informez vos employés sur les moyens de détecter les messages suspects et sur ce qu’il faut faire lorsqu’ils en reçoivent un. Assurez-vous qu’ils ont les coordonnées de la bonne personne dans votre équipe à notifier, et qu’ils le font immédiatement afin que les autres employés puissent être alertés.
Perception erronée 5 : les équipes d’intervention en cas d’incident peuvent récupérer mes données après une attaque de ransomware
Malheureusement, votre confiance dans les pouvoirs de récupération de l’équipe d’intervention est erronée. Les attaquants d’aujourd’hui sont plus « professionnels » que jamais. Ils commettent moins d’erreurs et le processus de cryptage s’est amélioré, vous ne pouvez donc plus compter sur vos intervenants pour trouver un moyen de réparer les dégâts.
Les sauvegardes automatiques telles que les clichés instantanés de volume Windows sont également supprimées par la plupart des ransomwares modernes. En plus d’écraser les données d’origine stockées sur le disque, cela rend la récupération impossible si vous n’êtes pas prêt à payer la rançon. Et, même dans ce cas, seulement 8% des organisations qui paient la rançon récupèrent avec succès toutes leurs données.
Comme vous l’aurez compris, les décideurs informatiques et la complaisance ne font pas bon ménage. Trop d’organisations qui pensaient que cela ne pourrait jamais leur arriver comptent maintenant le coût après que cela s’est produit.
Au lieu de vous asseoir et de supposer que tout ira bien, vous devez prendre le contrôle total de vos affaires avant que quelqu’un d’autre ne le fasse.
