La guerre contre les ransomwares est réelle. Ces dernières années, cette forme d’attaque est devenue une menace valable pour les entreprises. Nous avons assisté à d’énormes attaques qui ont rendu les organisations multinationales, même les gouvernements, vulnérables et incapables de poursuivre des opérations critiques. En 2017, WannaCry a immobilisé les services informatiques des hôpitaux à travers l’Europe, avec plus de 200000 ordinateurs touchés, démontrant le potentiel destructeur des ransomwares.
Bien que WannaCry et Petya soient toujours les attaques de ransomwares les plus notables, cette forme de cyber-attaque est toujours en augmentation, selon le rapport d’évaluation de la menace de la criminalité organisée sur Internet (IOCTA) 2019 d’Europol. Les organisations doivent reconnaître cette menace et prendre des mesures pour se préparer, se défendre et être prêtes à y remédier. Il s’agit d’une étape essentielle pour éviter une réponse imprévue et probablement inefficace plus tard lors d’un incident de ransomware.
Une défense et une stratégie de cybersécurité solides et à plusieurs niveaux pour lutter contre les ransomwares sont composées de trois éléments clés: l’éducation, la mise en œuvre et la correction. De plus, avoir une approche ultra-résiliente de la sauvegarde, de la récupération et de la restauration des données est vital pour protéger la continuité des activités en cas d’événement.
Sommaire
Éduquer l’entreprise
Du point de vue de l’éducation, deux publics principaux doivent être ciblés: le personnel informatique et les utilisateurs organisationnels. Il est important de cibler les deux groupes car des menaces peuvent être introduites à partir des deux personnages.
Les principaux points d’entrée dans une entreprise pour les ransomwares sont le protocole RDP (Remote Desktop Protocol) ou d’autres mécanismes d’accès à distance, le phishing et les mises à jour logicielles. En termes simples, dans la plupart des cas, les cyber-attaquants ne sont pas obligés de travailler aussi dur qu’ils le devraient pour gagner de gros prix. Savoir que ce sont les trois mécanismes principaux est une aide précieuse pour déterminer où investir le plus d’efforts pour être résilient du point de vue du vecteur d’attaque.
La plupart des administrateurs informatiques utilisent RDP pour leur travail quotidien, avec de nombreux serveurs RDP directement connectés sur Internet. La réalité est que RDP connecté à Internet doit cesser. Les administrateurs informatiques peuvent faire preuve de créativité sur les adresses IP spéciales, rediriger les ports RDP, les mots de passe complexes et plus encore; mais les données ne mentent pas que plus de la moitié des ransomwares arrivent via RDP. Cela nous indique qu’exposer des serveurs RDP à Internet ne correspond pas à une stratégie avant-gardiste de résilience aux ransomwares.
L’autre mode d’entrée fréquent est le courrier de hameçonnage. Nous avons tous vu des e-mails qui ne semblent pas corrects. La bonne chose à faire est de supprimer cet élément. Cependant, tous les utilisateurs ne gèrent pas ces situations de la même manière. Il existe des outils populaires pour évaluer le risque de menace de réussite de l’hameçonnage pour une organisation telle que Gophish et KnowBe4. Combinés à une formation pour aider les employés à identifier les e-mails ou les liens de phishing, les outils d’auto-évaluation peuvent être un moyen efficace de défense de première ligne.
Le troisième domaine qui entre en jeu est le risque d’exploitation des vulnérabilités. La mise à jour des systèmes est une responsabilité informatique séculaire qui est plus importante que jamais. Bien que ce ne soit pas une tâche glamour, cela peut rapidement sembler un bon investissement si un incident de ransomware exploitait une vulnérabilité connue et corrigée. Veillez à vous tenir au courant des mises à jour des catégories critiques d’actifs informatiques: systèmes d’exploitation, applications, bases de données et micrologiciels de l’appareil. Un certain nombre de souches de ransomwares, dont WannaCry et Petya, sont basées sur des vulnérabilités découvertes précédemment qui ont depuis été corrigées avec un logiciel de gestion des correctifs approprié.
Même les organisations qui suivent les meilleures pratiques pour éviter toute exposition aux ransomwares sont en danger. Bien que la formation sur l’éducation et la cybersécurité soit une étape critique, les organisations doivent se préparer au pire des cas. S’il y a une chose à retenir pour les responsables informatiques et commerciaux, c’est d’avoir une forme de stockage de sauvegarde ultra-résilient. Chez Veeam, nous préconisons la règle 3-2-1 comme stratégie générale de gestion des données. La règle 3-2-1 recommande qu’il y ait au moins trois copies des données importantes, sur au moins deux types de supports différents, avec au moins une de ces copies hors site. La meilleure partie est que cette règle ne nécessite aucun type de matériel particulier et est suffisamment polyvalente pour répondre à presque tous les scénarios de défaillance.
La copie «unique» de la stratégie 3-2-1 doit être ultra-résistante. Nous entendons par là un espace vide, hors ligne ou immuable. Il existe différentes formes de supports sur lesquels cette copie de données peut être stockée de manière ultra-résiliente. Il s’agit notamment des supports de bande, des sauvegardes immuables dans le stockage objet compatible S3 ou S3, des supports à espace libre et hors ligne, ou des logiciels en tant que service de sauvegarde et de reprise après sinistre (DR).
En dépit de ces techniques d’éducation et de mise en œuvre, les organisations doivent encore être prêtes à remédier à une menace si elle est introduite. Chez Veeam, notre approche est simple. Ne payez pas la rançon. La seule option est de restaurer les données. De plus, les organisations doivent planifier leur réponse lorsqu’une menace est découverte. La première action consiste à contacter le support. Les clients Veeam ont accès à une équipe spéciale avec des opérations spécifiques pour les guider tout au long du processus de restauration des données en cas d’incidents de ransomware. Ne mettez pas vos sauvegardes en danger car elles sont essentielles à votre capacité de restauration.
Dans les catastrophes de tout type, la communication devient l’un des premiers défis à surmonter. Avoir un plan sur la façon de communiquer avec les bonnes personnes hors bande. Cela inclurait des listes de texte de groupe, des numéros de téléphone ou d’autres mécanismes couramment utilisés pour aligner les communications au sein d’une équipe étendue. Dans ce carnet de contacts, vous avez également besoin d’experts en sécurité, en réponse aux incidents et en gestion des identités – internes ou externes.
Décisions de récupération
Il y a aussi des conversations à avoir autour de l’autorité de décision. Les entreprises doivent décider qui appelle à la restauration ou au basculement avant qu’un incident ne se produise. Une fois qu’une décision de restauration a été prise, les organisations doivent mettre en œuvre des contrôles de sécurité supplémentaires avant de remettre les systèmes en ligne. Une décision doit également être prise quant à savoir si la récupération d’une machine virtuelle (VM) entière est la meilleure solution ou si une récupération au niveau des fichiers a plus de sens.
Enfin, le processus de restauration lui-même doit être sécurisé, exécutant des analyses antivirus et anti-malware complètes sur tous les systèmes et obligeant les utilisateurs à modifier leurs mots de passe après la récupération. Bien que la menace des ransomwares soit réelle, avec la bonne préparation, les organisations peuvent augmenter la résilience face à un incident afin de minimiser le risque de perte de données, de perte financière et d’atteinte à la réputation. Une approche à plusieurs niveaux est essentielle. Formez vos équipes informatiques et vos employés à minimiser les risques et à maximiser la prévention. Cependant, implémentez des solutions pour garantir la sécurité et la sauvegarde des données. Enfin, soyez prêt à corriger les systèmes de données grâce à des capacités de sauvegarde et de reprise après sinistre complètes en cas de défaillance de vos anciennes lignes de défense.
- Rick Vanover, directeur principal de la stratégie produit, Veeam.
