Les manchettes récentes donneraient l’impression qu’il y a eu une forte augmentation du nombre de ransomware attaques récentes – mais bien qu’il y ait eu une augmentation du nombre de campagnes réussies, cela ne fait que souligner le fait que les équipes de sécurité ont fait preuve de laxisme dans la prise de mesures adéquates pour sécuriser leurs actifs réseau.
C’est la conviction d’Optiv Security, qui va jusqu’à suggérer que la grande majorité des entreprises qui cèdent à leur cyber-tormenteur sont victimes de leur propre fabrication. L’entreprise est d’avis que la plupart des entreprises se retrouvent dans une position de « payer ou périr » en raison de la la cyber-sécurité des pratiques malveillantes qui les rendent vulnérables aux attaques de ransomware.
James Turgal, ancien directeur adjoint exécutif de la Direction générale de l’information et de la technologie (CIO) du FBI et actuel vice-président du Cyber-risque, de la stratégie et de la transformation chez Optiv, a personnellement aidé de nombreuses entreprises à réagir et à se remettre des attaques de ransomware. Nous avons discuté avec lui pour comprendre la nature évolutive des campagnes de ransomware et les mesures que les entreprises doivent prendre pour se protéger.
Sommaire
Quels sont les faux pas les plus courants que vous avez rencontrés et qui auraient pu protéger les entreprises contre les attaques de ransomware ?
Chaque entreprise est différente. Certaines organisations plus anciennes et plus établies ont des réseaux et une infrastructure qui ont évolué au fil des ans sans que la sécurité ne soit une priorité, et les magasins informatiques se sont traditionnellement contentés de se doter d’une nouvelle technologie sans la configurer correctement et/ou mettre hors service l’ancienne technologie.
Même les startups qui commencent leur vie dans le cloud ont encore de la technologie locale les serveurs ou des infrastructures qui nécessitent des soins et une alimentation constants.
Certains des thèmes que je vois et les erreurs les plus courantes commises par les entreprises sont :
1. Non stratégie de correctifs ou une stratégie qui est davantage motivée par des préoccupations concernant l’indisponibilité du réseau et moins par l’assurance réelle des informations et la posture de sécurité.
2. Ne pas comprendre [of] à quoi ressemble le trafic normal sur leurs réseaux et/ou en s’appuyant sur des outils logiciels. Généralement, trop d’entre eux se chevauchent et sont mal configurés. L’architecture réseau est la voie de l’entreprise vers la sécurité ou la vulnérabilité avec des outils mal configurés.
3. Trop compter sur sauvegardes, et estimant qu’une sauvegarde suffit pour vous protéger. Les sauvegardes qui n’étaient pas segmentées du réseau, n’étaient conçues que pour fournir une méthode de restauration à un moment donné et n’ont jamais été conçues pour être protégées contre un attaquant. Les sauvegardes doivent être testées régulièrement pour s’assurer que les données sont complètes et non corrompues.
Nous entendons souvent dire que les sauvegardes des entreprises ont même été cryptées par un ransomware, car elles étaient hébergées sur le même réseau que les données principales. Quels autres péchés cardinaux avez-vous rencontrés dans vos évaluations ?
J’ai travaillé sur un certain nombre de cyber-enquêtes dans ma carrière au FBI où l’entreprise était tellement concentrée sur la conduite du prochain transformation numérique idée en avant et manquant la sécurité de leur infrastructure actuelle pendant le processus.
Par exemple, j’ai vu de nombreuses entreprises lors de leur déménagement dans un nuage l’environnement se concentre tellement sur la migration vers le cloud qu’ils négligent les serveurs et l’infrastructure qui se trouvent dans un placard qu’ils ont oublié, ramassant la poussière, n’étant pas corrigés et toujours connectés au réseau.
Il suffit d’un port ouvert ou d’une vulnérabilité non corrigée à exploiter par les acteurs de la menace.
L’informatique fantôme et les référentiels de données fantômes sont une énorme vulnérabilité, et ils sont exactement ce que les acteurs de la menace recherchent lorsqu’ils sondent les points de terminaison de votre réseau.
Optiv travaille avec des centaines de grandes entreprises pour développer leurs stratégies de réponse aux ransomwares. Quelles stratégies de réponse courantes suggérez-vous que toutes les entreprises devraient appliquer ?
Certes, la préparation est la clé et ne pas devenir une victime est toujours préférable à être victime d’un ransomware.
Cependant, les meilleures stratégies de réponse se trouvent dans ces domaines :
1. Connaissez suffisamment vos réseaux et votre infrastructure, ou si vous utilisez un service managé tiers pour cette expertise, pour pouvoir évaluer les dégâts le plus rapidement possible. Il est essentiel de comprendre l’étendue de la compromission, d’avoir la capacité d’effectuer une analyse des causes profondes, de reprendre le contrôle de votre environnement et de déterminer si et quelles données ont pu être volées.
2. Sachez où se trouvent vos données, en particulier pour les « joyaux de la couronne » de l’organisation. Si ceux-ci sont correctement segmentés et que vous disposez de référentiels de sauvegarde de données (propres) adéquats, la réponse à une attaque est beaucoup moins un exercice d’incendie.
3. Assurez-vous d’avoir un manuel de réponse aux incidents (RI) solide qui traite spécifiquement des ransomwares, et pratiquez, pratiquez, pratiquez, jusqu’au niveau du conseil d’administration.
4. Assurez-vous d’avoir, sur mandat, l’expertise d’un tiers (avocat externe, experts en criminalistique, en relations publiques et en communication).
Outre le renforcement technique, les entreprises devraient-elles également investir dans la mise à niveau de leur capital humain, étant donné que la plupart des ransomwares/malwares exploitent le comportement humain ?
J’ai toujours dit que la cybersécurité concernait davantage les personnes derrière les claviers que la technologie proprement dite.
À mesure que la technologie évolue, avec l’évolution de l’intelligence artificielle (IA), apprentissage automatique (ML) et la migration vers le cloud, de nouvelles compétences doivent être apportées sur le terrain. Quelle que soit la taille des organisations, les entreprises qui cherchent à innover plus rapidement que leurs concurrents se battent pour les mêmes talents qualifiés.
Je veux mettre l’accent sur les « qualifiés » car il n’y a pas seulement un manque de personnes pour faire le travail, mais aussi un écart croissant de compétences parmi les personnes qualifiées pour comprendre les complexités des réseaux modernes.
Les lacunes dans les compétences technologiques peuvent empêcher une entreprise d’atteindre plus de succès et des impacts commerciaux bien plus négatifs peuvent survenir si vous avez un DSI [Chief Information Office] ou un RSSI [Chief Information Security Officer] qui est mal équipé pour sécuriser l’organisation mais prétend à la haute direction que l’entreprise est sûre.
Vous êtes impliqué depuis longtemps dans des négociations avec des acteurs malveillants à l’origine d’une campagne de ransomware. Comment les interactions ont-elles évolué au fil des ans ? Connaissez-vous un acteur menaçant mettant en œuvre sa stratégie de double extorsion et révélant des données confidentielles à un rival ?
L’une des choses qui me manquent aux entreprises, c’est qu’elles ont tendance à penser que ces groupes d’acteurs de la menace criminelle sont tous indépendants et se font concurrence.
Ces organisations partagent parfois des données et des renseignements sur les victimes. Une fois que les données sont exfiltrées d’une entreprise et publiées ou vendues sur un forum du dark web, d’autres acteurs de la menace criminelle utilisent ces données de l’attaque précédente d’un autre acteur pour faire un pas vers d’autres victimes et d’autres exploits.
Avec l’avènement des sites d’achat de logiciels malveillants Ransomware-as-a-Service et Dark-Web, comme Silk Road et AlphaBay, la double menace d’extorsion est réelle, et les menaces ne proviennent pas seulement d’organisations individuelles, mais parfois de groupes criminels travaillant ensemble offrant un service de malware et des botnets pour déployer le malware.
En parlant de double extorsion, comment y faire face ? Je veux dire, même si l’entreprise a les moyens de restaurer à partir de sauvegardes et peut reprendre le contrôle de son réseau, comment s’assure-t-elle que les acteurs de la menace ne révèlent pas les données qu’ils ont exfiltrées ?
La menace de double extorsion est réelle, mais avec les attaques de ransomware, il y a toujours eu la menace [that] les attaquants cybercriminels divulgueront les données exfiltrées de la victime, donc je ne considère pas cette menace comme vraiment nouvelle.
Fini le temps où vous pouviez être victime d’une cyberattaque, payez la rançon ou restaurez vos systèmes et ne divulguez pas l’attaque. Les exigences de déclaration et la future législation dicteront la transparence et la divulgation.
Comment voyez-vous l’annonce récente d’AXA de retirer la couverture des ransomwares pour ses clients français ? Est-ce une stratégie efficace pour dissuader les attaques de ransomware, à votre avis ?
je crois que le déménager par AXA était basée sur leur vision des défis du marché actuel de la cyberassurance, liés à la pression concurrentielle dans l’environnement réglementaire et de la part des forces de l’ordre.
Il y a des cas où j’ai travaillé où les acteurs de la menace recherchent intentionnellement dans l’infrastructure et les données d’une victime pour savoir si la victime a une cyber-assurance. Certains acteurs malveillants utilisent en fait les données du propre système de la victime dans l’avis de ransomware indiquant qu’il n’y a aucune raison de ne pas payer, car ils sont assurés.
Un argument pourrait être avancé que la cyber-assurance enhardit les attaquants, donc limiter les paiements et la couverture pourrait décourager de futures attaques.
Je pense que la tendance et la réponse la plus probable consisteront davantage à limiter les montants de paiement des cyber-ransomwares et à exiger certainement des assurés qu’ils aient et maintiennent un niveau de cybermaturité plus élevé, qu’ils effectuent des évaluations des risques meilleures et plus régulières et alignent plus étroitement la couverture sur les menaces. , ce qui est à mon avis le meilleur moyen de répondre à la cyber-extorsion que de simplement arrêter les paiements.
