Le monde des logiciels malveillants est une vaste étendue en constante évolution. Les ransomwares ont tendance à être l'une des formes de logiciels malveillants les plus populaires dont il est question, en partie parce que c'est un type de malware qui s'annonce; la plupart des autres logiciels malveillants essaient activement d'éviter la détection. Si vous avez concentré vos efforts sur la défense contre les rançongiciels, avez-vous également mis en place des défenses contre les logiciels malveillants NON destinés à être découverts?
Étant donné que le rançongiciel doit se faire connaître pour qu'une rançon soit payée, la détection est une donnée. Pour les logiciels malveillants qui doivent être furtifs, pour éviter les interactions des utilisateurs et persister aussi longtemps que possible, il serait logique que les organisations se concentrent sur leur capacité à détecter les logiciels malveillants. Cependant, les mesures défensives conçues pour empêcher les logiciels malveillants de pénétrer dans votre système sont efficaces dans les deux cas.
Sommaire
A propos de l'auteur
Tim Erlin, vice-président, gestion des produits et stratégie chez Tripwire.
En tenant compte de cela, la défense contre les logiciels malveillants devrait couvrir les trois phases: prévention, détection et correction. Ce sont quelques-uns des principaux contrôles de sécurité dans chaque domaine.
1. Prévention
Éviter complètement un incident est, bien sûr, le moyen idéal de lutter contre les logiciels malveillants, c'est pourquoi nous commençons par la prévention. Ce sont des contrôles de sécurité tels que la surveillance du réseau visant à prévenir les premières infections de logiciels malveillants, mais aussi à empêcher sa propagation si des logiciels malveillants arrivent sur le système.
Gestion de configuration sécurisée: Dans le cadre d'une base de sécurité solide, la gestion des configurations sécurisées permet de protéger vos actifs contre les logiciels malveillants. La prévention commence par des configurations sécurisées, sinon la porte est grande ouverte pour que les logiciels malveillants pénètrent dans votre environnement.
Gestion des vulnérabilités: De pair avec une gestion de configuration sécurisée, le risque de vulnérabilité doit être géré comme une défense clé. Il est courant que les logiciels malveillants exploitent une sorte de vulnérabilité pour s’installer sur un système.
Gestion de l'intégrité: Si vous pouvez commencer efficacement avec un environnement sécurisé, vous devrez maintenir l'intégrité de cet environnement. Cela nécessite de détecter les changements et d'évaluer leur impact sur la sécurité. Les logiciels malveillants peuvent être tenus à l'écart, ou du moins empêchés de se propager, en maintenant l'intégrité des systèmes.
Gestion d'identité privilégiée: L'utilisation abusive ou la mauvaise configuration des comptes privilégiés est un mécanisme courant pour les attaquants d'accéder ou d'étendre leur empreinte dans un environnement. Les pirates recherchent souvent des postes de travail ou des ordinateurs portables exécutés en tant qu'administrateur pour un moyen plus facile d'installer des logiciels malveillants.
Sécurité des e-mails: Il est également très courant que le phishing et d'autres attaques par courrier électronique servent de point d'entrée à tous les types de logiciels malveillants. Bien que vous ne puissiez pas empêcher 100% des logiciels malveillants d'entrer, négliger la sécurité des e-mails augmentera vos risques d'infection.
2. Détection
Si des logiciels malveillants pénètrent dans votre environnement, vous souhaitez les détecter avant qu'ils ne prennent pied.
Outils anti-malware: Les outils anti-malware peuvent être les premiers à penser lorsque vous pensez à la détection. Les outils anti-malware disponibles sur le marché peuvent aider à détecter les logiciels malveillants sur le réseau ou sur un hôte, mais aucun d'entre eux n'est encore parfait. D'autres contrôles de sécurité fondamentaux doivent être envisagés pour renforcer les capacités de détection.
Détection de changement: Chaque incident commence par un changement, y compris des infections de logiciels malveillants. La plupart du temps, les logiciels malveillants doivent effectuer une sorte de changement dans l'environnement. Les changements laissés dans son sillage peuvent souvent être utilisés pour identifier les logiciels malveillants: nouveaux fichiers sur un système, changements de paramètres, changements de journalisation, etc. Un bon système de détection des changements différenciera également les changements suspects des changements habituels.
Gestion des journaux: La collecte et l'analyse des journaux est un autre contrôle de sécurité fondamental qui est également essentiel pour identifier l'activité initiale des logiciels malveillants et l'étendue d'une infection. La gestion complète des journaux offre une visibilité importante sur les activités malveillantes.
Détonation de fichiers suspects: Les fichiers suspects non détectés par les outils de détection de logiciels malveillants doivent être analysés. Les outils de sandboxing malveillants peuvent exécuter (ou faire exploser) un fichier et analyser son comportement pour indiquer si le fichier est malveillant, suspect ou bénin. Il s'agit d'une capacité de détection avancée de logiciels malveillants qui peut être intégrée aux capacités de détection des modifications et de gestion des journaux.
S'attaquer aux logiciels malveillants peut sembler aussi simple que «supprimer les logiciels malveillants», mais l'objectif devrait être de remettre votre environnement dans un état de confiance. Sinon, vos systèmes restent sensibles à un autre incident.
Outils anti-malware: Vous pouvez commencer avec un outil anti-malware pour mettre en quarantaine ou supprimer les logiciels malveillants.
Sauvegardes: Les sauvegardes ne sont pas uniquement destinées à restaurer la perte de données; la restauration à partir d'une sauvegarde connue est également nécessaire pour restaurer la confiance. Un environnement compromis n'est plus digne de confiance, vous devez donc revenir à un état connu.
Gestion de la configuration: Si vous ne pouvez pas recommencer depuis la sauvegarde, vous devrez reconstruire à un état de confiance. Cela nécessite de définir à quoi ressemble un état approuvé, ce qui peut être fait en établissant et en maintenant une configuration de base connue et correcte. La ligne de base peut servir de guide pour la reconstruction et la configuration des systèmes après un incident.
Ces contrôles de sécurité sont les meilleures pratiques en général, mais traitent également spécifiquement de la manière dont les logiciels malveillants pénètrent et ont un impact sur votre environnement. Qu'il s'agisse de se défendre contre les logiciels malveillants furtifs pour le cryptojacking ou les rançongiciels auto-annoncés, une stratégie de défense contre les logiciels malveillants devrait inclure les trois phases de prévention, de détection et de correction.
