Les ransomwares ne sont pas un nouveau vecteur d'attaque. En fait, le premier logiciel malveillant de ce type est apparu il y a plus de 30 ans et était distribué via des disquettes de 5,25 pouces. Pour payer la rançon, la victime devait envoyer de l'argent à une boîte postale au Panama.
Aujourd'hui, des kits de ransomware-as-a-service (RaaS) abordables sont disponibles sur le dark web pour que tout le monde puisse les acheter et les déployer, et les attaquants disposent d'un nombre infini de canaux pour infiltrer les organisations en raison de leur dépendance au cloud et aux technologies mobiles.
Le déclenchement d'une attaque par ransomware consiste à obtenir un accès discret. Et comme les employés peuvent désormais accéder à vos données depuis n'importe où, vous avez perdu toute visibilité sur la façon dont ils le font. Pour vous prémunir contre ces attaques, vous ne pouvez pas vous contenter de rechercher les logiciels malveillants, vous avez besoin de connaître en permanence vos utilisateurs, les terminaux qu'ils utilisent et les applications et données auxquelles ils accèdent.
Nous avons publié une infographie interactive pour vous aider à visualiser l'anatomie d'une attaque par ransomware et à comprendre comment protéger vos données. Ce blog me permettra de définir 1) le contexte qui a entraîné le paiement de 20 milliards de dollars de rançons en 2021, et 2) la manière dont vous pouvez protéger votre organisation contre ces menaces permanentes.
Le travail à distance améliore à la fois la productivité et l'infiltration des attaquants.
Bien que le logiciel malveillant utilisé pour prendre vos données en otage soit appelé "ransomware", ce n'est pas ce sur quoi vous devez vous concentrer. Avant de déployer quoi que ce soit, les attaquants doivent avoir accès à votre infrastructure.
Aujourd'hui, les utilisateurs accèdent aux données par le biais de réseaux que vous ne contrôlez pas et d'appareils que vous ne gérez pas, ce qui rend obsolètes les mesures de sécurité sur site que vous aviez.
Cela signifie que les acteurs de la menace peuvent lancer des attaques de phishing pour compromettre les informations d'identification des utilisateurs, ou exploiter une application vulnérable sans grande conséquence. Et une fois qu'ils sont dans votre infrastructure, ils déploient rapidement des logiciels malveillants afin de créer des portes de dérobées tenaces qui leur permettent d'aller et venir à leur guise. S'ils parviennent à élever leurs privilèges, il devient presque impossible de les empêcher de se déplacer latéralement et de prendre vos données en otage.
Étape par étape : comment se protéger contre les ransomwares
Un certain nombre d'étapes se déroulent entre le moment où un attaquant accède à votre infrastructure et celui où il demande une rançon. Ces étapes sont décrites dans notre infographie sur l'anatomie d'une attaque par ransomware. Voici un résumé de ce qui se passe et comment vous pouvez protéger votre organisation.
1. Bloquer les attaques de phishing et masquer les applications Web
L'une des façons les plus simples pour les attaquants d'obtenir un accès est de prendre le contrôle d'un compte utilisateur en compromettant les informations d'identification par des attaques de phishing. Il est essentiel de pouvoir inspecter le trafic web sur n'importe quel appareil pour empêcher ces attaques d'affecter les utilisateurs de PC et de mobiles. Ainsi, les opérateurs de ransomware ne pourront pas lancer leur attaque en compromettant les comptes.
Les acteurs de la menace vont également parcourir le web pour trouver des infrastructures vulnérables ou exposées à internet. De nombreuses organisations ont des applications ou des serveurs exposés au Web pour permettre un accès à distance, mais cela signifie que les attaquants peuvent les trouver et rechercher des vulnérabilités. La dissimulation de ces applications est une tactique de défense essentielle. Cela vous permet de vous éloigner de l'accès débridé fourni par les VPN et de vous assurer que seuls les utilisateurs autorisés accèdent aux données dont ils ont besoin.
2. Détecter et répondre aux comportements anormaux
Si les attaquants parviennent à pénétrer dans votre infrastructure, ils commenceront à se déplacer latéralement pour effectuer une reconnaissance. Il s'agit de trouver des vulnérabilités supplémentaires dans le but ultime de découvrir des données sensibles. Parmi les mesures qu'ils pourraient prendre, citons la modification de vos paramètres pour réduire les autorisations de sécurité, l'exfiltration de données et le téléchargement de logiciels malveillants.
Certaines de ces étapes peuvent ne pas constituer un comportement purement malveillant, mais peuvent être considérées comme un comportement anormal. C'est là qu'il est essentiel de comprendre le comportement des utilisateurs et des appareils et de segmenter l'accès au niveau des applications. Pour arrêter les mouvements latéraux, vous devez vous assurer qu'aucun utilisateur n'a accès librement à votre infrastructure et qu'il n'agit pas de manière malveillante. Il est également crucial de pouvoir détecter les privilèges excessifs ou mal configurés afin d'empêcher toute modification de la posture de vos applications et du cloud.
3. Rendez les données inutilisables en échange d'une rançon grâce au cryptage proactif.
L'étape finale d'une attaque par ransomware consiste à prendre vos données en otage. Outre le cryptage des données et le verrouillage de vos administrateurs, l'attaquant peut également exfiltrer certaines données pour les utiliser comme levier, puis supprimer ou crypter ce qui reste dans votre infrastructure.
L'exfiltration et l'impact sont généralement le moment où l'attaquant révèle enfin sa présence. Les modifications qu'il apporte aux données, qu'elles soient au repos ou en mouvement, déclenchent des signaux d'alarme et il exige des paiements. Cependant, vous pouvez réduire tous leurs efforts à néant si ces données sont cryptées de manière proactive par votre plateforme de sécurité et qu'elles deviennent absolument inutiles pour l'attaquant. Le chiffrement est un élément essentiel de toute stratégie de prévention des pertes de données (DLP), et le fait de le déclencher à partir de politiques de protection des données contextuelles peut vous aider à protéger vos données les plus sensibles contre la compromission.
Sécurité contre les ransomwares : produits isolés ou plateforme unifiée ?
Une attaque par ransomware n'est pas un événement isolé ; c'est une menace persistante. Pour sécuriser votre organisation, vous devez avoir une vision complète de ce qui se passe avec vos terminaux, vos utilisateurs, vos applications et vos données. Cela vous permet de bloquer les attaques de phishing, de masquer les applications Web, de détecter et de répondre aux mouvements latéraux et de protéger vos données, même si elles sont exfiltrées et font l'objet d'une demande de rançon.
Historiquement, les organisations ont acheté de nouveaux outils pour se prémunir contre de nouveaux problèmes. Mais ce type d'approche ne fonctionnera pas avec des menaces comme les ransomwares. Bien que vous puissiez disposer d'une certaine télémétrie sur l'activité d'accès de vos utilisateurs, sur la santé de leur appareil d'entreprise et sur la manière dont vos données sont traitées, votre équipe de sécurité devra gérer plusieurs consoles qui ne fonctionnent pas les unes avec les autres.
Chez Lookout, nous comprenons la nécessité de privilégier l'utilisation d'une plateforme et nous avons construit une solution Security Service Edge (SSE) qui comprend la DLP, l'analyse du comportement des utilisateurs et des entités (UEBA ) et la gestion des droits numériques d'entreprise (EDRM).
Grâce à une plateforme qui fournit des informations intégrées sur tout ce qui se passe au sein de votre organisation, nous vous permettons de sécuriser les données sensibles sans nuire à la productivité. Notre plateforme SSE a récemment été désignée comme visionnaire par le Gartner2022 Gartner Magic Quadrant pour SSE. Lookout a également été classé dans le top 3 pour tous les cas d'utilisation SSE dans le Gartner 2022 Critical Capabilities pour SSE.
Pour en savoir plus sur les principaux enseignements que vous pouvez tirer des grandes attaques de ransomware en 2021, et sur la manière de protéger vos données sensibles, téléchargez notre dernier guide sur les ransomwares.