Ransomwares
Au lendemain des Ransomwares WannaCry, Bad Rabbit, et autres
Cet article diffusé par SonicWall (fabricant de Firewall professionnels) revient sur l’attaque par Ransomware de cette année. Afin de comprendre l’origine de ce type d’attaque et les règles à respecter, cet article devrait être lu par tous.
Résumé
Le manque d’initiative dans l’application des meilleures pratiques en matière de sécurité réseau entraîne souvent des conséquences catastrophiques. Une attaque par Ransomwares d’envergure mondiale a récemment défrayé la chronique. Cette présentation se penche sur la manière dont les cybercriminels ont mené cette attaque, les défis qu’elle présente encore pour les services informatiques et les leçons à en tirer pour éviter de futures attaques.
Une histoire bien connue
C’est une histoire qui n’est que trop fréquente. Récemment, des cybercriminels ont pénétré sur le réseau d’une entreprise par le biais d’un e-mail contenant le ransomware WannaCry. La pièce jointe a été ouverte sur un ordinateur sans correctif, ce qui a eu des conséquences désastreuses. Interrogé quant à l’absence de correctif sur le système, le dirigeant de l’entreprise a répondu : «Je ne pensais pas que c’était très important»
Anatomie d’une attaque
Il y a vraiment de quoi pleurer quand on pense à la facilité avec laquelle cette entreprise aurait pu éviter cette intrusion. Cette attaque par ransomware à grande échelle a infecté plus de 250 000 systèmes dans plus de 150 pays, dont plusieurs grands établissements de santé au Royaume-Uni et même quelques entreprises de télécommunications de premier plan en Espagne. WannaCry n’est qu’un exemple parmi tant d’autres de menaces combinant un ransomware et un ver qui exploitent une faille du protocole de partage de fichiers SMB. On suppose qu’à l’origine, certains organismes gouvernementaux ont créé un kit d’exploit (EternalBlue en l’occurrence) que des cybercriminels auraient ensuite dérobé.
En avril 2017, le groupe des Shadow Brokers a rendu EternalBlue accessible au public dans le cadre d’une fuite plus large d’exploits développés par la NSA. Les criminels ont ensuite utilisé les éléments de ce kit d’exploit pour développer une nouvelle forme de ransomware extrêmement agressive qui attaque, tel un ver, les machines connectées au réseau en utilisant différentes fonctions de lecture/écriture du système d’exploitation Windows. Cet exploit particulier touche différentes versions des systèmes d’exploitation Microsoft Windows, dont un certain nombre en fin de vie. Même si Microsoft a publié un grand nombre de correctifs pour résoudre cette vulnérabilité, l’attaque reste dangereuse, car beaucoup d’entreprises n’ont pas appliqué le correctif.
La première version du pack ver/ ransomware avait un kill switch qui a été utilisé accidentellement pour désactiver la fonction ver, ce qui a freiné sa propagation. Cependant, les plus de 20 versions suivantes ne présentent pas ce point faible. De plus, il est important de recourir à des technologies antiransomwares qui bloquent toutes les versions connues et sont capables de détecter les nouvelles attaques.
A savoir
Plus de 114 nouveaux virus et variantes sont générés toutes les soixante secondes. WannaCry n’est certainement pas le premier exploit à utiliser cette forme d’attaque et ne sera sûrement pas le dernier. Les entreprises doivent prendre conscience des nouvelles réalités du champ de bataille du cyberespace mondial.
Les meilleures pratiques anti-ransomwares
Les attaques par ransomwares font régulièrement les gros titres dans le monde entier. Une approche obsolète de la sécurité peut s’avérer désastreuse pour n’importe quelle entreprise aujourd’hui. Heureusement, il existe des solutions efficaces. Ce dossier aborde les meilleures pratiques pour éviter d’être victime d’un ransomware.
Opportunités manquées
Les victimes de ransomwares ont souvent eu l’opportunité de les éviter, mais n’ont pas pris les mesures appropriées. Au lendemain des attaques mondiales par ransomwares (comme WannaCry) et d’autres menaces évoluées émergentes, les administrateurs réseau et les cadres dirigeants doivent comprendre que la sécurité ne peut plus relever d’une approche back-office réactive. Cela fait trop longtemps que les entreprises traitent la cybersécurité comme on le faisait dans les années 1990.
À l’époque, les administrateurs réseaux se contentaient habituellement de déployer une nouvelle technologie appelée pare-feu derrière leur routeur. L’administrateur le laissait alors en place pendant des mois, voire des années, sans même se connecter à l’unité. L’important était que le pare-feu soit en état de marche. Il arrivait qu’un administrateur se connecte pour ajouter une nouvelle règle d’accès ou une règle VPN, mais pour la plupart des administrateurs, cela s’arrêtait là.
C’était une pratique douteuse, mais aujourd’hui cette approche peut s’avérer fatale pour le réseau (et très probablement pour la carrière de l’administrateur). Une bonne nouvelle cependant : des procédures de sécurité, une formation et une architecture adéquates peuvent empêcher les failles. Il faut commencer par s’assurer que tout le trafic, y compris le trafic chiffré, est inspecté.
Toute solution qui n’inspecte que des flux de trafic partiels ou qui doit s’appuyer sur de nombreux clients de terminaux pour alerter avant d’identifier les menaces est inadaptée. En mettant en place des contre-mesures de sécurité offensives pour bloquer les menaces persistantes avancées, vous pouvez protéger les réseaux des exploits malveillants comme les ransomwares.
Meilleures pratiques
Pour répondre aux défis posés par les menaces avancées actuelles comme les ransomwares, il faut adopter une approche multicouche qui bloque tous les vecteurs de faille potentiels.
Signatures actuelles
vous avez besoin essentiellement de mises à jour de sécurité automatisées sur votre pare-feu dès que votre fournisseur de services de sécurité identifie et vérifie une nouvelle menace ou vulnérabilité. Nous vous conseillons de vérifier que la source des mises à jour de votre fournisseur de services de sécurité est mondiale, fiable et efficace.
Fonctionnalités de pare-feux de nouvelle génération
activez également les fonctionnalités de base de nouvelle génération pour que, par exemple, votre pare-feu soit entièrement sensible aux applications et comprenne la prévention des intrusions et l’analyse antivirus intégrées.
Sandboxing Cloud
cependant, même les mises à jour de sécurité automatiques et les fonctionnalités de base de nouvelle génération ne suffisent pas contre les attaques de type zero-day et autres menaces émergentes. Une autre mesure de sécurité vitale à l’heure actuelle est la capacité à identifier et analyser les fichiers suspects qui n’ont pas encore de signatures correspondantes. Ce type de protection contre les menaces avancées nécessite le sandboxing Cloud, de préférence avec plusieurs moteurs d’analyse, capable de loquer les menaces inconnues et de fournir un verdict à leur encontre avant qu’elles ne pénètrent sur le réseau.
Inspection approfondie des paquets pour l’ensemble du trafic
puisque plus de la moitié des logiciels malveillants aujourd’hui sont chiffrés, vous avez besoin d’une solution pour déchiffrer ce trafic dissimulé à des fins d’analyse de sécurité. L’inspection approfondie des paquets SSL/TLS (DPI SSL) est une exigence incontournable pour tout pare-feu de nouvelle génération.
Sécurisation de la messagerie
pour bloquer les attaques provenant d’emails malveillants, vous devez vous assurer que tous vos services de sécurisation de messagerie sont à jour. Ce doit être un élément de sécurité clé, car 65 % de toutes les attaques par ransomwares passent par des e-mails de phishing. Si possible, déployez une solution permettant le sandboxing Cloud du trafic de messagerie.
Formation
un élément clé pour éviter les ransomwares est la formation continue des employés qui doivent repérer les pièces jointes et les e-mails suspects. Les criminels cherchent à duper les utilisateurs finaux pour qu’ils agissent et ouvrent ainsi la porte aux intrusions. Mieux vaut prévenir que guérir.
Sauvegardes récupérables
entretenez activement et testez les sauvegardes des systèmes réseau centraux, des applications et des données comme mesure d’urgence en cas de scénario catastrophe.
Conclusion
La sécurité est devenue un impératif stratégique front office qui exige une vigilance constante. Elle doit adopter une approche multicouche complète.
En savoir plus.