Comment répondre aux recommandations de la CISA sur le ransomware Phobos grâce à Illumio

Récemment, le Federal Bureau of Investigation (FBI), l'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) et le Multi-State Information Sharing and Analysis Center (MS-ISAC) ont publié un nouveau conseil en cybersécurité visant à informer le gouvernement et les organisations chargées des infrastructures critiques sur la manière de se protéger contre le rançongiciel Phobos.

Dans cet article de blog, découvrez ce qu'est le ransomware Phobos, comment les responsables gouvernementaux recommandent de se préparer à Phobos et comment le tableau de bord de protection contre les rançongiciels d'Illumio peut vous aider à mettre en œuvre ces recommandations.

Qu'est-ce que le ransomware Phobos ?

Le ransomware Phobos est lié à plusieurs variantes de ransomware, notamment les rançongiciels Elking, Eight, Devos, Backmydata et Faust. La variante Backmydata a été utilisée lors d'une attaque en février 2024 en Roumanie qui a entraîné la mise hors ligne des systèmes à environ 100 établissements de santé.

L'avis présente les tactiques, techniques et procédures (TTP) connues ainsi que les indicateurs de compromission (IoC) associés aux variantes du ransomware Phobos observées en février 2024. Phobos fonctionne selon un modèle de ransomware en tant que service (RaaS) et cible divers secteurs depuis mai 2019, notamment le gouvernement, les services d'urgence, les soins de santé et l'éducation.

Comment se protéger contre le rançongiciel Phobos

L'avis propose trois points clés pour atténuer l'activité du rançongiciel Phobos :

1. Sécurisez les ports RDP pour empêcher les acteurs de la menace d'abuser et d'exploiter les outils RDP.

2. Donnez la priorité à la correction des vulnérabilités exploitées connues.

3. Mettez en œuvre des solutions EDR pour perturber les techniques d'allocation de mémoire des acteurs malveillants.

Le Plateforme de segmentation Illumio Zero Trust peut vous aider à mettre en œuvre ces trois recommandations.

1. Utilisez le tableau de bord de protection contre les rançongiciels d'Illumio pour sécuriser les ports RDP

En quelques étapes rapides, votre organisation peut apporter des améliorations majeures pour contrecarrer les acteurs malveillants et empêcher les mouvements latéraux au sein de votre environnement. Si vous pouvez empêcher les mouvements latéraux, vous vous assurez que même si des attaquants entrent, ils n'atteignent pas très loin et n'accèdent pas à des applications critiques.

Passons en revue les trois étapes pour sécuriser les ports RDP à l'aide du Tableau de bord de protection contre les:

1. Identifiez où il y en a Trafic RDP dans votre environnement

2. Suivez les actions recommandées sur le tableau de bord de protection contre les rançongiciels d'Illumio

3. Mesurez l'amélioration du score de protection contre les rançongiciels

Identifiez le trafic RDP dans votre environnement

Le tableau de bord de protection contre les rançongiciels d'Illumio permet de suivre facilement les services les plus risqués de votre environnement. L'un de ces services est RDP. S'il est exposé dans votre environnement sans qu'aucune politique ne le contrôle, vous pouvez le voir dans votre rapport sur les 5 services les plus risqués. Vous pouvez également accéder à la carte pour rechercher spécifiquement le trafic RDP.

Dans l'image ci-dessus, vous pouvez voir que le RDP figure parmi les cinq services les plus risqués, mais qu'aucune politique n'est en place pour contrôler ce service.

C'est ici que vous pouvez effectuer une analyse commerciale pour comprendre l'impact. Par exemple, certaines personnes de l'organisation ont besoin de pouvoir utiliser le protocole RDP. C'est très utile pour les équipes informatiques qui peuvent aider les employés qui ne sont pas sur place à résoudre un problème. Cependant, ce n'est pas quelque chose que la charge de travail moyenne doit avoir à disposition.

C'est là que les actions recommandées par le tableau de bord entrent en jeu.

Suivez les actions recommandées dans le tableau de bord de protection contre les ransomwares

L'une des actions recommandées sur le tableau de bord consiste à créer une règle de refus. Il s'agit d'un moyen simple de créer rapidement une protection au fur et à mesure que vous progressez dans ce qui peut être une Le parcours Zero Trust.

Dans ce cas, puisque la CISA recommande de sécuriser les ports RDP, l'étape suivante consiste à créer une règle de refus pour bloquer ce trafic. Des exceptions peuvent être ajoutées si nécessaire, mais cela sera généralement verrouillé. Cela fournit une protection proactive contre toute attaque de rançongiciel Phobos.

Lorsque vous appliquez des règles de refus avec Illumio, votre nouvelle politique est déployée dans l'ensemble de votre organisation en quelques minutes, quelle que soit son ampleur.

Mesurez l'amélioration de la sécurité dans le score de protection contre les ransomwares

Le score de protection contre les rançongiciels du tableau de bord constitue un excellent moyen de mesurer vos progrès en matière de protection de votre environnement. Au fur et à mesure que vous déployez une politique et que vous apportez des modifications majeures, telles que le blocage du trafic RDP, vous pouvez constater que ce score augmente.

Illumio fournit non seulement votre score actuel, mais également ce score au fil du temps. Il s'agit d'un excellent moyen de mesurer la manière dont vous protégez votre organisation contre les menaces en constante évolution.

2. Corrigez les vulnérabilités exploitées connues grâce à la segmentation Zero Trust

La segmentation Zero Trust (ZTS) peut vous aider à réduire l'impact des attaques de rançongiciels telles que Phobos en identifiant et en résolvant les problèmes vulnérabilités de votre réseau ont été exploités.

Identifiez et corrigez les failles de sécurité

Le Carte Illumio permet de révéler les systèmes ou les applications dont les communications sont excessives, inutiles ou non conformes. Il peut même combiner ces informations avec les données des scanners de vulnérabilité.

Grâce à ces informations, les équipes de sécurité peuvent définir des politiques de segmentation granulaires et flexibles afin de réduire l'exposition aux vulnérabilités et de stopper la propagation des violations inévitables. En comprenant le contexte et l'exposition, les charges de travail peuvent être sécurisées rapidement avant le déploiement d'un correctif.

Quantifiez les risques grâce à des informations sur les vulnérabilités basées sur les données

Face à des menaces telles que le rançongiciel Phobos, il est essentiel non seulement d'identifier mais également de quantifier les vulnérabilités potentielles de votre réseau. Illumio met en évidence les points faibles du réseau afin que les équipes puissent mettre en œuvre des mesures proactives précisément là où cela est le plus nécessaire.

Ces informations fournissent aux équipes interfonctionnelles des informations exploitables pour combler les lacunes en matière de sécurisation, favoriser la prise de décision basée sur les données et améliorer les stratégies d'atténuation des risques dans l'ensemble de l'environnement.

Créez des défenses contre les vulnérabilités de manière proactive

Modélisez, testez et déployez une segmentation granulaire des actifs à haut risque à titre de contrôle de la rémunération, en protégeant les systèmes critiques lorsque l'application de correctifs n'est pas possible ou risque d'introduire une complexité opérationnelle inacceptable.

La prise de conscience est essentielle. Si le trafic se connecte à un port présentant une vulnérabilité connue, le centre des opérations de sécurité (SOC) est alerté de la violation, y compris du contexte de vulnérabilité et de gravité à l'aide des données fournies par Illumio.

3. Combinez l'EDR et la segmentation Zero Trust pour détecter et sécuriser automatiquement les mouvements latéraux

Compléments Illumio EDR en réduisant la surface d'attaque grâce à des politiques de segmentation Zero Trust qui laissent peu de marge de manœuvre aux attaquants. Illumio comble le fossé entre l'incident et la détection, indépendamment du modèle d'attaque.

Selon l'avis de cybersécurité, l'EDR est un élément important de protection contre les attaques de rançongiciels telles que Phobos. Mais lorsqu'une attaque finit par violer un terminal, l'EDR ne dispose d'aucun moyen d'empêcher cette violation de continuer à se propager latéralement sur le réseau de votre organisation. C'est pourquoi il est essentiel de combiner EDR et ZTS. Lorsque le système EDR détecte une faille, ZTS peut automatiquement arrêter et mettre en quarantaine toutes les charges de travail infectées.

La combinaison d'une technologie proactive telle que le ZTS avec une technologie réactive telle que l'EDR sur chaque terminal réduit la faiblesse du temps d'arrêt tout en augmentant considérablement les capacités de réponse. En fait, selon les tests réalisés par Évêque Fox, la combinaison de l'EDR et d'Illumio a radicalement réduit la propagation d'un attaquant tout en détectant 4 fois plus rapidement.

Entrez en contact avec nous pour découvrir comment Zero Trust Segmentation peut vous aider à respecter les recommandations de la CISA et à stopper les attaques de rançongiciels comme Phobos aujourd'hui.