Présentation d'Illumio Insights — une avancée révolutionnaire en matière d’observabilité, de détection et de confinement alimentée par l’IA.
En savoir plus

Vous avez subi une attaque ?

|
Contactez-nous
|
+1 855 426 3983
Blog
/
Isolation des ransomwares

Comment arrêter les attaques de ransomware basées sur RDP avec Illumio

Ron Isaacson
Directeur principal, Architecture d'entreprise
Illumio Editorial
Janvier 7, 2022
23 min. lire

Selon Gartner, plus de 90 % des attaques par ransomware peuvent être évitées. Elles sont également assez prévisibles dans une certaine mesure, car les attaquants ont tendance à suivre l'un des quelques vecteurs de menace. La plus populaire est l'exploitation du protocole de bureau à distance (RDP), qui a représenté près de la moitié des attaques au troisième trimestre 2021, selon une estimation. 

En résumé, si votre organisation parvient à mieux stopper les attaques de ransomware via RDP, elle a de grandes chances de minimiser les cyberrisques dans leur ensemble.

La bonne nouvelle, c'est qu'Illumio offre une visibilité et un contrôle là où les organisations en ont le plus besoin : pour comprendre où elles sont le plus exposées, puis pour déployer une politique à l'échelle afin de restreindre les communications RDP.

Qu'est-ce que RDP ?

RDP est un protocole Microsoft qui permet aux utilisateurs d'ordinateurs de se connecter à distance à des PC et à des serveurs. Il fonctionne sur tous les serveurs Windows - une omniprésence qui en fait également une cible de choix pour les attaques.

Les attaques RDP se sont multipliées pendant la pandémie, alors que l'utilisation de solutions d'accès à distance par les travailleurs à domicile augmentait également. Selon une étude, le nombre d'appareils exposant RDP à l'internet public sur des ports standard a augmenté de plus de 40 % en un seul mois.

Comment le RDP est-il utilisé de manière abusive ?

Plusieurs facteurs expliquent le succès des attaques par ransomware RDP.

De nombreuses organisations n'ont qu'une faible visibilité sur leur infrastructure de réseau informatique. Cela signifie qu'ils peuvent ne pas savoir combien de chemins RDP sont ouverts. Les attaques tirent également parti des problèmes courants de sécurité des entreprises, notamment la gestion efficace des correctifs et des mots de passe.

Voici comment cela fonctionne :

  1. Un attaquant recherchera des serveurs Windows avec des adresses IP publiques et un port 3389 ouvert (couramment utilisé pour RDP).
  2. Une fois ceux-ci localisés, l'acteur de la menace cherchera à compromettre les serveurs exposés par le biais de :
  3. Exploiter les vulnérabilités de Microsoft qui pourraient leur permettre de contourner l'authentification RDP ou d'exécuter directement des logiciels malveillants par le biais d'une connexion.
  4. Forcer les comptes RDP protégés uniquement par des informations d'identification faibles. Parfois, ces tentatives automatisées de devinettes de mots de passe s ' étalent sur plusieurs jours afin de ne pas déclencher l'alarme.
  7. Une fois l'accès initial obtenu, l'attaquant peut utiliser RDP ou d'autres techniques pour se déplacer latéralement vers d'autres biens et données. Il finira par s'implanter suffisamment dans le réseau de la victime pour déployer un ransomware à grande échelle et/ou voler des données sensibles à des fins d'extorsion.

Stopper les attaques de ransomware par RDP

Pour prévenir les attaques de ransomware RDP, il faut notamment s'assurer que les systèmes sont protégés par des correctifs à jour et activer l'authentification multifactorielle pour limiter les tentatives de piratage de mot de passe.

Mais plus fondamentalement, il s'agit d'abord de comprendre où le protocole RDP est utilisé dans votre organisation et où vous pouvez couper les connexions sans avoir d'impact sur les processus d'entreprise ou la productivité. Le blocage du port 3389 sur ces serveurs fera l'affaire.

La réduction de la surface d'attaque de cette manière peut contribuer à minimiser le nombre de points d'intrusion potentiels. Elle réduira également la possibilité pour les attaquants d'utiliser RDP pour se déplacer dans un réseau. Il ne reste donc plus qu'un petit nombre de serveurs à surveiller et à sécuriser à l'aide de politiques d'authentification fondées sur les meilleures pratiques.

Comment Illumio peut vous aider

Illumio est déjà utilisé par certaines des organisations les plus importantes et les plus exigeantes du monde pour atténuer la menace des ransomwares - y compris plus de 10 pour cent des entreprises du Fortune 100. Nous vous offrons la visibilité granulaire dont vous avez besoin pour comprendre où se produit la communication RDP et le contrôle nécessaire pour la bloquer si nécessaire.

L'approche simple en trois étapes d'Illumio pour minimiser le risque de ransomware RDP est la suivante :

  1. Cartographier tous les serveurs et connexions RDP
  2. Identifier les communications essentielles et non essentielles de la PDS
  3. Prenez des mesures grâce à un déploiement simple et rapide de politiques visant à restreindre les communications non essentielles à grande échelle.

Pour lire d'autres conseils sur les meilleures pratiques pour atténuer le risque de ransomware et comment Illumio peut aider à bloquer les menaces, consultez notre nouvel ebook, Comment arrêter les attaques de ransomware.

Sujets connexes

Aucun élément n'a été trouvé.

Articles connexes

3 étapes pour empêcher les ransomwares de se propager
Isolation des ransomwares

3 étapes pour empêcher les ransomwares de se propager

Découvrez les étapes à suivre pour empêcher les ransomwares de se propager en limitant les connexions, en augmentant la visibilité et en améliorant le temps de réponse.

En savoir plus
Le cheval de Troie moderne : comment les attaquants vivent de la terre et comment les arrêter
Isolation des ransomwares

Le cheval de Troie moderne : comment les attaquants vivent de la terre et comment les arrêter

Découvrez comment les attaquants "vivent de la terre" en utilisant des outils de confiance tels que PowerShell et SSH et comment arrêter les menaces LOTL grâce à la visibilité et au confinement.

En savoir plus
Contenir les ransomwares à la source grâce à la segmentation zéro confiance
Isolation des ransomwares

Contenir les ransomwares à la source grâce à la segmentation zéro confiance

Découvrez pourquoi la menace des ransomwares est si critique et comment parvenir à contenir les ransomwares grâce à la segmentation zéro confiance.

En savoir plus
Aucun élément n'a été trouvé.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

En savoir plus