Présentation d'Illumio Insights — une avancée révolutionnaire en matière d’observabilité, de détection et de confinement alimentée par l’IA.
En savoir plus

Vous avez subi une attaque ?

|
Contactez-nous
|
+1 855 426 3983
Blog
/
Isolation des ransomwares

Comment arrêter les attaques de ransomware basées sur RDP avec Illumio

Ron Isaacson
Directeur principal, Architecture d'entreprise
Illumio Editorial
Janvier 7, 2022
23 min. lire

Selon Gartner, plus de 90 % des attaques par ransomware peuvent être évitées. Elles sont également assez prévisibles dans une certaine mesure, car les attaquants ont tendance à suivre l'un des quelques vecteurs de menace. La plus populaire est l'exploitation du protocole de bureau à distance (RDP), qui a représenté près de la moitié des attaques au troisième trimestre 2021, selon une estimation. 

En résumé, si votre organisation parvient à mieux stopper les attaques de ransomware via RDP, elle a de grandes chances de minimiser les cyberrisques dans leur ensemble.

La bonne nouvelle, c'est qu'Illumio offre une visibilité et un contrôle là où les organisations en ont le plus besoin : pour comprendre où elles sont le plus exposées, puis pour déployer une politique à l'échelle afin de restreindre les communications RDP.

Qu'est-ce que RDP ?

RDP est un protocole Microsoft qui permet aux utilisateurs d'ordinateurs de se connecter à distance à des PC et à des serveurs. Il fonctionne sur tous les serveurs Windows - une omniprésence qui en fait également une cible de choix pour les attaques.

Les attaques RDP se sont multipliées pendant la pandémie, alors que l'utilisation de solutions d'accès à distance par les travailleurs à domicile augmentait également. Selon une étude, le nombre d'appareils exposant RDP à l'internet public sur des ports standard a augmenté de plus de 40 % en un seul mois.

Comment le RDP est-il utilisé de manière abusive ?

Plusieurs facteurs expliquent le succès des attaques par ransomware RDP.

De nombreuses organisations n'ont qu'une faible visibilité sur leur infrastructure de réseau informatique. Cela signifie qu'ils peuvent ne pas savoir combien de chemins RDP sont ouverts. Les attaques tirent également parti des problèmes courants de sécurité des entreprises, notamment la gestion efficace des correctifs et des mots de passe.

Voici comment cela fonctionne :

  1. Un attaquant recherchera des serveurs Windows avec des adresses IP publiques et un port 3389 ouvert (couramment utilisé pour RDP).
  2. Une fois ceux-ci localisés, l'acteur de la menace cherchera à compromettre les serveurs exposés par le biais de :
  3. Exploiter les vulnérabilités de Microsoft qui pourraient leur permettre de contourner l'authentification RDP ou d'exécuter directement des logiciels malveillants par le biais d'une connexion.
  4. Forcer les comptes RDP protégés uniquement par des informations d'identification faibles. Parfois, ces tentatives automatisées de devinettes de mots de passe s ' étalent sur plusieurs jours afin de ne pas déclencher l'alarme.
  7. Une fois l'accès initial obtenu, l'attaquant peut utiliser RDP ou d'autres techniques pour se déplacer latéralement vers d'autres biens et données. Il finira par s'implanter suffisamment dans le réseau de la victime pour déployer un ransomware à grande échelle et/ou voler des données sensibles à des fins d'extorsion.

Stopper les attaques de ransomware par RDP

Pour prévenir les attaques de ransomware RDP, il faut notamment s'assurer que les systèmes sont protégés par des correctifs à jour et activer l'authentification multifactorielle pour limiter les tentatives de piratage de mot de passe.

Mais plus fondamentalement, il s'agit d'abord de comprendre où le protocole RDP est utilisé dans votre organisation et où vous pouvez couper les connexions sans avoir d'impact sur les processus d'entreprise ou la productivité. Le blocage du port 3389 sur ces serveurs fera l'affaire.

La réduction de la surface d'attaque de cette manière peut contribuer à minimiser le nombre de points d'intrusion potentiels. Elle réduira également la possibilité pour les attaquants d'utiliser RDP pour se déplacer dans un réseau. Il ne reste donc plus qu'un petit nombre de serveurs à surveiller et à sécuriser à l'aide de politiques d'authentification fondées sur les meilleures pratiques.

Comment Illumio peut vous aider

Illumio est déjà utilisé par certaines des organisations les plus importantes et les plus exigeantes du monde pour atténuer la menace des ransomwares - y compris plus de 10 pour cent des entreprises du Fortune 100. Nous vous offrons la visibilité granulaire dont vous avez besoin pour comprendre où se produit la communication RDP et le contrôle nécessaire pour la bloquer si nécessaire.

L'approche simple en trois étapes d'Illumio pour minimiser le risque de ransomware RDP est la suivante :

  1. Cartographier tous les serveurs et connexions RDP
  2. Identifier les communications essentielles et non essentielles de la PDS
  3. Prenez des mesures grâce à un déploiement simple et rapide de politiques visant à restreindre les communications non essentielles à grande échelle.

Pour lire d'autres conseils sur les meilleures pratiques pour atténuer le risque de ransomware et comment Illumio peut aider à bloquer les menaces, consultez notre nouvel ebook, Comment arrêter les attaques de ransomware.

Sujets connexes

Aucun élément n'a été trouvé.

Articles connexes

Étude sur le coût mondial des ransomwares : Ce que les chiffres nous apprennent
Isolation des ransomwares

Étude sur le coût mondial des ransomwares : Ce que les chiffres nous apprennent

Découvrez comment les attaquants s'orientent vers la perturbation des opérations, pourquoi la prévention ne suffit pas et comment la confiance zéro et la microsegmentation limitent l'impact des ransomwares.

En savoir plus
Comment un cabinet d'avocats international a stoppé une attaque de ransomware à l'aide d'Illumio
Isolation des ransomwares

Comment un cabinet d'avocats international a stoppé une attaque de ransomware à l'aide d'Illumio

Comment la défense contre les ransomwares d'Illumio a rapidement mis fin à une attaque contre un cabinet d'avocats international, tout en évitant des dommages importants à son système, à sa réputation et à ses clients.

En savoir plus
Comment arrêter les attaques de ransomware basées sur RDP avec Illumio
Isolation des ransomwares

Comment arrêter les attaques de ransomware basées sur RDP avec Illumio

Découvrez comment cartographier, évaluer et bloquer l'exposition RDP à l'aide de la micro-segmentation, du MFA & et de l'application de politiques, afin d'arrêter les ransomwares avant qu'ils ne se propagent via RDP.

En savoir plus
Aucun élément n'a été trouvé.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

En savoir plus