Comment mettre fin aux menaces mondiales de cybersécurité résultant du conflit entre l'Ukraine et la Russie
Le conflit entre l'Ukraine et la Russie a débuté lorsque l'armée russe a envahi l'Ukraine le 24 février.
Pourtant, les éléments de cybersécurité et de cyberguerre de ce conflit sont apparus avant le début des combats. L'Ukraine a été touchée avec de nombreuses cyberattaques contre son gouvernement et ses systèmes bancaires à l'approche du conflit, les experts accusant la Russie d'être responsable des cyberattaques. Et au cours des premières 48 heures, plusieurs agences américaines ont constaté que des cyberattaques provenaient de pirates informatiques présumés en Russie augmenté de plus de 800 %.
Depuis lors, les cyberattaques constituent un élément clé et constant du conflit contre l'Ukraine et ses alliés occidentaux. En fin de compte, il est devenu évident que les organisations doivent renforcer leur cybersécurité au cours de ce conflit.
Dans cet article, nous allons détailler :
- Pourquoi ces cyberattaques sont pertinentes pour n'importe quelle organisation dans tous les pays.
- Comment les organisations peuvent-elles renforcer leur cybersécurité face aux cybermenaces spécifiques issues de ce conflit ?
- Comment Illumio peut aider les organisations à développer rapidement les capacités de cybersécurité dont elles ont besoin pour se protéger de ces risques.
Pourquoi le conflit entre l'Ukraine et la Russie constitue-t-il une menace mondiale pour la cybersécurité ?
Il existe de nombreuses raisons de croire que le conflit entre l'Ukraine et la Russie pourrait devenir une menace mondiale en matière de cybersécurité pour les pays et les organisations qui ne sont pas directement impliqués dans le conflit.
Comme l'a noté le président américain Biden dans une déclaration récente en matière de cybersécurité, la « cyberactivité malveillante » fait « partie des règles de la Russie ». Dans la même déclaration, le président Biden a averti que la Russie pourrait probablement lancer des cyberattaques contre les pays occidentaux en représailles aux sanctions. Il a également noté que les agences de renseignement avaient déjà découvert que « le gouvernement russe explore des options pour d'éventuelles cyberattaques ».
En outre, l'OTAN a publié leurs propres déclarations qui recommandent de fournir une assistance en matière de cybersécurité à l'Ukraine. L'OTAN renforce activement ses propres « capacités et défenses en matière de cybersécurité » et « se soutient mutuellement en cas de cyberattaques ».
Compte tenu de ces preuves, la menace mondiale en matière de cybersécurité émergeant de ce conflit pourrait être vaste.
Comme l'a noté d'Accenture Selon le dernier rapport d'incident sur la cybersécurité dans le cadre du conflit entre l'Ukraine et la Russie, les opérateurs russes de rançongiciels menacent ouvertement d'attaquer les infrastructures occidentales. Les entités de l'OTAN « devraient s'attendre à des activités et à des opérations d'information potentiellement perturbatrices », notamment des rançongiciels et des cyberattaques. De nombreuses attaques par rançongiciel et par déni de service distribué ont déjà été lancées contre des pays qui ont imposé des sanctions à la Russie.
En résumé : même si l'aspect physique du conflit entre l'Ukraine et la Russie reste limité à la région, l'aspect cybersécurité du conflit est déjà devenu une crise mondiale, entre la Russie et ses alliés et les pays occidentaux réagissant à leurs actions.
La réponse mondiale en matière de cybersécurité au conflit entre l'Ukraine et la Russie
De nombreux pays occidentaux ont déjà mis en place une réponse en matière de cybersécurité et ont fourni des recommandations liées au conflit entre l'Ukraine et la Russie. Des centaines de milliers de pirates informatiques multinationaux se sont portés volontaires pour lutter contre la cybercriminalité russe. Et dans sa déclaration citée précédemment, le président américain Biden a explicitement évoqué les cybermenaces à la sécurité nationale et a demandé au secteur privé de « renforcer immédiatement ses cyberdéfenses » en mettant en œuvre les meilleures pratiques.
Nombre de ces meilleures pratiques ont été abordées dans de précédents décrets sur la cybersécurité et réitérées par l'Agence de cybersécurité et de sécurité des infrastructures (CISA), qui a lancé l'initiative Shields Up en réponse au conflit entre l'Ukraine et la Russie. Cette initiative fournit des conseils aux organisations sur la manière dont elles peuvent renforcer leurs défenses afin d'améliorer leur résilience et leur réponse aux incidents, en mettant particulièrement l'accent sur l'amélioration de la protection contre les rançongiciels.
Le risque de cybermenaces et de cyberattaques en provenance de Russie
Le conflit entre l'Ukraine et la Russie oblige les entreprises du monde entier à réévaluer leurs risques en matière de cybersécurité, à revoir leurs modèles de menaces et à développer de nouvelles capacités en réponse à d'éventuelles cyberattaques russes contre des infrastructures et des services critiques.
Les conseils d'administration à travers le pays ont connu une activité intense alors que les entreprises s'efforcent de mettre en place une réponse efficace à ces cybermenaces et de développer de nouvelles stratégies de cybersécurité et solutions.
Chez Illumio, nombre de nos clients nous ont demandé ce qu'ils pouvaient faire pour empêcher la propagation des menaces à leurs systèmes informatiques. Nous avons identifié deux sources principales de risque émergeant de ce conflit : l'une très spécifique aux cybermenaces spécifiques à la région et l'autre plus générale.
- Organisations multinationales implantées en Ukraine, en Russie ou en Biélorussie craignent que des acteurs malveillants ne compromettent leurs réseaux informatiques dans ces régions. Cela permettrait aux attaquants de fermer des actifs critiques, de se déplacer latéralement et d'infiltrer des réseaux plus proches de chez eux. Cette menace est similaire à Virus NotPeya qui s'est répandue hors d'Ukraine en 2017.
- Organisations non présentes dans cette région s'inquiètent des répercussions potentielles des sanctions occidentales sur la Russie. Comme l'indique l'avertissement du président Biden, toutes les organisations aux États-Unis et dans les pays alliés doivent se préparer à des cyberattaques de représailles. Cela est particulièrement vrai pour les organisations actives dans des infrastructures critiques telles que la finance, les services publics et les soins de santé.
Pour la suite de cet article, j'expliquerai comment les organisations peuvent renforcer leur cybersécurité et renforcer leur résilience face à la situation générale et spécifique cybermenaces auxquels ils sont confrontés alors que le conflit entre l'Ukraine et la Russie continue de se développer.
Types de cyberattaques à craindre : concentrez-vous sur les rançongiciels
De nombreux types de cybermenaces et un large éventail de cyberattaques se produiront probablement dans le cadre du conflit entre l'Ukraine et la Russie. Cependant, nous prévoyons que ransomware restera le principal modèle de cyberattaque et le type de menace en cette période de crise.
Cette perspective s'explique par plusieurs raisons.
Tout d'abord, les rançongiciels ont été spécifiquement soulignés par la CISA dans son initiative Shields Up comme étant la principale menace à laquelle ils envisagent de mettre en place une réponse.
Deuxièmement, les rançongiciels sont déjà apparus comme la plus grande menace de cybersécurité d'aujourd'hui, et nous l'avons vu déployé pour perturber les infrastructures critiques et les chaînes d'approvisionnement à des fins de profit financier. Les rançongiciels ont prouvé qu'ils peuvent causer des dommages importants aux opérations de la plupart des types d'organisations. Nous nous attendons à en voir davantage.
Troisièmement, les rançongiciels sont un schéma de cyberattaque complexe avec de nombreuses étapes et tactiques discrètes, dont la plupart sont utilisées par d'autres modèles de cyberattaques. Cela signifie que si vous renforcez votre résilience contre les rançongiciels, vous renforcerez également votre résilience contre la plupart des autres cybermenaces.
Enfin, les incidents de rançongiciels réussis montrent comment les architectures de cybersécurité traditionnelles échouent pour mettre fin à de nouvelles menaces. Les rançongiciels ont clairement montré que la prévention ne suffisait plus, que les violations sont désormais inévitables et que les outils et protocoles de cybersécurité classiques ne peuvent pas suivre la vitesse et l'ampleur des cyberattaques actuelles.
Comment établir une architecture et un environnement de cybersécurité résilients qui bloquent les rançongiciels et autres cyberattaques
Pour renforcer la résilience face aux rançongiciels et aux autres cybermenaces modernes, vous devez d'abord comprendre comment ils fonctionnent.
Je vais décomposer le schéma d'attaque courant la plupart de ces menaces suivent puis proposent des étapes simples pour contrer ce modèle d'attaque et créer une architecture et un environnement plus résilients.
La plupart des attaques de rançongiciels s'articulent autour de trois comportements.
- Ils exploitent des voies communes. La plupart des cyberattaques modernes réussissent grâce à des tactiques fondamentales telles que l'exploitation des vulnérabilités logicielles, des erreurs de configuration ou des erreurs des utilisateurs. Pour ce faire, ils analysent automatiquement Internet à la recherche de ports ouverts et exploitables sur un réseau. Ils ciblent généralement un petit ensemble de voies à haut risque (comme le RDP et le SMB), et ils suivent ces voies pour se propager rapidement dans des environnements ouverts.
- Il s'agit de campagnes en plusieurs étapes. Les cyberattaques modernes doivent souvent franchir de nombreuses étapes entre la violation d'un réseau et la compromission d'un nombre suffisant d'actifs pour arrêter les systèmes et demander une rançon. Pour ce faire, ils compromettent généralement un actif de faible valeur lors de la violation initiale, se connectent à Internet pour accéder aux outils permettant de faire avancer l'attaque, et se frayent progressivement un chemin sur le réseau pour accéder à des actifs de grande valeur.
- Ils passent inaperçus pendant des mois. Après avoir franchi le périmètre d'une organisation, ils se cachent dans son réseau et passent le plus de temps possible à s'implanter silencieusement et à accroître leur influence. Pour ce faire, ils exploitent souvent des actifs dont les organisations ignorent qu'ils possèdent, des réseaux de voyage dont les organisations ignorent qu'ils sont ouverts et laissent des traces de données difficiles à suivre, ne se faisant connaître que lorsqu'elles font grève.
Heureusement, la création d'architectures et d'environnements cyberrésilients capables de stopper ces attaques est plus simple que vous ne le pensez. Prenez simplement le schéma d'attaque ci-dessus et construisez cyberdéfense capacités pour contrer chaque composant. Voici comment procéder.
Des capacités de cybersécurité qui bloquent les cybermenaces et renforcent la résilience
Il existe trois principaux capacités de cybersécurité qui peuvent vous aider à contrer les comportements d'attaque courants et à renforcer votre résilience face aux rançongiciels et autres menaces connexes.
To learn more details about each of these capabilities — and how to develop them quickly — you can check out our full guide, How to Stop Ransomware Attacks. But here's a quick overview of what capabilities can stop most ransomware threats.
- Comprehensive visibility into communication flows. With the right visibility, ransomware and other modern cyber threats will have nowhere to hide. If you have real-time visibility into how your applications communicate with each other, you will have a better chance of detecting these attacks early enough to prevent harm.
This visibility can also help you identify the unnecessary cybersecurity risks in your environment, centralize and correlate multiple sources of risk data into a unified view of your communication flows, and prioritize which actions to take to harden your environment.
- Ransomware-blocking. If you can reduce obvious pathways of attack for cybercriminals, you can limit a breach's impact and harm. To do so, you should proactively close as many high-risk pathways as possible, monitor those you have to leave open, and create a reactive emergency containment switch that can lock down your network in seconds during an incident.
- Isolating critical assets. Finally, if you can limit the ability of an attack to spread from one system to the next, you can prevent ransomware from reaching your critical assets and causing major damage. To do so, you first have to identify your highest value assets and then implement segmentation to isolate and protect those assets within your network — closing outbound connections to unknown and untrusted sources.
If you develop these fundamental cyber defense capabilities, you will rapidly improve your cybersecurity against the attack patterns you'll most likely face over the course of the Ukraine-Russia conflict.
While these capabilities might sound complex and challenging to develop, your ability to rapidly spin them up in your environment depends primarily on which security and network tools you decide to use. Though most legacy tools can't build these capabilities fast enough to respond to the Russia-Ukraine conflict, modern technology like Illumio can give organizations these capabilities in minutes, hours and days.
For the rest of this article, I will explore how Illumio works and explain how it can help you quickly build these capabilities and address the specific security challenges created by this conflict.
How Illumio stops cyberattacks from the Ukraine-Russia conflict
Illumio is a platform that provides visibility and Zero Trust Segmentation controls (including micro-segmentation) to give you new layers of Cyber Resilience against ransomware and other modern digital threats. Illumio takes a new approach to segment global networks at both broad and granular levels.
With Illumio, you can rapidly build cybersecurity measures for multiple scenarios related to the Ukraine-Russia conflict. If you have assets and networks in high-risk countries — like Ukraine, Russia and Belarus — then Illumio can help in several ways:
- Illumio can give you rich, risk-based visibility and application dependency mapping. It can give you a clear picture of how your assets in Ukraine, Russia and Belarus interact with the rest of your organization, highlight any dangerous connections, and help you decide where you may want to block traffic.
- In minutes, Illumio can block traffic to and from IP addresses running in Ukraine, Russia and Belarus. You can also write exceptions to maintain forensic access to these systems using Illumio’s Enforcement Boundaries capability, which can create a perimeter around these IP addresses in minutes.
- If you have Illumio deployed across all of your assets, including your assets based in Ukraine, Russia and Belarus, you can use labels to achieve this same blocking capability by writing a policy that says, “If assets are located in these countries, then block that traffic.” With Illumio, you can do this in just a few minutes.
If you are not directly exposed to the conflict but are concerned about “spill over” cyber threats, Illumio can help you update a few core cybersecurity capabilities:
- Illumio can give you visibility inside your digital infrastructure. With this visibility, you can better understand your risk exposure and better detect breaches, in-progress attacks, and lateral movement from bad actors.
- Illumio can build cyber defense by rapidly enforcing access restrictions at scale, letting you limit suspicious traffic flows, block lateral movement, and shut down command-and-control calls by attackers. Illumio can apply both coarse-grained policies — such as blocking ports for common ransomware pathways like RDP and SSH — and fine-grained policies to protect your unique high-value assets.
- If you have threat feed information that identifies malicious IP addresses related to the conflict, you can use Illumio to block those IP addresses at both the perimeter and within your network, all to build defense-in-depth against likely sources of attacks.
Illumio makes it fast, simple and easy to take these actions and improve your cybersecurity against direct attacks related to the Ukraine-Russia conflict and indirect attacks that might come your way.
Here’s how Illumio does it.
Cyber defense capabilities Illumio provides
Illumio offers a unique approach to building risk-based visibility and segmentation — and meaningfully improving cybersecurity resilience — in minutes, hours or days.
To do so, Illumio:
- Delivers real-time, risk-based visibility. Illumio creates a comprehensive application dependency map and a real-time picture of the traffic flows across your hybrid digital infrastructure. With this visibility, you will see where you connect to assets and IP addresses in high-risk countries, understand how your high-value assets can be accessed, and see what cybersecurity policies you must enforce in each area of your network.
- Performs host-based segmentation. Illumio configures the native firewall controls that already exist in your operating systems to manage traffic between different systems or between a system and outside networks. By doing so, Illumio can rapidly segment networks and systems at both broad and granular levels, and without the need to reconfigure your network architecture.
- Segments diverse environments. Illumio creates segmentation across multi-cloud, hybrid and on-premises environments. Illumio can segment workloads, endpoints and cloud assets from a single platform and applies policy to any system, including bare-metal, virtual machines, containers and more.
- Simplifies policy management. Illumio makes it fast and simple to apply and maintain policy across any size environment — from five systems to 500,000. Illumio streamlines, simplifies and automates the key stages of segmentation policy management.
- Maintains segmentation as networks evolve. Illumio does not force you to rearchitect your network or manually reconfigure your segmentation tools every time your network changes. Instead, Illumio segmentation policies automatically follow systems even as they move and change.
With Illumio, you can enhance your cyber defenses, gain application-level visibility, distribute new cybersecurity policies at scale, and respond to new cyber threats and developments within the Ukraine-Russia conflict in minutes, hours or days.
How Illumio stops cyber threats in the real world
Many of the world’s most innovative organizations use Illumio to segment their networks and improve their security defenses.
Illumio is used by:
- More than 15 percent of the Fortune 100
- 6 of the 10 largest global banks
- 5 of the leading insurance companies
- 3 of the 5 largest enterprise SaaS companies
Our customers have used Illumio for visibility and segmentation within modern, enterprise-scale networks. A few recent examples include:
- Un site de commerce électronique sécurise 11 000 systèmes et passe avec succès un audit critique
- Une plateforme SaaS de premier plan protège 40 000 systèmes dans le cadre d'une automatisation complète de DevOps, y compris en matière de politiques et d'application
- Une grande banque dépositaire isole 1 billion de dollars par jour de transactions financières sous le contrôle de la réglementation fédérale
Voici ce que disent les clients à propos d'Illumio.
« Illumio a comblé une lacune pour laquelle il n'existait aucune solution auparavant. Outre le respect des réglementations de conformité, nous avons constaté des améliorations drastiques de notre posture de sécurité globale. »
— Steffen Nagel, responsable des technologies de l'information, Frankfurter Volksbank (Lire l'étude de cas complète)
« Illumio Core nous permet de déployer les modifications apportées au pare-feu beaucoup plus rapidement qu'auparavant. Auparavant, cela prenait des jours ou des semaines. Maintenant, cela ne prend que quelques minutes ou quelques heures. »
— Nick Venn, responsable de la collaboration mondiale et de la cyberinfrastructure, QBE (Lire l'étude de cas complète)
« Illumio Core s'est révélé techniquement supérieur, non seulement en termes de ses offres, mais également en termes de fonctionnalités et de fonctionnement. Il s'agit de la solution la plus mature qui tienne ses promesses de manière stable et cohérente. »
— Jacqueline Teo, directrice numérique, HGC Global Communications (Lire l'étude de cas complète)
Défendez-vous dès aujourd'hui contre les cyberattaques et les cybermenaces liées au conflit entre l'Ukraine et la Russie
Nous sommes confrontés à un avenir incertain. Il n'y a aucun moyen de prédire l'évolution du conflit entre l'Ukraine et la Russie, ni comment il se terminera, ni quelles en seront les conséquences pour le monde.
Cependant, nous savons une chose : vous ne pouvez plus attendre pour améliorer vos défenses en matière de cybersécurité. En l'espace de quelques semaines, nous avons observé en temps réel les conséquences dramatiques de ce conflit en matière de cybersécurité pour le monde entier. Vous devez développer autant de cyberrésilience que possible, le plus rapidement possible, pour vous préparer à tout ce qui va suivre.
Nous contacter dès aujourd'hui pour planifier une consultation et une démonstration de la manière dont Illumio peut aider à renforcer la cyberrésilience de votre organisation.
Ou découvrez comment mieux vous protéger contre les rançongiciels. Téléchargez notre guide Comment arrêter les attaques de rançongiciels.