.png)
3 étapes pour empêcher la propagation des rançongiciels
Dans un post précédent, nous avons exploré le concept de visibilité et la manière dont il peut vous aider à identifier les voies potentielles pour ransomware et d'autres malwares à propager. Suivant, nous avons expliqué comment visualiser, quantifier et atténuer les risques liés aux vulnérabilités.
Une fois ces éléments en place, vous êtes désormais bien placé pour vous arrêter ransomware sur sa lancée, en utilisant des mesures à la fois proactives et réactives.
Pourquoi les rançongiciels sont-ils si efficaces ?
UNE Analyse 2020 montre que les entreprises ont perdu 21 milliards de dollars en raison des interruptions provoquées par des attaques de rançongiciels. Ce chiffre à lui seul montre à quel point les tactiques de ransomware sont efficaces. Pourquoi les rançongiciels sont-ils si lucratifs pour les criminels ? La faiblesse humaine est une vulnérabilité facilement exploitable qui peut être renforcée grâce à une prise de conscience des menaces de sécurité. Le matériel et les logiciels obsolètes constituent une autre vulnérabilité dont bénéficient les criminels de rançongiciels.
L'une des considérations importantes qui rendent les rançongiciels si efficaces est le manque de défenses technologiques auxquelles sont confrontées de nombreuses entreprises. Heureusement, grâce à la mise en place de stratégies et de technologies appropriées, la propagation des rançongiciels peut être empêchée.
Voici comment procéder.
Meilleures pratiques pour stopper les rançongiciels
Les rançongiciels font des ravages dans les entreprises, grandes et petites, dans tous les grands secteurs d'activité. Mais il a un talon d'Achille. Il évolue généralement selon un schéma très prévisible.
Tout d'abord, les malwares pénètrent dans l'environnement informatique d'une entreprise par une voie vulnérable. Ensuite, si rien n'est fait, il se répand, souvent sur des semaines ou des mois, en toile d'araignée sur les réseaux, les appareils et les serveurs. Enfin, quelqu'un actionne l'interrupteur pour l'activer une fois qu'il est en place, et le ransomware semble surgir de nulle part.
Ce processus peut se produire parce qu'il est relativement facile de se déplacer latéralement dans la plupart des environnements, car les pare-feux se trouvent généralement au-dessus des centres de données et non à proximité des systèmes qu'ils protègent.
Stopper la propagation des rançongiciels, des malwares et d'autres cyberattaques implique un processus en trois étapes :
1. Fermez les ports et vecteurs risqués que les rançongiciels peuvent utiliser pour pénétrer initialement dans vos systèmes.
2. Mettez en place des barrières pour empêcher les malwares de se déplacer latéralement dans votre environnement s'ils y pénètrent.
3. Améliorez votre réponse après une intrusion en mettant en place des politiques secondaires à activer pour la réponse aux incidents.
1. Éliminez les connexions inutiles
Tout commence par isolant actifs essentiels en éliminant les communications inutiles.
Pensez à la vidéoconférence, par exemple. Il n'y a généralement aucune raison valable pour que l'ordinateur portable de l'hôte d'une conférence communique directement avec un autre appareil connecté à la conférence via des ports RDP ou SMB. Les administrateurs peuvent donc fermer ces ports sur les deux appareils sans aucun impact sur le reste de l'environnement. Autre exemple : dans la plupart des cas, vous pouvez désactiver les anciens protocoles FTP et Telnet très vulnérables de votre environnement.
En autorisant uniquement les communications nécessaires et en éliminant les chemins inutiles entre les appareils et les réseaux, vous pouvez réduire les flux de travail et les machines contenir un ransomware.
Vous pouvez le faire en bloquant toutes les communications via des ports individuels, comme dans les exemples ci-dessus, pour une seule application, au sein d'une zone géographique ou sur l'ensemble d'un réseau.
Pour de meilleurs résultats, vous devez mettre en œuvre de tels contrôles de manière proactive et réactive :
- Agir de manière proactive signifie fermer tous les ports inutilisés de votre centre de données ou d'autres zones avant qu'une attaque ne se produise, comme si vous verrouillez la porte d'entrée lorsque vous vous couchez le soir.
- Agir de manière réactive signifie répondre aux incidents en mettant en place des politiques que vous pouvez activer lorsque vous savez ou soupçonnez la présence de logiciels malveillants n'importe où dans votre environnement.
Commencez par placer des anneaux de protection autour de vos applications ou actifs les plus importants. Ainsi, si un logiciel malveillant pénètre un appareil ou un réseau de votre environnement, il restera étroitement confiné dans une petite zone, sans toucher au reste.
Comme nous l'avons exploré dans notre post précédent, certains ports présentent plus de risques que d'autres et devraient être fermés en priorité. Il s'agit notamment de ports hautement connectés que seule une poignée de serveurs utilisent peut-être pour communiquer avec les autres systèmes d'un centre de données.
Dans la plupart des cas, les serveurs autres que ceux de gestion ne doivent jamais utiliser de ports vulnérables tels que les ports RDP et SMB qui permettent la communication d'égal à égal. La bonne nouvelle, c'est que ces ports constituent le plus des vecteurs d'attaque des logiciels malveillants. En d'autres termes, si vous limitez les entrées telles que RDP, SMB et Win RM, vous pouvez éliminer la plupart des logiciels malveillants qui apparaissent dans les actualités.
Prenez également en compte les ports connus utilisés par les bases de données et les services principaux. Cette liste inclut les applications et les services généralement intégrés dans les distributions Linux. Nombre d'entre eux sont fondamentalement très anciens et présentent des vulnérabilités accumulées au fil des années.
Heureusement, c'est simple, contrôles basés sur les risques et les politiques applicables au côté entrant de n'importe quelle machine d'un centre de données peuvent vous aider à maîtriser ces vulnérabilités bien connues afin de stopper les logiciels malveillants.
En ce qui concerne les ports sortants, la plupart des serveurs du centre de données n'ont aucune raison de communiquer avec Internet ou peut-être uniquement de manière spécifique et clairement définie.
En renforçant la communication pour empêcher les données non autorisées de quitter l'entreprise, vous pouvez empêcher la fonction de commande et de contrôle des rançongiciels de téléphoner à votre domicile pour déclencher des bombes de chiffrement meurtrières.
Bien entendu, vous pouvez faire de même avec les systèmes cloud et les autorisations d'accès utilisateur trop étendues. Limitez simplement le trafic sortant, en contrôlant quand et comment les applications, les appareils et les utilisateurs communiquent avec l'Internet au sens large. De cette façon, vous pouvez rapidement mettre en œuvre des stratégies de confinement des rançongiciels.
Il s'agit d'isoler les actifs infectés et de protéger le reste de votre environnement. Et une bonne visibilité de votre environnement peut vous permettre d'aller encore plus loin en révélant des tendances au fil du temps.
2. Utilisez la visibilité pour vous protéger contre les ransomwares
Dans notre post précédent, nous montrons comment Illumio prend en charge les données de connexion et les flux d'informations provenant des routeurs, des commutateurs et d'autres infrastructures sur site, ainsi que des clouds et des systèmes pour les utilisateurs finaux.
Illumio utilise ces informations pour créer des cartes de dépendance des applications pour les professionnels de l'informatique et des interfaces API pour l'automatisation de la sécurité.
Ces informations permettent aux administrateurs de prendre des décisions de haute qualité et sans regrets quant aux actifs qui doivent être associés aux autres actifs. Ils peuvent ensuite élaborer des politiques proactives, essentiellement en créant des barrières et en limitant les actifs et les systèmes critiques, qui fonctionnent sur les machines, les pare-feux natifs du cloud, les commutateurs réseau, etc. pour se protéger contre les menaces.
En fin de compte, une brèche entre deux utilisateurs ne devrait pas affecter les autres utilisateurs ou les actifs du cloud ou du centre de données, et une bonne visibilité peut mettre en évidence une telle vulnérabilité potentielle avant une attaque.
3. Améliorez la réponse après une intrusion
Illumio contribue également à la réponse post-intrusion.
Supposons, par exemple, que vous repérez une activité suspecte se déplaçant dans votre environnement. Dans ce cas, vous souhaiterez peut-être mettre en place des barrières pour protéger vos bases de données principales, PCI systèmes de paiement, dossiers médicaux, informations commerciales et autres actifs sensibles.
Ce qu'il faut dans ce cas, c'est une capacité de confinement qui pourrait être plus restrictive que celle que vous souhaitez utiliser dans le cadre des opérations quotidiennes. Son objectif est de stopper la propagation des malwares à la source.
Avant toute attaque, les administrateurs informatiques peuvent souhaiter créer des politiques secondaires à activer dans le cadre de leur manuel de réponse aux incidents. L'idée est d'isoler et de protéger les systèmes en éliminant la connectivité susceptible d'entraîner des compromis. Au lieu de cela, la politique de confinement bloque la propagation des programmes malveillants, par exemple en limitant les communications RDP non essentielles.
Illumio y contribue en permettant aux administrateurs de détecter le trafic de manière inattendue et de mettre en œuvre rapidement des politiques coupant les connexions indésirables.
Au-delà des pare-feux
Avec Illumio, vous pouvez voir les charges de travail exécutées dans votre environnement, qu'elles se trouvent dans un centre de données, dans le cloud ou entre ces environnements, par exemple entre les charges de travail Web et de base de données.
À l'aide de cette carte visuelle, vous pouvez rapidement fermer la porte en cas de circulation dangereuse. En utilisant le protocole RDP comme exemple de méthode courante utilisée par les rançongiciels pour passer d'une charge de travail à une autre, vous pouvez créer une règle qui bloquera uniquement ce trafic. Vous pouvez également définir des barrières en fonction des métadonnées, telles que des étiquettes pour différents types de charges de travail et d'emplacements physiques.
Vous pouvez considérer ces barrières comme une sorte de pare-feu inversé. En effet, dans les pare-feux, vous créez généralement des règles définissant le trafic souhaité, tout le reste étant interdit par défaut. Illumio vous permet d'inverser ce flux de travail pour définir d'abord le trafic refusé. Vous pouvez ensuite faire des exceptions pour activer les communications dans des cas individuels.
Et tout est automatisé, ce qui vous permet de créer des politiques d'urgence que vous pouvez lancer à tout moment pour protéger votre environnement de toute attaque en quelques clics.
En résumé, Illumio fournit la visibilité dont vous avez besoin pour repérer les charges de travail et les machines vulnérables, fermer les ports inutiles avant une attaque et isoler les infections malveillantes avant qu'elles ne se propagent. Cette combinaison de contrôles proactifs et réactifs vous aide à empêcher rapidement les attaques de devenir des cybercatastrophes.
Découvrez comment Illumio empêche la propagation des rançongiciels :
- Lisez le livre électronique, Comment arrêter les attaques de rançongiciels.
- Découvrez-le en action dans le webinaire, Un ransomware se produit. Nous l'empêchons de se propager : prenez des mesures pour contenir les rançongiciels.
