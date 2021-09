Avec toute attaque de ransomware ou événement de sécurité, il y aura un avant, un pendant et un après. Comprendre comment protéger votre organisation à chaque phase, c’est comprendre comment se déroule une attaque.

Dans cet article, je vais commencer par l’avant d’une attaque et discutez de ce que vous devez faire et mettre en place pour vous assurer de combler les lacunes qui créent des vulnérabilités et des avancées pour les attaquants.

Que se passe-t-il avant une attaque ?

En règle générale, avant qu’une attaque ne se produise ou qu’une brèche ne se produise, quelques éléments se produisent :

Les attaquants effectueront une reconnaissance sur leur cible. [Add? They will learn if you have cybersecurity insurance, where from, and how much it’s for. They’ll assess your critical operations and supply chain to determine where an attack can do the worst damage, etc.]Les attaquants lancent une campagne. Cela se produit généralement par courrier électronique, vous incitant à installer un petit logiciel qui “téléphonera à la maison” et servira de porte vers l’environnement cible.Les attaquants « habiteront » dans l’environnement. Une fois à l’intérieur, ils peuvent s’attarder sans être détectés et attendre le pire moment possible (pour vous) pour déployer leur charge utile de ransomware. Cela analysera et mappera le réseau cible et se propagera aux systèmes locaux et cloud, mappés et non mappés.

Que pouvez-vous faire pour les repousser et empêcher une attaque réussie ?

5 façons de combler les lacunes de sécurité avant une attaque

Ces 5 éléments sont essentiels pour vous aider à renforcer vos défenses de manière proactive et à parer à une attaque :

1. Effectuez une bonne hygiène des données sur les systèmes. (La gestion des correctifs est la clé.)

Les systèmes d’exploitation non pris en charge et les logiciels non corrigés ouvrent la porte aux infections de logiciels malveillants et à d’autres exploits d’attaquants. Une fois que les acteurs de la menace ont accès à l’environnement, ils recherchent méthodiquement les systèmes clés et les données sensibles à exploiter.

C’est pourquoi il est avantageux d’avoir un programme de gestion des correctifs bien défini qui favorise la mise en œuvre des correctifs et des mises à jour peu de temps après leur publication, avec un objectif de trois à sept jours pour les correctifs et mises à jour critiques et pas plus de 30 jours pour les autres. Dans de nombreux cas, au moment où un fournisseur publie un correctif, les cybercriminels sont déjà conscients de la vulnérabilité et ont développé ou sont sur le point de développer un outil pour l’exploiter. Par exemple, le ransomware WannaCry était répandu parce que les organisations ciblées n’ont pas réussi à mettre à jour les systèmes utilisant des systèmes d’exploitation plus anciens même si un correctif avait été publié et était disponible pendant un certain temps.¹

Les erreurs de configuration du système peuvent également entraîner des violations. Des ports ouverts et des pare-feu ou des routeurs mal configurés peuvent permettre aux pirates d’accéder à votre réseau ou fournir des informations sur le réseau pouvant conduire à l’accès.

Astuce : essayez une approche ludique des programmes de gestion des correctifs. Cela peut illustrer les performances de chaque unité commerciale les unes par rapport aux autres : aucune équipe ne veut être la plus lente ! Cela peut motiver et inciter les équipes à s’améliorer.

2. Implémentez l’authentification multifacteur et le stockage des informations d’identification d’administrateur pour tous les systèmes.

De mauvaises pratiques de gestion des mots de passe et des terminaux mal sécurisés peuvent créer des vulnérabilités. Mais les mots de passe et les informations d’identification avec un accès privilégié sont particulièrement précieux. Le stockage des informations d’identification et des informations d’identification d’administrateur offre des garanties supplémentaires pour les informations d’identification des ressources partagées sur votre réseau, offrant un référentiel avec des mots de passe automatiquement actualisés après chaque connexion.

Si un employé utilise le même mot de passe pour plusieurs comptes personnels et d’entreprise et que l’un des comptes est compromis, les attaquants peuvent accéder aux autres comptes à l’aide des informations d’identification compromises. L’authentification multifacteur ajoute des étapes et une sécurité supplémentaires, nécessitant un appareil personnel ou des données biométriques pour prouver l’identité.

3. Fournir une journalisation cohérente dans tout l’environnement

Les journaux de sécurité et d’accès sont absolument essentiels pour vous aider à identifier la source d’une attaque, ou « patient zéro ». Plus tôt vous pourrez le faire, plus tôt vous pourrez appliquer les correctifs nécessaires et restaurer une sauvegarde propre. Après une attaque, ces journaux vous permettent également de fournir la preuve de conformité requise aux organismes de réglementation, dans laquelle vous pouvez décrire ce qui s’est passé et démontrer que votre organisation prenait, en fait, les précautions nécessaires.

Il ne suffit pas de maintenir les journaux de sécurité. Ceux-ci doivent également être protégés des pirates informatiques, qui cibleront ces journaux pour les supprimer ou les modifier afin de couvrir leurs traces. Vous pouvez en savoir plus sur pourquoi et comment protéger les journaux de sécurité dans cet article.

4. Mettre en œuvre une plate-forme d’analyse rapide pour aider à identifier les signes d’acteurs menaçants dans l’environnement. Les « chasseurs de menaces » peuvent activement rechercher et nettoyer les indicateurs de compromission.

Des analyses rapides et en temps réel peuvent aider à détecter les comportements suspects, les anomalies et plus encore pour vous alerter de la possibilité d’une attaque. Si une activité inhabituelle se produit dans votre environnement, les plateformes d’analyse rapide la détecteront avant qu’il ne soit trop tard. Les chasseurs de menaces peuvent les identifier et les éradiquer avant que vos données ne soient largement compromises.

Conseil : Votre architecture doit être conçue en tenant compte de la résilience et de la durabilité. Par exemple, la mise en œuvre d’instantanés SafeMode™ à partir de Pure Storage® peut protéger les données de sauvegarde critiques contre la suppression.

5. Organisez régulièrement des formations et des tables de sensibilisation à la sécurité en mettant l’accent sur les ransomwares

Les employés peuvent être le maillon faible d’une entreprise, en particulier en ce qui concerne les cybermenaces. Les employés sont fréquemment victimes d’escroqueries par hameçonnage par e-mail, l’un des vecteurs d’attaque de ransomware les plus courants . Les e-mails de phishing incitent les utilisateurs à télécharger des pièces jointes de logiciels malveillants ou à cliquer sur des liens menant à un contenu compromis avec un code malveillant caché. Des politiques de sécurité des mots de passe inadéquates peuvent entraîner une usurpation d’identité ou un accès non autorisé à des informations de haut niveau.

Les appareils distants sur le réseau de l’entreprise, utilisant des logiciels ou des systèmes d’exploitation obsolètes, peuvent également ouvrir la porte à des cyberattaques. Sans clair jeInternet et les politiques de messagerie, les employés ne sauront pas comment accéder, utiliser et partager des données sensibles en toute sécurité, ou quelles informations doivent et ne doivent pas être partagées par e-mail. Les politiques d’accès aux données garantissent que chaque employé n’a accès qu’aux systèmes et aux données dont il a besoin pour effectuer son travail.

Conseil : Mettez en œuvre une formation de sensibilisation des utilisateurs finaux et mesurez son efficacité. Cela vous aidera à identifier les points faibles où vous devez faire un suivi. Au niveau du conseil d’administration et des cadres supérieurs, des exercices sur table doivent être effectués au moins une fois par an pour s’assurer que tout le monde connaît le plan de match en cas d’attaque.

Autres vulnérabilités à noter

La transition vers le travail à distance et les politiques BYOD (Apportez votre propre appareil) a augmenté les attaques contre les terminaux mobiles. Le protocole RDP (Remote Desktop Protocol) non sécurisé, ainsi que les points de terminaison des bureaux virtuels et les erreurs de configuration du réseau, créent des vulnérabilités pouvant conduire à des attaques de ransomware. Les terminaux mal sécurisés peuvent être exposés au piratage Wi-Fi et aux attaques de l’homme du milieu, entraînant l’exposition du réseau de l’entreprise et des données sensibles.

RDP est le deuxième vecteur d’attaque de ransomware le plus couramment exploité et est souvent utilisé par les attaquants pour obtenir un accès inaperçu aux réseaux de l’entreprise. La sécurité des connexions RDP peut être explicitement définie, mais dans de nombreux cas, les connexions sont protégées par des mots de passe faibles et utilisent un port standard par défaut bien connu, qui est également mal sécurisé. Les informations d’identification RDP peuvent également être achetées sur le dark web, et une fois les informations d’identification obtenues, les pirates peuvent contourner la sécurité des points de terminaison pour accéder aux systèmes d’une entreprise.

Protégez vos données avec Pure StorageⓇ

Bien qu’il ne soit pas possible de se prémunir contre toutes les menaces de sécurité connues, connaître les vulnérabilités courantes qui provoquent les attaques de ransomware peut vous aider à créer le bon plan pour minimiser vos risques avant qu’une attaque ne se produise.

Pure peut vous aider au stade « avant » en

Fournir un accès à un grand pool de données analytiques et au traitement analytique le plus rapide pour identifier les menacesProtection contre les erreurs administratives internes

Pour plus d’informations et de conseils sur les étapes suivantes, consultez ces deux ressources utiles :

Restez à l’écoute pour les parties 2 et 3 où j’entrerai dans les menaces et les sauvegardes pendant et après une attaque.

https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/wannacry-ransomware-attack

Auteur : Andy Stone

Andy Stone est un cadre informatique accompli avec une passion pour la technologie et la création de solutions innovantes qui résolvent les problèmes et produisent des résultats. En tant que CTO pour les Amériques chez Pure Storage, Andy se concentre sur la fourniture de technologies de stockage et de protection des données de nouvelle génération qui aident les entreprises à obtenir de meilleures informations, à améliorer les délais de mise sur le marché et… Voir le profil complet ›