Comment prévenir les attaques de ransomware avant qu'elles ne frappent ?
Superman a sa forteresse de solitude. Batman a sa Batcave. Même Doctor Strange a son indétectable Sanctum Sanctorum. Avec les cybercriminels qui parcourent les paysages numériques d'aujourd'hui, vous ne pouvez pas vous empêcher de chercher une forteresse de données qui puisse repousser le pire des pires - le ransomware.
Lorsqu'un ransomware frappe, l'avenir de toute votre entreprise dépend de ce que vous pouvez récupérer et de la rapidité avec laquelle vous pouvez le faire. Il ne s'agit pas d'une hyperbole.
Selon la National Archives & Records Administration de Washington, 93 % des entreprises ayant perdu leur centre de données pendant plus de dix jours ont fait faillite dans l'année qui a suivi la catastrophe. La moitié de ces entreprises ont déposé leur bilan immédiatement.
Votre entreprise vit et meurt de sa capacité à accéder à ses données, à les protéger et à les utiliser. Mais s'il est utile de comprendre la menace, il est bien plus important de construire une forteresse numérique qui protégera vos données 24 heures sur 24.
C'est la différence entre la prévention et l'atténuation, et c'est le seul moyen de s'assurer que vous n'aurez jamais à prendre cette décision difficile de payer des millions en crypto-monnaie à un méchant du sous-sol ou de dire adieu à vos données (et à votre entreprise) pour toujours.
Pour prendre de l'avance, il est essentiel de comprendre le paysage des attaques de ransomware d'aujourd'hui et les solutions les plus courantes, ainsi que la façon dont Panzura peut aider à détecter et à neutraliser les attaques inévitables.
Le paysage de la cybersécurité : La montée en puissance des rançongiciels
La Cybersecurity & Infrastructure Security Agency (CISA) du gouvernement américain et le Multi-State Information Sharing and Analysis Center (MS-ISAC) classent les ransomwares comme des logiciels malveillants "conçus pour crypter les fichiers d'un appareil, rendant ainsi inutilisables les fichiers et les systèmes qui en dépendent". Les acteurs malveillants demandent ensuite une rançon en échange du décryptage".
Les cybercriminels ne font pas de distinction entre les services critiques et les infrastructures vitales. Ils s'attaquent à des cibles d'opportunité - celles qui sont susceptibles de payer la rançon. En fait, de nombreux acteurs malveillants ajoutent désormais une couche d'extorsion à la perte de données en menaçant de rendre publiques les données volées si leurs demandes ne sont pas satisfaites. Selon la CISA, ils ont même commencé à se déplacer latéralement sur les réseaux pour propager plus efficacement leurs virus malveillants. Ils ciblent ensuite les sauvegardes des systèmes pour les supprimer, ce qui rend la restauration et la récupération encore plus difficiles, voire impossibles. Ils veulent que vous soyez à leur merci et que vous n'ayez d'autre choix que de leur verser des millions.
Les criminels sont très résistants dans leur domaine. Ils migrent et se déplacent au gré des ombres - les rançons PayPal sont remplacées par des bitcoins. Les remises sont négociables. Les données peuvent être divulguées, mais il est probable qu'ils en ont fait une copie qu'ils exploiteront pour réaliser des profits supplémentaires. Certains ciblent même explicitement les systèmes de santé dans le sillage de COVID-19, en raison des inquiétudes accrues des citoyens quant à leur accès aux soins.
Si vous passez quelques minutes à parcourir les rapports du SonicWall Capture Lab sur le paysage des menaces, vous découvrirez qu'il évolue rapidement, et pas en votre faveur. Voici quelques exemples :
- Les développeurs de Ransomware-as-a-Service (RaaS), tels que DarkSide, augmentent le nombre de mauvais acteurs en abaissant la barre du savoir-faire technologique et en partageant les gains mal acquis avec des "affiliés". Certains se concentrent même sur la "chasse au gros gibier", en s'attaquant à de grandes organisations publiques et bien dotées dont ils savent qu'elles ont les moyens de payer. (Apparemment, il s'agit aussi d'une sorte de geste noble par respect pour les hôpitaux, les écoles, les organisations à but non lucratif et les services publics que d'autres malfaiteurs moins scrupuleux ciblent. Mais il s'agit toujours d'un pistolet numérique pointé sur la tête de vos données).
- Il existe également des ransomwares "de conception", tels que le virus Black Basta de Fin7, qui a dérobé 1 milliard de dollars à plus de 90 organisations en l'espace de six mois seulement.
- Bien sûr, il y a AtomSilo, qui chiffre vos fichiers, obtient des informations sensibles (comme les données personnelles des employés), puis propose une fenêtre de 48 heures pour une rançon de 500 000 dollars, qui double rapidement pour atteindre 1 million de dollars sans paiement. Si la rançon n'est toujours pas payée, les victimes reçoivent une menace selon laquelle toutes les données privées seront rendues publiques.
Le match d'échecs : Solutions et évolutions communes
Ce jeu du chat et de la souris qu'est la gestion des vulnérabilités peut, à première vue, sembler pouvoir être gagné avec les bons talents, des systèmes de détection et de réponse de pointe et des politiques et procédures de sécurité rigoureuses.
Quelle que soit l'approche adoptée, les experts en cybercriminalité, dont CISA, le MS-ISAC et le FBI, s'accordent tous sur un conseil : NE PAYEZ PAS LA RANÇON. L'envoi de crypto-monnaies à un internaute du dark web ne garantit rien. Cela ne garantit pas que vos données seront décryptées et ne protège pas magiquement les données d'une compromission lorsqu'elles sont renvoyées.
Ces organismes fédéraux d'application de la loi proposent en revanche de nombreuses bonnes pratiques informatiques qui contribueront à réduire le risque que des ransomwares ne parviennent à vos données. Il s'agit tout d'abord de comprendre les vecteurs d'attaque les plus courants :
- Les vulnérabilités et les mauvaises configurations orientées vers l'internet, telles que les navigateurs web et les plug-ins, les ports et protocoles inutilisés tels que le Remote Desktop Protocol [RDP] ou le Transmission Control Protocol [TCP] Port 3389 ou TCP Port 445, les versions obsolètes de Server Message Block telles que v1 ou v2, et littéralement tout logiciel ou système d'exploitation non corrigé ou non mis à jour.
- Hameçonnage par le biais de courriels falsifiés ou modifiés provenant de domaines valides, ingénierie sociale et macro-scripts dans des fichiers Microsoft Office intégrés.
- Les logiciels malveillants précurseurs tels que TrickBot, Dridex ou Emotet s'appuient sur une activité de commande et de contrôle pour infiltrer votre réseau et ne lâchent souvent un ransomware que pour couvrir d'autres méfaits encore plus néfastes au sein d'un système.
- Les tiers tels que les fournisseurs de services gérés, qui stockent les sauvegardes de votre organisation et sont susceptibles d'être infiltrés ou usurpés, même par le biais de comptes de messagerie électronique compromis.
Cela représente un grand nombre de voies d'accès potentielles à un système. Pour une protection maximale, vous devez couvrir toutes les entrées simultanément. Voici les règles d'or en matière d'atténuation des ransomwares que vous pouvez utiliser pour défendre cette myriade de couches d'exposition :
- Effectuez toutes les mises à jour logicielles nécessaires le plus tôt possible. Cela comprend les systèmes d'exploitation, les applications, les microprogrammes, etc.
- Exiger une authentification multifactorielle pour tout accès au réseau.
- Exploiter les politiques de sécurité basées sur les comptes pour contrôler l'accès à un niveau granulaire.
- Soyez vigilants. Ne cessez jamais de surveiller vos systèmes.
En d'autres termes, la vigilance et le dévouement sont les meilleurs outils de votre arsenal anti-Ransomware.
Votre équipe informatique doit être implacable dans la surveillance des comportements humains stupides qui font de l'hameçonnage et de l'ingénierie sociale de tels pots de miel de la mort numérique. Votre segmentation et votre compartimentage doivent être étanches pour empêcher le navire de couler lorsque la coque est percée.
Les ransomwares constituent même une menace pour les actifs et les systèmes de contrôle des technologies opérationnelles (OT), ce qui élargit encore le territoire que vous devez défendre et vous oblige à couvrir un plus grand nombre de voies possibles en cas d'attaques numériques mortelles.
C'est une lourde charge à porter. Vos sauvegardes doivent être impeccables. Votre temps de réaction, affûté au millième de seconde. Vous ne pouvez pas vous permettre de manquer votre coup, même une seule fois. Les cybercriminels, quant à eux, n'ont de chance qu'une seule fois, quel que soit le nombre de tentatives pour trouver une faille dans votre armure. Malheureusement, les chances ne sont jamais en votre faveur.
Il doit bien y avoir quelque chose de mieux que des sauvegardes cryptées hors ligne stockées chaque nuit dans un coffre-fort de banque avec accès par balayage rétinien. Plus sérieusement, compter sur des sauvegardes matérielles pour protéger l'intégrité des données qui constituent l'élément vital de votre entreprise n'est pas du tout préventif.
Ce qu'il vous faut, c'est un moyen d'empêcher les ransomwares d'avoir un quelconque pouvoir sur votre système. Mettez fin à la menace avant qu'elle ne touche votre système, et vous aurez gagné.
La réponse inattendue : Aller au-delà de l'atténuation
Résilience automatisée. Ces deux mots résolvent la question de la prévention des ransomwares dans le paysage actuel des menaces. Grâce à l'immuabilité du back-end de CloudFS, Panzura garantit que tous les fichiers d'un déploiement sont effectivement à l'abri des ransomwares. fichiers d'un déploiement sont effectivement immunisés contre les ransomwares. En cas d'attaque, Panzura restaure simplement vos fichiers à une version non infectée et marque les fichiers touchés comme étant en "lecture seule". Vos outils antivirus peuvent alors les détecter et les supprimer facilement.
PanzuraEn matière de cybersécurité, notre approche ne vise pas à stopper toutes les attaques de ransomware, car elles se produiront. Nous nous concentrons plutôt sur la récupération de l'infection sans perte de données. Ce type de sécurité immuable garantit que vos données sont accessibles de la périphérie au cœur et au nuage sans pénalité de performance, tout en les gardant invulnérables à la perte.
Nous proposons une architecture de données résiliente qui offre une protection intégrée contre la suppression ou l'endommagement accidentel des données, qu'il s'agisse d'un logiciel malveillant, d'un ransomware ou d'un employé mécontent. Le format "Write Once, Read Many" que nous utilisons pour le stockage des objets est véritablement immuable, ce qui signifie que les données ne peuvent pas être modifiées. Les nouveaux fichiers ou les données créées par des modifications de fichiers sont stockés en tant que nouveaux blocs de données affiliés. Rien n'est jamais écrasé.
Des instantanés fréquents du système capturent chaque emplacement dans le CloudFS, ce qui vous permet de restaurer en toute transparence n'importe quel fichier à n'importe quel moment. De plus, comme ils sont en lecture seule, ils ne peuvent pas être modifiés une fois qu'ils ont été capturés. Ils ne peuvent tout simplement pas être compromis. Panzura est fondamentalement résistant aux ransomwares. Bien qu'aucune solution ne puisse empêcher les attaques ou défendre toutes les voies, Panzura garantit que vos données restent entre vos mains. Nous avons changé les règles du jeu en utilisant le stockage d'objets dans le nuage, et aucun phishing, port négligé ou correctif logiciel obsolète ne permettra aux cybervillains de s'emparer de vos données. Avec plus de 34 brevets (et ce n'est pas fini), notre approche est vraiment unique.
Les ransomwares vont continuer à évoluer. À mesure que les systèmes de détection des menaces alimentés par l'IA améliorent leur capacité à surveiller les innombrables vecteurs d'attaque qui dépassent les capacités de l'équipe informatique la plus avancée, les génies obscurs à l'origine de ces prises d'otages de données trouveront de nouveaux moyens d'infiltrer, de corrompre et de s'emparer de vos données. La seule solution qu'ils ne peuvent pas pénétrer est celle qui ne joue pas leur jeu.
Les données immuables sont la réponse aux ransomwares. C'est aussi le seul moyen de garantir que vous n'aurez jamais à vous demander si vous devez ou non payer la rançon.