Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Se recentrer sur les ransomwares : 3 vérités pour construire un réseau prêt pour les ransomwares

Illumio Editorial
Illumio Editorial
Octobre 7, 2022
23 min. lire

Avec le lancement du mois national de la sensibilisation à la cybersécurité, le seul sujet dont vous entendrez parler est sans aucun doute celui des rançongiciels (ransomware).   

Cela n'a rien de surprenant puisque le ransomware est le type de cyberattaque le plus courant auquel les organisations sont confrontées.  

Vous devez être prêt à affronter le moment où vous recevrez un appel téléphonique vous informant que quelque chose de suspect a été détecté dans votre environnement.  

Ce mois-ci, concentrez-vous sur trois "vérités" importantes que toutes les organisations doivent accepter et mettre en pratique afin d'établir une base solide pour protéger votre réseau contre la propagation d'une attaque par ransomware.  

Nathanael Iversen, évangéliste en chef d'Illumio, vous explique comment vous assurer que votre organisation est prête à faire face aux ransomwares :


Poursuivez votre lecture pour en savoir plus.

Vérité n° 1 : concevez votre réseau de manière proactive en prévision d'une attaque par ransomware 

Imaginez que vous receviez un appel. À ce moment-là, quel que soit le réseau de technologies de détection et de capteurs que vous avez choisi, il aura fait son travail et les capacités de réponse aux incidents seront essentielles. Après tout, vous ne pouvez répondre qu'avec ce qui est déjà déployé, actif et soigneusement préparé.   

Personne n'a le temps de développer de nouvelles capacités à la volée lorsqu'une attaque est en cours.    

Lorsque les architectes conçoivent des bâtiments, ils sont tenus de prévoir des portes coupe-feu pour chaque étage, chaque bureau et chaque entrée de cage d'escalier. Ces portes sont souvent laissées ouvertes ou fonctionnent comme des portes normales la plupart du temps.  

Mais si un incendie se déclare, ces portes contiennent le feu et la fumée et permettent aux personnes de quitter le bâtiment en toute sécurité.   

Trois capacités vous permettront de disposer de ces "portes coupe-feu" pour répondre efficacement à une attaque de ransomware et en minimiser l'impact : 

  1. La possibilité de visualiser sur les flux de trafic et le rayon d'attaque. Il n'est pas utile de disposer d'un grand nombre de données NetFlow. À l'heure actuelle, il est essentiel de disposer de cartes de dépendances d'applications complètes et automatisées et de pouvoir interroger l'activité sur n'importe quel port du réseau. Ensemble, il devient possible de savoir exactement où une attaque se trouve, s'est trouvée et tente de se rendre. 
  2. Viennent ensuite les politiques desécurité prédéfinies qui permettent de fermer certaines parties du réseau et de créer des zones de sécurité partout où l'attaque n'a pas encore eu lieu. Cela empêche les ransomwares de se propager et crée les "zones propres" dans lesquelles les machines infectées seront déplacées après avoir été désinfectées. 
  3. Enfin, deslimites strictes doivent être placées autour de toute machine compromise afin d'éliminer les connexions avec les réseaux de commandement et de contrôle, la propagation ou même la reconnaissance. Il est peu probable que les pare-feu de réseau aient une granularité suffisante pour le faire. Une solution de segmentation préinstallée basée sur l'hôte garantit que les capacités adéquates sont disponibles en cas de besoin.   

Lorsque des logiciels malveillants actifs ont été détectés, tout le monde aimerait disposer de ces trois capacités, et il est donc logique de les mettre en œuvre avant qu'elles ne soient nécessaires. Un confinement efficace permettra de gagner du temps pour mener à bien les activités d'assainissement. 

Vérité n°2 : il vaut mieux éliminer le risque que le gérer 

Une fois qu'une attaque est en cours, il existe de nombreux outils qui promettent de la repérer et d'y remédier.   

Mais il y a une vérité encore plus profonde : une attaque ne peut se propager que par des ports ouverts. S'il n'y a pas de chemin, il n'y a pas de diffusion.   

Chaque port inutilement ouvert qui est fermé réduit le risque. La taille du réseau opérationnel diminue, ce qui élimine les risques et réduit la surface d'attaque.   

Comment y parvenez-vous ? 

  1. Fermer les ports à haut risque, de grande valeur et couramment utilisés de manière abusive. La plupart des rançongiciels commerciaux utilisent une poignée de protocoles bien connus pour se propager, comme RDP et SMB, qui n'ont souvent pas besoin d'être ouverts à l'échelle mondiale. La plupart des spécialistes de la pénétration utilisent des kits d'outils standard pour tenter d'explorer un environnement et rechercher des vulnérabilités courantes sur des ports bien connus.  Dans la plupart des cas, ces ports bien connus ne doivent pas être ouverts globalement. Leur fermeture ne réduit pas le risque ; elle élimine en fait tous ces vecteurs. Pourquoi gérer ce que vous pouvez éliminer ?   
  2. Sécuriser les applications à haute valeur ajoutée. Dans le cas malheureux où quelque chose de mauvais serait découvert dans votre environnement, la première chose à laquelle vous penserez sera les applications et les données les plus précieuses. Il est probable que la compromission soit détectée au niveau de la périphérie ou du point d'extrémité, mais la préoccupation concerne les "choses les plus importantes". À ce moment-là, tout le monde souhaitera qu'elles soient entièrement cantonnées et qu'elles soient assorties d'une politique stricte de segmentation de la confiance zéro. Élaborez cette politique maintenant - elle sera alors en place et ces actifs critiques auront déjà éliminé la plupart des risques liés à une attaque du réseau. 
  3. Contrôler l'accès administratif. La plupart des organisations utilisent des hôtes de saut. Veillez à ce que toutes les formes d'accès administratif soient étroitement contrôlées pour les utilisateurs et les hôtes de saut appropriés à l'environnement. Aucune application ni aucun port ne doit répondre à un accès administratif aléatoire, en particulier depuis l'environnement de l'utilisateur. La réduction radicale de tous les protocoles administratifs élimine de nombreuses catégories d'attaques. 

Les risques qui n'existent pas ne doivent pas être gérés. Et si aucune technologie n'élimine le besoin de technologies complémentaires, il n'en reste pas moins vrai qu'une base solide de segmentation ciblée permet d'éliminer une grande partie du risque de propagation des brèches. 

Vérité n°3 : Vous avez besoin à la fois de la segmentation zéro confiance et de l'EDR pour stopper la propagation des ransomwares. 

La meilleure chose que vous puissiez faire pour éliminer la propagation des brèches est de déployer la segmentation zéro confiance en plus d'un produit de détection et de réponse (EDR) existant pour les points finaux.   

Bishop Fox a récemment mené une série d'attaques par ransomware émulé dans lesquelles les attaquants ont tenté de compromettre un réseau protégé uniquement par le système EDR et un réseau protégé par le système EDR et la segmentation zéro confiance.  

Ils ont constaté que si l'EDR était très efficace pour repérer et finalement remédier à de nombreuses attaques, les réseaux qui étaient également protégés par la segmentation zéro confiance contenaient les attaques quatre fois plus vite, et avec un nombre radicalement moins élevé d'hôtes compromis.   

Plus votre politique de segmentation est efficace, plus votre EDR peut l'être. Donnez à votre EDR des superpouvoirs en ajoutant la segmentation zéro confiance à votre déploiement pour une réactivité maximale.   

Préparez-vous aux inévitables attaques de ransomware 

Les rançongiciels sont un fléau pour l'utilisateur moderne et l'environnement informatique. Mais il est possible de se préparer efficacement pour faire en sorte qu'une violation soit un événement et non une catastrophe.   

En investissant dans un ensemble de politiques de segmentation de la réponse proactive et réactive aux incidents, votre équipe de sécurité disposera d'un contrôle précieux dans les premières minutes critiques d'une réponse.   

Les équipes qui éliminent les risques avant un événement auront toujours moins à faire que celles qui ont laissé les applications critiques largement exposées et les ports et protocoles de gestion à haut risque grands ouverts. Et qui ne voudrait pas que son EDR fonctionne quatre fois plus vite avec moins d'hôtes compromis ?   

La plateforme de segmentation zéro confiance d'Illumio offre ces capacités fondamentales qui élimineront les risques et amélioreront les capacités de réponse.   

Rejoignez-nous la semaine prochaine pour découvrir pourquoi vous devez vous concentrer sur la segmentation zéro confiance pendant ce mois de sensibilisation à la cybersécurité. 

Sujets connexes

No items found.

Articles connexes

Démystifier les techniques de ransomware à l'aide d'assemblages .Net : 5 techniques principales
Ransomware Containment

Démystifier les techniques de ransomware à l'aide d'assemblages .Net : 5 techniques principales

Découvrez 5 techniques de ransomware utilisant le cadre logiciel .Net.

Read more
AWS et Illumio : Aider le secteur de la santé à moderniser sa réponse aux ransomwares
Ransomware Containment

AWS et Illumio : Aider le secteur de la santé à moderniser sa réponse aux ransomwares

Rejoignez Illumio le 21 septembre à 9 heures PST pour un webinaire gratuit sur Amazon Web Services (AWS).

Read more
Pourquoi l'industrie manufacturière doit-elle sécuriser les ressources IIoT contre les ransomwares ?
Ransomware Containment

Pourquoi l'industrie manufacturière doit-elle sécuriser les ressources IIoT contre les ransomwares ?

Obtenez un aperçu du risque de ransomware pour les ressources IIoT dans le secteur de la fabrication.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more