4 principes de base pour se protéger contre les ransomwares

La protection contre les ransomwares est plus difficile que jamais.

Au cours des dernières années, votre infrastructure a évolué, votre périmètre de sécurité traditionnel s'est dissous et vos collaborateurs travaillent dans un environnement hybride.

Parallèlement, les ransomwares ont évolué pour tirer parti de ces changements et ont appris à compromettre rapidement un grand nombre d'actifs en peu de temps.

Il n'est donc pas étonnant que les ransomwares soient devenus la plus grande menace actuelle :

• Plus de 4 000 attaques de ransomware par jour
• Le montant moyen des rançons a été multiplié par 40 en l'espace de deux ans.
• La rançon la plus importante jamais versée - 40 millions de dollars - l'a été en 2021.
• Les dommages les plus importants causés par une attaque ont été de 300 millions de dollars.

Il est clair que la sécurité traditionnelle ne parvient pas à protéger contre les ransomwares. Les organisations ont besoin d'une nouvelle approche. Cet article de blog présente cette approche.

Nous détaillerons quatre principes fondamentaux qui vous aideront à protéger votre organisation contre les ransomwares.

1. Assurez-vous de pouvoir visualiser vos flux de communication interne
2. Concentrez-vous d'abord sur le blocage des voies d'accès préférées des ransomwares.
3. Protégez vos biens de grande valeur en toutes circonstances
4. Utilisez les bons outils de sécurité

Examinons chacun d'entre eux plus en détail.

Principe 1 : Assurez-vous de pouvoir visualiser vos flux de communication interne

La plupart des ransomwares se cachent et passent inaperçus pendant des mois, et ne sont détectés qu'après avoir verrouillé les systèmes, menacé de déverser des données et demandé une rançon.

Avant cela, la plupart des attaques de ransomware passent le plus de temps possible à compromettre le plus grand nombre de systèmes. Pour ce faire, les attaques compromettent souvent des systèmes dont l'organisation ne sait pas qu'ils existent, en empruntant des chemins entre des systèmes dont l'organisation ne sait pas qu'ils sont ouverts, et en laissant une trace de données qu'il est difficile de détecter, de corréler et d'"additionner" pour se rendre compte qu'une attaque est en train de s'éteindre.

En bref : de nombreuses attaques de ransomware réussissent parce que les organisations ne peuvent même pas voir qu'elles se produisent ou ce qu'elles font jusqu'à ce qu'il soit trop tard.

Pour se protéger contre les ransomwares, les entreprises doivent développer une visibilité sur les flux de communication entre les systèmes de leur réseau. Cela augmentera les chances de détecter les attaques dès qu'elles pénètrent dans l'environnement, ou suffisamment tôt pour les arrêter avant qu'elles ne se propagent suffisamment pour causer de réels dommages.

Plus précisément, les organisations doivent être en mesure de

• Voyez comment leurs systèmes communiquent entre eux (en temps réel).
• Identifier les voies de passage entre les systèmes qui sont ouvertes et celles qui peuvent être fermées.
• Centralisez plusieurs sources de données sur les risques afin d'identifier les attaques complexes et subtiles.

Principe 2 : Concentrez-vous d'abord sur le blocage des voies d'accès préférées des ransomwares.

La plupart des attaques de ransomware ciblent les mêmes voies et vulnérabilités, et plus de 80 % des attaques réussissent en utilisant un petit ensemble d'exploits simples et bien connus.

Plus précisément, la plupart des attaques de ransomware ciblent un petit nombre de voies à haut risque telles que le protocole de bureau à distance (RDP) et le bloc de messages du serveur (SMB). Ces services sont utilisés sur de nombreux systèmes au sein du réseau, ils sont souvent laissés ouverts alors qu'ils n'ont pas besoin de l'être, et ils offrent aux attaquants un moyen facile d'entrer dans le réseau et de le traverser.

Pour exploiter ces voies, les attaquants sont généralement opportunistes. Ils parcourent souvent l'internet à la recherche de systèmes exploitables dont les ports sont ouverts et qui communiquent en dehors de leur réseau. Lorsqu'un pirate en trouve un, il l'enfonce et utilise d'autres ports ouverts courants au sein du réseau pour se propager de système en système et les compromettre tous.

En bref : de nombreuses attaques de ransomware réussissent parce que les organisations laissent ouvertes dans leur réseau de nombreuses voies d'accès couramment exploitées, généralement sans s'en rendre compte.

Pour se protéger contre les ransomwares, les entreprises doivent d'abord s'efforcer de bloquer ces voies d'accès couramment exploitées. Cela limitera la capacité d'un acteur malveillant à pénétrer dans leur réseau et à se propager entre les systèmes après une intrusion réussie.

Plus précisément, les organisations doivent être en mesure de

• Identifier les filières à haut risque qui doivent rester ouvertes et celles qui peuvent être fermées.
• Fermez le plus grand nombre possible de voies d'accès à haut risque et surveillez les autres.
• Verrouillez l'environnement pour arrêter les attaques en cours.

Principe 3 : Protégez vos actifs de grande valeur quoi qu'il arrive

La plupart des ransomwares commencent à petite échelle - ils infectent d'abord les biens de moindre valeur qui sont moins protégés, puis se frayent progressivement un chemin à travers le réseau jusqu'aux biens de grande valeur.

En règle générale, les attaques par ransomware doivent franchir de nombreuses étapes pour passer des actifs de faible valeur d'une organisation à ses actifs de grande valeur. Ils doivent se déplacer lentement dans le réseau et éviter d'être détectés. Ils doivent se connecter à l'internet pour obtenir les outils nécessaires à la progression de leur attaque (et télécharger des données sensibles pour créer un effet de levier). Ils doivent être patients et attendre de trouver des actifs vulnérables de grande valeur avant de frapper, de chiffrer les systèmes et d'exiger le paiement d'une rançon.

En bref : de nombreuses attaques de ransomware ne réussissent qu'une fois qu'elles ont compromis des actifs de grande valeur. En fonction de la sécurité interne de la cible, l'acteur d'un ransomware peut mettre des années, des mois, des semaines, des jours, des heures, voire quelques minutes.

Pour se protéger contre les ransomwares, les entreprises doivent limiter la capacité d'un attaquant à se propager rapidement d'un système à l'autre au sein de leur réseau. Ce faisant, les organisations ralentiront les attaquants, augmenteront les chances de détecter l'attaque avant qu'elle ne réussisse et empêcheront la compromission de leurs actifs de grande valeur - et empêcheront l'attaquant d'acquérir suffisamment d'influence pour formuler une demande crédible.

En règle générale, les entreprises peuvent protéger leurs actifs de grande valeur en segmentant leur environnement, en entourant ces actifs d'anneaux et de clôtures pour les isoler, et en séparant globalement l'environnement de manière à ce que les attaquants n'aient pas de chemin clair pour passer des actifs de faible valeur non protégés aux actifs de grande valeur bien défendus.

Principe 4 : Utiliser les bons outils de sécurité

Traditionnellement, la plupart des organisations ont essayé de se protéger contre les ransomwares en utilisant des pare-feu manuels et des outils similaires de segmentation du réseau. Mais ces outils ont été créés il y a plusieurs décennies pour une architecture de réseau et un paradigme de sécurité différents. Par conséquent, ils ne parviennent généralement pas à protéger les organisations contre les ransomwares et ne peuvent pas être utilisés pour donner vie à ces nouveaux principes.

En particulier, les outils de sécurité traditionnels tels que les pare-feu et les dispositifs de réseau :

• Ils ne parviennent pas à visualiser les flux de communication : Ils ne recueillent pas de données exploitables sur les communications internes est-ouest ou nord-sud. Elles ne recueillent que des données télémétriques limitées qui ne permettent pas d'identifier les risques et qui sont souvent dispersées et cloisonnées dans un ensemble de solutions ponctuelles à but unique.
• Ne pas bloquer les voies d'accès préférées des ransomwares : Elles ne créent pas de vue centralisée des voies d'accès et des exploits communs ouverts dans le réseau de l'organisation, elles ont du mal à maintenir ces voies d'accès fermées dans les environnements modernes et elles sont trop lentes pour répondre aux attaques en cours.
• Ne parviennent pas à protéger les actifs de grande valeur : Ils gèrent généralement les configurations et la politique de segmentation par le biais de flux de travail manuels qui ne peuvent pas s'adapter aux environnements modernes avec des millions de points de connexion entre les systèmes. La segmentation qu'ils appliquent est abandonnée à la seconde où le réseau change.

En bref : les organisations ne peuvent pas utiliser les outils de sécurité traditionnels pour se protéger contre les ransomwares. Ils ont besoin de nouveaux outils conçus pour protéger les environnements modernes contre les menaces de ransomware modernes.

Découvrez Illumio : Une approche moderne pour se protéger contre les ransomwares

Illumio vous offre une gestion des politiques rationalisée et évolutive, ce qui facilite l'élaboration d'une nouvelle architecture de sécurité pour se protéger contre les ransomwares, quelles que soient la taille et l'échelle de votre environnement.

Illumio facilite la mise en œuvre de ces principes.

Obtenez une visibilité complète des flux de communication

Dès la première heure d'installation, Illumio crée une carte en temps réel de toutes les communications entre tous les systèmes de votre environnement. Illumio vous aide à déterminer lesquelles de ces communications sont nécessaires et lesquelles vous pouvez interrompre, et crée une source unique de vérité pour de nombreuses équipes et des outils tels que les SIEM.

Bloquez rapidement les voies d'accès que les rançongiciels aiment exploiter.

Illumio vous montre les voies d'accès communes aux ransomwares dans votre environnement et facilite la fermeture de ces voies d'accès en automatisant chaque étape clé de la gestion des politiques de sécurité. Enfin, Illumio vous permet de créer un " interrupteur de confinement " pour verrouiller votre réseau et vos systèmes en quelques secondes lors d'un incident.

Segmentation zéro confiance évolutive pour protéger les actifs de grande valeur

Illumio vous offre une solution de segmentation complète qui applique les politiques dans les environnements modernes à grande échelle et facilite la limitation de la propagation latérale et l'isolement des biens de grande valeur. Illumio applique ces politiques de façon dynamique et les maintient en tout temps, même lorsque votre réseau évolue.

En bref : Illumio résout de nombreux problèmes liés aux outils et architectures de sécurité traditionnels et vous permet de déployer une nouvelle approche pour vous protéger contre les ransomwares.

Protégez-vous contre les ransomwares dès aujourd'hui : Mettez Illumio au service de votre défense

Illumio est utilisé par de nombreuses organisations parmi les plus importantes et les plus innovantes au monde pour se protéger contre les ransomwares. Avec Illumio, ils obtiennent une visibilité de leurs flux de communication et une compréhension claire de leurs voies les plus risquées, avec un contrôle complet de la segmentation jusqu'au niveau de l'application.

Illumio protège actuellement les actifs de :

• Plus de 10% du Fortune 100
• 6 des 10 plus grandes banques mondiales
• 5 des principales compagnies d'assurance
• 3 des 5 plus grandes entreprises SaaS

Nos clients utilisent également Illumio pour mettre en place des postures de sécurité fondamentalement plus solides qui les défendent contre un large éventail d'attaques.

Il est temps de mettre Illumio à votre service. Passez à l'étape suivante.

• Allez plus loin : Comment stopper les attaques de ransomware eBook
• Essayez-le vous-même : Les laboratoires pratiques de l'expérience Illumio
• Planifiez un chat : Consultation et démonstration gratuites