Introducing Illumio Insights — breakthrough AI-powered observability, detection, and containment.
Read more

Experienced a Breach?

|
Contact Us
|
+1 855 426 3983
Blog
/
Ransomware Containment

Comment arrêter les attaques de ransomware basées sur RDP avec Illumio

Ron Isaacson
Directeur principal, Architecture d'entreprise
Illumio Editorial
Janvier 7, 2022
23 min. lire

Selon Gartner, plus de 90 % des attaques par ransomware peuvent être évitées. Elles sont également assez prévisibles dans une certaine mesure, car les attaquants ont tendance à suivre l'un des quelques vecteurs de menace. La plus populaire est l'exploitation du protocole de bureau à distance (RDP), qui a représenté près de la moitié des attaques au troisième trimestre 2021, selon une estimation. 

En résumé, si votre organisation parvient à mieux stopper les attaques de ransomware via RDP, elle a de grandes chances de minimiser les cyberrisques dans leur ensemble.

La bonne nouvelle, c'est qu'Illumio offre une visibilité et un contrôle là où les organisations en ont le plus besoin : pour comprendre où elles sont le plus exposées, puis pour déployer une politique à l'échelle afin de restreindre les communications RDP.

Qu'est-ce que RDP ?

RDP est un protocole Microsoft qui permet aux utilisateurs d'ordinateurs de se connecter à distance à des PC et à des serveurs. Il fonctionne sur tous les serveurs Windows - une omniprésence qui en fait également une cible de choix pour les attaques.

Les attaques RDP se sont multipliées pendant la pandémie, alors que l'utilisation de solutions d'accès à distance par les travailleurs à domicile augmentait également. Selon une étude, le nombre d'appareils exposant RDP à l'internet public sur des ports standard a augmenté de plus de 40 % en un seul mois.

Comment le RDP est-il utilisé de manière abusive ?

Plusieurs facteurs expliquent le succès des attaques par ransomware RDP.

De nombreuses organisations n'ont qu'une faible visibilité sur leur infrastructure de réseau informatique. Cela signifie qu'ils peuvent ne pas savoir combien de chemins RDP sont ouverts. Les attaques tirent également parti des problèmes courants de sécurité des entreprises, notamment la gestion efficace des correctifs et des mots de passe.

Voici comment cela fonctionne :

  1. Un attaquant recherchera des serveurs Windows avec des adresses IP publiques et un port 3389 ouvert (couramment utilisé pour RDP).
  2. Une fois ceux-ci localisés, l'acteur de la menace cherchera à compromettre les serveurs exposés par le biais de :
  3. Exploiter les vulnérabilités de Microsoft qui pourraient leur permettre de contourner l'authentification RDP ou d'exécuter directement des logiciels malveillants par le biais d'une connexion.
  4. Forcer les comptes RDP protégés uniquement par des informations d'identification faibles. Parfois, ces tentatives automatisées de devinettes de mots de passe s ' étalent sur plusieurs jours afin de ne pas déclencher l'alarme.
  7. Une fois l'accès initial obtenu, l'attaquant peut utiliser RDP ou d'autres techniques pour se déplacer latéralement vers d'autres biens et données. Il finira par s'implanter suffisamment dans le réseau de la victime pour déployer un ransomware à grande échelle et/ou voler des données sensibles à des fins d'extorsion.

Stopper les attaques de ransomware par RDP

Pour prévenir les attaques de ransomware RDP, il faut notamment s'assurer que les systèmes sont protégés par des correctifs à jour et activer l'authentification multifactorielle pour limiter les tentatives de piratage de mot de passe.

Mais plus fondamentalement, il s'agit d'abord de comprendre où le protocole RDP est utilisé dans votre organisation et où vous pouvez couper les connexions sans avoir d'impact sur les processus d'entreprise ou la productivité. Le blocage du port 3389 sur ces serveurs fera l'affaire.

La réduction de la surface d'attaque de cette manière peut contribuer à minimiser le nombre de points d'intrusion potentiels. Elle réduira également la possibilité pour les attaquants d'utiliser RDP pour se déplacer dans un réseau. Il ne reste donc plus qu'un petit nombre de serveurs à surveiller et à sécuriser à l'aide de politiques d'authentification fondées sur les meilleures pratiques.

Comment Illumio peut vous aider

Illumio est déjà utilisé par certaines des organisations les plus importantes et les plus exigeantes du monde pour atténuer la menace des ransomwares - y compris plus de 10 pour cent des entreprises du Fortune 100. Nous vous offrons la visibilité granulaire dont vous avez besoin pour comprendre où se produit la communication RDP et le contrôle nécessaire pour la bloquer si nécessaire.

L'approche simple en trois étapes d'Illumio pour minimiser le risque de ransomware RDP est la suivante :

  1. Cartographier tous les serveurs et connexions RDP
  2. Identifier les communications essentielles et non essentielles de la PDS
  3. Prenez des mesures grâce à un déploiement simple et rapide de politiques visant à restreindre les communications non essentielles à grande échelle.

Pour lire d'autres conseils sur les meilleures pratiques pour atténuer le risque de ransomware et comment Illumio peut aider à bloquer les menaces, consultez notre nouvel ebook, Comment arrêter les attaques de ransomware.

Sujets connexes

No items found.

Articles connexes

Comment stopper les attaques du ransomware Clop avec Illumio
Ransomware Containment

Comment stopper les attaques du ransomware Clop avec Illumio

Découvrez comment la variante de ransomware Clop fonctionne et comment Illumio peut aider votre organisation à contenir l'attaque grâce à la microsegmentation.

Read more
3 étapes pour réduire le risque de ransomware avec le nouveau tableau de bord de protection contre les ransomwares d'Illumio
Ransomware Containment

3 étapes pour réduire le risque de ransomware avec le nouveau tableau de bord de protection contre les ransomwares d'Illumio

Découvrez comment le tableau de bord de protection contre les ransomwares et l'interface utilisateur améliorée d'Illumio vous donnent une visibilité clé sur les risques liés aux ransomwares.

Read more
Supposez une brèche avec une sécurité des points finaux sans confiance
Ransomware Containment

Supposez une brèche avec une sécurité des points finaux sans confiance

Apprenez pourquoi les approches traditionnelles de la sécurité des points d'accès ne sont pas suffisantes et comment Illumio Endpoint peut compléter vos outils de détection existants.

Read more
No items found.

Supposons une rupture.
Minimiser l'impact.
Augmenter la résilience.

Vous souhaitez en savoir plus sur la segmentation zéro confiance ?

Learn more