Comment protéger vos données en cas de Ransomware
Charles Gouin-Peyrot
Publié le 19 mai 2022 · 5 min de lecture
Bloquez les attaques de phishing et masquez les applications Web.
Aujourd'hui, les utilisateurs accèdent aux données en utilisant des réseaux que vous ne contrôlez pas et des appareils que vous ne gérez pas, ce qui rend obsolètes les mesures de sécurité sur site dont vous disposiez. Cela signifie que les acteurs de la menace peuvent lancer des attaques de phishing pour compromettre les informations d'identification des utilisateurs ou exploiter une application vulnérable sans grande conséquence. Et une fois qu'ils sont dans votre infrastructure, ils déploient rapidement des logiciels malveillants pour créer des portes dérobées persistantes qui leur permettent d'aller et venir à leur guise. S'ils escaladent leurs privilèges, il devient presque impossible de les empêcher de se déplacer latéralement et de prendre vos données en otage. Étape par étape : comment se protéger contre les ransomwares
Un certain nombre d'étapes se déroulent entre le moment où un attaquant accède à votre infrastructure et celui où il demande une rançon. Ces étapes sont décrites dans l'infographie sur l'anatomie d'une attaque de ransomware et voici un résumé de haut niveau de ce qui se passe et de la façon dont vous pouvez protéger votre organisation.
L'une des façons les plus simples pour les attaquants d'obtenir un accès est de prendre le contrôle d'un compte utilisateur en compromettant les informations d'identification par des attaques de phishing. Il est essentiel de pouvoir inspecter le trafic web sur n'importe quel appareil pour empêcher ces attaques d'affecter les utilisateurs de PC et de mobiles. Ainsi, les opérateurs de ransomware ne pourront pas lancer leurs attaques en compromettant les comptes.
Les acteurs de la menace vont également parcourir le web pour trouver une infrastructure vulnérable ou exposée à l'Internet à exploiter. De nombreuses organisations ont des applications ou des serveurs exposés au web pour permettre un accès à distance, mais cela signifie que les attaquants peuvent les trouver et rechercher des vulnérabilités. La dissimulation de ces applications est une tactique de défense essentielle. Cela vous permet de vous éloigner de l'accès débridé fourni par les VPN et de vous assurer que seuls les utilisateurs autorisés accèdent aux données dont ils ont besoin.
Détecter et répondre aux comportements anormaux
Si les attaquants parviennent à pénétrer dans votre infrastructure, ils commenceront à se déplacer latéralement pour effectuer une reconnaissance. Il s'agit de trouver des vulnérabilités supplémentaires dans le but ultime de découvrir des données sensibles. Parmi les mesures qu'ils pourraient prendre, citons la modification de vos paramètres pour réduire les autorisations de sécurité, l'exfiltration de données et le téléchargement de logiciels malveillants. Certaines de ces mesures ne sont pas forcément malveillantes, mais peuvent être considérées comme des comportements anormaux. C'est là qu'il est essentiel de comprendre le comportement des utilisateurs et des appareils et de segmenter l'accès au niveau des applications. Pour stopper les mouvements latéraux, vous devez vous assurer qu'aucun utilisateur ne peut accéder librement à votre infrastructure et qu'il n'agit pas de manière malveillante. Il est également crucial de pouvoir détecter les privilèges excessifs ou mal configurés afin d'empêcher toute modification de la posture de vos applications et du cloud.Rendez les données inutilisables
L'étape finale d'une attaque par ransomware consiste à prendre vos données en otage. Outre le chiffrement des données et le verrouillage de vos administrateurs, l'attaquant peut également exfiltrer certaines données pour les utiliser comme levier, puis supprimer ou chiffrer ce qui reste dans votre infrastructure. L'exfiltration et l'impact sont généralement le moment où l'attaquant révèle enfin sa présence. Les modifications qu'il apporte aux données, qu'elles soient au repos ou en mouvement, déclencheront des signaux d'alarme et il exigera des paiements. Cependant, vous pouvez réduire à néant tous leurs efforts si ces données sont cryptées de manière proactive par votre plateforme de sécurité et qu'elles deviennent absolument inutiles pour l'attaquant. Le chiffrement est un élément essentiel de toute stratégie de prévention des pertes de données (DLP), et le fait de le déclencher.L'auteur
Charles Gouin-Peyrot
Journaliste tech et testeur indépendant, je décrypte la tech grand public. Spécialisé dans le hardware, l'audio et la maison connectée, je mets ma rigueur technique et mon expérience de formateur au service de mes tests. Mon objectif est simple : dépasser les fiches techniques pour vous livrer des analyses transparentes, impartiales et ancrées dans un usage 100 % réel.