Oui à l’auto-isolement ! Le vôtre, pas celui de votre infrastructure informatique
La prolifération des menaces liées au COVID-19 est l’une des fâcheuses conséquences de la crise sanitaire. Motivés par l’appât du gain, les cybercriminels n’hésitent pas à jouer sur la peur et la quête d’informations des utilisateurs pour en faire des proies de choix. Les entreprises doivent se protéger contre la multiplication des attaques lancées par des cybercriminels qui tentent par tous les moyens de s’infiltrer dans leur réseau.
Plus inquiétant, on observe également une évolution d’ordre tactique : les professionnels du ransomware optent de façon croissante pour l’extorsion, une pratique qui permet de s’emparer de fichiers sensibles en menaçant de les rendre publics si la rançon demandée n’est pas versée.
Alors que les mesures de confinement sont encore largement en vigueur, de nombreux employeurs ont mis en place des règles de télétravail informelles qui éloignent un grand nombre de salariés de leur bureau. Cela a contribué à élargir l’empreinte de leur réseau, l’exposant à d’importantes vulnérabilités. Une cyberattaque de grande envergure pourrait ainsi se révéler fatale à de nombreux secteurs d’activité et mettre à genou des entreprises déjà malmenées par la pandémie.
Confrontées à l’augmentation du niveau de sophistication des menaces telles que les ransomwares, les entreprises doivent adopter une approche intégrée s’articulant autour de plusieurs axes. Voici quelques méthodes de prévention et de détection que les sociétés peuvent — et doivent — incorporer à leur stratégie pour se prémunir contre des menaces de plus en plus complexes et en constante évolution.
Les indicateurs d’attaque (IOA), ennemis des ransomwares
Face aux risques d’attaque par ransomware, les indicateurs d’attaque (IOA — Indicators of Attack) représentent une approche essentielle. Contrairement aux indicateurs de compromission (IOC — Indicators of Compromise) utilisés par les solutions classiques de détection au niveau des endpoints, les IOA se concentrent sur la détection et la prévention de ce qu’un cyberattaquant a l’intention d’entreprendre, indépendamment du logiciel malveillant ou de l’exploit utilisé.
Ces indicateurs permettent aux équipes de sécurité de détecter les signaux indiquant qu’une attaque est potentiellement en cours sur le réseau et de bloquer l’adversaire avant même qu’il puisse atteindre ses objectifs. C’est une méthode particulièrement efficace contre les attaques sans fichier (fileless attacks) et les attaques manuelles de type « hands-on-keyboard » qui commencent à être utilisées par un nombre croissant d’attaquants au détriment des malwares traditionnels.
De plus, les indicateurs d’attaque sont un moyen fiable d’empêcher les ransomwares d’effacer les données sauvegardées, de chiffrer les systèmes et de se déplacer latéralement dans un réseau. Les utilisateurs ont ainsi la possibilité de restaurer des fichiers chiffrés, même si leur chiffrement a débuté avant le blocage du ransomware.
Trois outils sinon rien
Face à la sophistication croissante des attaques par ransomware, les entreprises doivent mettre en place une cyberstratégie solide et holistique pour protéger leur réseau, par exemple en combinant plusieurs solutions pour former une approche intégrée à trois couches : antivirus de nouvelle génération (NGAV), détection et intervention sur les endpoints (EDR — Endpoint Detection and Remediation) et traque des menaces managée.
New Generation Anti-Virus
En première ligne de défense, les entreprises doivent adopter un antivirus de nouvelle génération (NGAV — New Generation Anti-Virus). Ces logiciels disposent des capacités de prévention éprouvées les plus performantes actuellement contre les logiciels malveillants connus et inconnus, voire contre les attaques qui n’utilisent pas de malware.
Tirant parti de l’apprentissage automatique (ML) et de l’intelligence artificielle (IA), ces antivirus permettent également aux entreprises d’analyser rapidement les indicateurs d’attaque pour identifier une campagne par ransomware et « fermer les écoutilles » avant que les cyberattaquants puissent accomplir leur triste mission.
Système intégré de détection et d’intervention sur les endpoints
Les réseaux d’entreprise exigent une supervision de tous les instants. À cet égard, un système intégré de détection et d’intervention sur les endpoints (EDR) peut se comporter comme une caméra de surveillance et permettre aux équipes de sécurité de surveiller ce qui se passe au niveau des différents points d’accès.
Cette deuxième couche de défense aide les équipes de sécurité à surveiller des activités telles que l’exécution d’une application, la connexion à un réseau, la visite d’un site Internet ou l’écriture d’un fichier. En s’appuyant sur des fonctions de détection et d’intervention intégrées, ces équipes disposent d’une vue plus globale de leur réseau, ainsi que de la fidélité nécessaire pour identifier les indicateurs d’attaque (IOA).
Les entreprises doivent s’assurer que leur stratégie intègre le facteur humain
De plus, les entreprises doivent s’assurer que leur stratégie intègre le facteur humain, dans la mesure où la technologie ne peut tout faire pour les protéger contre des attaques. Les tactiques de diffusion de rançongiciels sont nettement plus efficaces que les traditionnelles techniques « spray and pray » qui consistent à inonder les boîtes de réception des entreprises en priant qu’un utilisateur ouvre le fichier malveillant et dont la popularité diminue progressivement.
On assiste en revanche à l’émergence de techniques de type « living off the land » (LotL), selon lesquelles les cyberattaquants préparent minutieusement le terrain, suppriment les sauvegardes et effacent les logs bien avant de déployer le binaire du ransomware. Face à des techniques criminelles qui ne cessent de se perfectionner, l’association d’une technologie et d’un processus humain rigoureux est primordiale pour minimiser les risques.
Les entreprises doivent faire en sorte d’associer la technologie dont elles disposent à une initiative humaine qui combine des moyens de cyber-renseignements et une technologie de sécurité avancée afin de protéger proactivement leurs systèmes et leurs informations. C’est à ce troisième niveau qu’intervient la traque des menaces, une discipline consistant à traquer de manière proactive les cybermenaces qui évoluent en toute impunité dans un réseau.
Sans chasseurs de menaces, les équipes de sécurité peuvent facilement manquer une occasion cruciale de bloquer les auteurs de ransomware et les empêcher de chiffrer des fichiers.
Les chasseurs de menaces sont des experts hautement qualifiés qui utilisent les informations recueillies par les deux outils cités précédemment (NGAV et EDR), ainsi que les cyber-renseignements sur les tactiques, techniques et procédures (TTP) utilisées par leurs adversaires.
Ils exploitent ces informations pour étudier les données de sécurité et découvrir toute attaque cachée ayant échappé aux outils de défense automatiques. C’est la nature holistique de ces éléments conjugués qui procure la puissance ultime sur laquelle repose cette approche à trois niveaux.
N’oubliez pas une bonne hygiène !
Nos réseaux évoluent, se dématérialisent vers le cloud et délaissent les ordinateurs de bureau au profit d’environnements virtuels. Il est dès lors essentiel de conserver une totale visibilité de ces différents changements et à cet égard, l’hygiène numérique joue un rôle crucial en nous permettant d’identifier rapidement les failles de sécurité, mais surtout en rendant la vie des cyberattaquants aussi difficile que possible !
Les effectifs étant de plus en plus disparates et hybrides, il est plus important que jamais de compter sur des outils capables d’identifier rapidement les vulnérabilités les plus graves ou l’utilisation abusive de comptes d’utilisateurs.
À l’heure de la nouvelle normalité, jouez la carte de la sécurité
Face à l’augmentation des attaques liées à la pandémie de COVID-19 et à l’adoption rapide des modes de travail distribués, les entreprises et leurs équipes de sécurité doivent absolument veiller à utiliser des stratégies de cyberdéfense infaillibles.
En utilisant des solutions de nouvelle génération basée sur l’IA associées à des outils de traque des menaces, les équipes de sécurité peuvent respirer en sachant que le réseau est sécurisé et que la productivité des employés est préservée. La pandémie de COVID-19 expose les entreprises à de nombreux défis, mais il est hors de question que la sécurité en fasse partie — à condition bien sûr d’adopter les bonnes solutions.
