Cinq façons de se protéger contre les ransomwares, par le réseau
Une sécurité réseau renforcée pourrait aider fortement à prévenir une infection par rançongiciel. L’expert Kevin Beaver propose cinq pistes à explorer.
Les attaques par ransomware ne sont pas seulement plus courantes. Elles s’avèrent également plus créatives. Et ce sont encore majoritairement les postes de travail qui sont visés, aucun système n’est à l’abri, qu’il s’agisse de distributeurs automatiques, comme WannaCry l’a montré au printemps, ou de serveurs JBoss, entre autres. NotPetya, qui s’est avéré ne pas être un rançonigiciel même s’il en avait initialement l’air, se propageait quant à lui sur le réseau, en profitant d’une vulnérabilité connue.
Que faire, donc, pour se protéger de l’infection initiale ? Comment empêcher que le ransomware, une fois entré, ne se propage au-delà de son patient 0 ? Pour l’essentiel, cela relève du bon sens. La menace des rançongicielles est une menace comme les autres : une vulnérabilité existe, et des acteurs malveillants veulent en profiter ; les techniques évoluent, mais le menace en elle-même doit être traitée comme les autres.
Reconnaître son ignorance
Le professionnel de la sécurité mature et sage se distingue en ce qu’il reconnaît qu’il se passe beaucoup de choses inconnues sur le réseau. Systèmes, applications, utilisateurs, informations et autres constituent un groupe d’actif trop souvent négligés, sécurisés de manière insuffisante, et susceptibles donc d’être affectés par des ransomwares. L’autre indication clé d’un professionnel de qualité est l’existence d’un plan pour améliorer les choses.
Obtenir le support de la direction et des utilisateurs
Avant que quoi que ce soit ne puisse sortir de terre en sécurité, il faut le soutien politique et financier de la direction. Et ce soutien doit être continu. Une fois qu’il a été obtenu, l’équipe de sécurité informatique va devoir séduire les utilisateurs, leur faire accepter des règles, et leur faire comprendre les ramifications de mauvais choix.
Déployer des technologies appropriées
La clé d’une défense robuste contre les logiciels malveillants est un architecture bien conçue et mise en œuvre. Pour qu’un réseau puisse avoir une chance de détecter et bloquer un logiciel malveillant moderne, il doit répondre à plusieurs impératifs.
Tout d’abord, la gestion des correctifs doit être maîtrisée. De nombreuses entreprise peinent avec cela, notamment avec les correctifs de produits tiers tels que Java et ceux d’Adobe. Et c’est un régal pour les pirates. Tant que les correctifs ne sont pas déployés avec régularité et rapidité, l’entreprise reste une cible facile. Et le réseau n’est qu’à un clic de la compromission.
Une protection efficace contre les logiciels malveillants est également requise. Il est temps de s’éloigner des outils traditionnels et de regarder du côté d’outils plus avancés, intégrant des capacités de détection sans signature, d’analyse en mode Cloud, de gestion de listes blanches, ou encore de technologies de surveillance/blocage de trafic réseau.
Les sauvegardes sont essentielles. Les systèmes d’une organisation ne valent que par leurs sauvegardes. Et cela vaut encore plus pour les serveurs. Les discussions autour de la sauvegarde sont ennuyeuses. Mais elles doivent être menées avec application pour minimiser l’impact d’une éventuelle infection par rançongiciel.
La segmentation réseau est une part importante de la protection contre les logiciels malveillants. Mais elle n’est hélas que rarement déployée correctement. Et il faut garder à l’esprit que les VLAN ne sont pas sûrs si un utilisateur interne peut deviner les plans d’adressage, par exemple lorsqu’ils sont trop proches les uns des autres.
Enfin, il y a les audits de sécurité. Arrêtez de faire appel à des tests d’intrusion pour assurer une conformité réglementaire et commencez à faire des audits complets, qui s’intéresse à la situation dans son ensemble. Et cela commence par observer son infrastructure de l’extérieur, depuis Internet, pour regarder ce qui y est exposé.
Surveiller et réagir
Les équipes de sécurité ne peuvent pas répondre à ou maîtriser ce qu’elles ignorent. La plupart des entreprises n’ont que des capacités très limitées de supervision, de gestion d’alertes, et de réponse à incident. Mais les équipes de sécurité doivent faire ce qui doit être fait : superviseur serveurs, postes de travail et réseaux à la recherche d’anomalies, réagir rapidement, et mettre en œuvre ce qui est nécessaire face à l’événement en cours, et pour l’empêcher de se produire à nouveau.
Dresser un bilan et ajuster
Beaucoup – notamment dans les directions, mais aussi dans l’IT, voire dans la sécurité – pensent que la sécurité est une chose ponctuelle : on investit, on déploie, on vérifie, et tout le reste va se faire tout seul. Mais cela ne fonctionne pas comme ça. Les équipes IT et de sécurité sont en permanence sous la pression du temps parce qu’il y a constamment des projets empilés sur ce qui reste encore à faire des précédents. Mais il faut trouver une manière de remédier à cela. Cela peut être une question de gestion du temps, ou d’embauche. Mais il faut régler cela.
Les solutions contre à une infection par rançongiciel ne sont pas centrées sur les systèmes hôtes, ni sur le réseau : elles sont holistiques. Un peu de tout est impliqué. Et cela renvoie ainsi à la même approche de la sécurité de l’information connue et éprouvée depuis des décennies. Et avec laquelle les entreprises continuent pourtant d’être à la peine. La compréhension technique est là, mais la sécurité est pénalisée par les politiques et intérêts particuliers internes.
De fait, il n’est parfois pas aisé de dépasser les aspects humains de la sécurité de l’information. Mais au moins peut-on essayer de rendre la tâche des pirates aussi difficile que possible.