10 raisons pour lesquelles votre organisation est potentiellement à risque d’une attaque par ransomware

10 raisons pour lesquelles votre organisation est potentiellement à risque d’une attaque par ransomware

Les ransomwares respectent-ils la saison des vacances? Avec des tentatives de ransomware tentées toutes les 14 secondes, il est peu probable que les attaquants prennent des jours de congé. La menace des logiciels ransomwares ne cesse de croître et, au premier trimestre 2019, les chercheurs ont constaté une augmentation de 118% des souches de programmes malveillants dans cette catégorie.

Derrière ces chiffres, se cachent des syndicats de cybercriminels qui continuent à pousser des ransomwares sur les réseaux d’entreprise. Le groupe qui exploite le cheval de Troie Emotet est l’un des acteurs de la menace spécialisés dans les attaques contre les entreprises. Après une pause estivale de trois mois, les serveurs Emotet (C & C) semblent avoir repris leurs activités, fournissant à nouveau des fichiers binaires malveillants.

Bien qu’il ait commencé comme un cheval de Troie bancaire en 2014, Emotet a changé de cap pour devenir un botnet de distribution de logiciels malveillants proposant diverses souches de logiciels malveillants à d’autres groupes de cybercriminalité organisés. Cela a permis à Emotet de devenir l’une des principales menaces dans le domaine de la cybercriminalité, son infrastructure étant utilisée pour distribuer TrickBot, un autre cheval de Troie bancaire, puis pour propager le ransomware Ryuk sur des périphériques d’entreprise compromis. Cette combinaison est appelée «triple menace» et a touché les administrations publiques, les établissements de santé et diverses autres entreprises en Amérique du Nord et en Europe.

Mais le «succès» d’Emotet ne repose pas uniquement sur sa conception avancée de programmes malveillants; cela peut aussi être attribué à des organisations non préparées. Une étude récente menée par le Ponemon Institute pour le compte d’IBM a révélé que la grande majorité des entreprises interrogées n’étaient toujours pas préparées pour réagir correctement aux incidents de cybersécurité. 77% des personnes interrogées ont déclaré ne pas avoir de plan de réponse aux incidents de cybersécurité appliqué de manière cohérente dans l’ensemble de l’entreprise. . Alors que le risque de subir un incident de sécurité majeur semble augmenter avec le temps, les équipes de sécurité comprennent que les capacités de préparation et de réaction sont importantes pour permettre aux entreprises de continuer à fonctionner si une attaque les affectait.

Nous pensons que les 10 lacunes de sécurité suivantes pourraient augmenter le potentiel de votre entreprise d’être victime d’une attaque par ransomware. Porter attention à eux peut aider à atténuer les risques.

1. Garder les systèmes hérités sur l’infrastructure

Bien souvent, les entreprises disposent d’un système d’exploitation qui n’a pas été mis à niveau pour diverses raisons. En matière de sécurité, cela peut entraîner des risques. La majorité des malwares et des familles de ransomwares les plus actifs reposent sur les vulnérabilités des systèmes d’exploitation de bureau existants. Prenez, par exemple, le célèbre service SMB dans le système d’exploitation Windows. Ce protocole, maintenu actif tout en étant vulnérable, a permis les attaques de rançongiciel WannaCry et le NotPetya ultérieur, qui s’est répandu comme une traînée de poudre en 2017.

La prise en charge de Windows 7 prenant fin le 14 janvier 2020, vos équipes devraient planifier la mise à niveau. Si, pour une raison quelconque, votre entreprise ne peut pas remplacer ou mettre à niveau tous les systèmes existants, vous pouvez au moins définir des mesures préventives étendues, placer des contrôles de compensation autour de ces systèmes, en limiter l’accès et vous assurer de les faire tester par des testeurs d’intrusion afin d’en comprendre le potentiel. pour l’impact.

2. Visibilité limitée des actifs et de leurs vulnérabilités

Pour tout défenseur, il est important de savoir ce qui doit être défendu et où se trouvent les ressources critiques. Dans de nombreuses organisations, les actifs les plus précieux sont les humains et les informations qu’ils collectent et utilisent. Cette approche permet également à l’entreprise de hiérarchiser le niveau de sécurité en fonction de la valeur des données et des actifs qui les gèrent, au lieu d’essayer de tout protéger.

Le nombre de vulnérabilités signalées par les fournisseurs a augmenté de manière exponentielle au cours des dernières années. Il est impératif que toute organisation reconnaisse les vulnérabilités existantes et les atténue en fonction de son appétit pour le risque.

3. Oublier de mettre en place des politiques de renforcement du système

Un autre facteur d’infection est la surface d’attaque. Les services inutilisés, les ports ouverts et les fonctions de système d’exploitation négligées attirent souvent des clients non invités. Gardez à l’esprit qu’aucun système d’exploitation n’est sécurisé par sa conception. il doit être verrouillé autant que possible. Dans un scénario idéal, vous pouvez détecter les systèmes non conformes à vos stratégies de sécurité et y remédier avec les modifications ou contrôles nécessaires.

4. S’appuyer sur la protection périmétrique et l’antivirus

Il y a quelques années, les pare-feu étaient la solution utilisée par de nombreuses équipes de sécurité pour diviser le monde en un «bien» interne et un «mauvais» externe, tout en s’appuyant sur un antivirus pour protéger le reste. Avec l’émergence de menaces avancées, ce concept est devenu pratiquement obsolète.

N’oubliez pas que les ransomwares et autres menaces arrivent le plus souvent dans votre organisation via un courrier électronique de phishing, malheureusement aidé par un employé, et non par une violation des défenses du périmètre. Les tests antivirus montrent invariablement que même les produits les plus performants ne sont à l’abri des attaques anti-menaces avancées.

5. Garder une topologie de réseau plat

Pas seulement les ransomwares, mais toutes sortes de malwares et ceux qui les distribuent aiment vraiment un réseau plat. Ce type de topologie peut aider à propager plus rapidement des charges malveillantes et à passer facilement d’un système à l’autre. Les menaces modernes, telles qu’Emotet et ses charges utiles variées, permettent de mieux explorer l’environnement réseau plat, de télécharger des outils et des modules supplémentaires pour exploiter les ports ouverts, voire même de déchiffrer les mots de passe de l’annuaire actif.

Pour rendre les choses plus difficiles pour les attaquants potentiels, envisagez une conception de réseau hiérarchique qui suivrait les principes de conception de sécurité fondamentaux. Des modifications mineures mais significatives peuvent contribuer à renforcer la sécurité intégrée sans avoir à reconstruire le réseau.

6. S’appuyer sur des sauvegardes en ligne

Avec l’importance croissante du stockage en cloud, les sauvegardes en ligne sont devenues une méthode très populaire de stockage de données. Ces ressources de stockage en nuage peuvent être efficaces et efficaces, et de nombreuses entreprises peuvent choisir d’ignorer complètement les sauvegardes hors connexion. Mais est-ce la bonne chose à faire dans un paysage de menaces comprenant des attaques destructrices?

Les organisations qui comptent uniquement sur des sauvegardes en cloud pourraient potentiellement payer le prix ultime pour gagner en efficacité, car les ransomwares peuvent chiffrer des données sur tout type de stockage. Par conséquent, je pense que le meilleur choix serait de conserver les sauvegardes de manière redondante – en ligne et hors ligne – et de les tester périodiquement.

7. Exercer un contrôle limité sur l’accès des utilisateurs

Quelle est l’efficacité d’une porte fermée avec une clé en dehors? Trop souvent, les organisations sont compromises par l’utilisation d’informations d’identification volées, de mots de passe faibles ou de comptes orphelins. Ignorer la gestion des accès appropriée, les stratégies de mot de passe avancées et l’authentification multifactorielle (MFA) ne devrait plus être une option. Mieux encore, prenez en charge et renforcez le contrôle d’accès des utilisateurs avec une solution de gestion des accès d’identité (IAM) afin d’ajouter une couche de sécurité facilitant la création de groupes d’utilisateurs et limitant les privilèges d’accès dans la mesure nécessaire.

8. Renonciation à la surveillance et à l’analyse de la sécurité

Dans le monde physique, un acteur menaçant peut contourner toute mesure préventive (telle qu’un coffre-fort) en lui laissant suffisamment de temps pour répéter d’innombrables tentatives. Ceci est également vrai pour les mesures préventives de cybersécurité. Définissez les contrôles pour signaler les tentatives de contournement et testez en permanence l’efficacité des contrôles pour vous assurer que vos mesures préventives fonctionnent correctement.9. Sous-estimation de la sensibilisation à la sécurité.

La plupart des menaces, y compris les infections dues à des ransomwares, nécessitent une interaction humaine avant d’entrer dans le réseau et sur les appareils. Les membres de votre organisation peuvent potentiellement faire partie de la plus grande menace ou de vos alliés les plus puissants, en fonction de la manière dont vous préparez et formez les utilisateurs. La formation de sensibilisation des utilisateurs peut être une mesure efficace et rentable.

10. Pas de plan d’intervention en cas d’incident ou d’une équipe pour le diriger

Et cela nous amène au dernier point. Quelle que soit la maturité de votre organisation en termes de stratégie et de programme de sécurité, n’oubliez jamais qu’il peut arriver un jour où votre organisation est frappée par un incident de sécurité grave. La seule chose qui compterait dans cette situation serait la capacité de votre organisation à gérer la crise, à contenir la menace et à reprendre ses activités normales.

Selon le rapport «2019 sur le coût d’une violation de données», le fait de disposer d’une équipe IR et d’analyser les scénarios les plus pertinents pour votre organisation peut permettre d’économiser en moyenne 680 000 USD en cas d’incident. Contenir l’attaque en moins de 30 jours peut permettre d’économiser plus d’un million de dollars.

Figure 1: La formation et les tests d’une équipe IR permettent d’économiser en moyenne 680 000 USD en coûts de violation (Source: étude «2018 Coût d’une étude de violation de données: vue d’ensemble, référence» parrainée par IBM Security et menée indépendamment par Ponemon Institute LLC, juillet 2018).

Garder votre équipe efficace et vos clients servis dans de telles situations n’a pas de prix. Changez le paradigme de sécurité avec lequel vous travaillez: les chances d’être victime d’une cyberattaque ne cessent d’augmenter. Nous devons nous concentrer sur la façon dont nous allons réagir. Et bien que ce changement nécessite sûrement une planification et une formation répétée, il est voué à l’aboutissement.

Comment la prévention de la perte de données de nouvelle génération (DLP) peut aider à résoudre le problème des menaces internes Pratiquez la sécurité des médias sociaux pour protéger les données personnelles et d'entreprise