Ransomware : 3 clés d'une protection efficace

Oct 17, 2018
5 minutes
... views

Face aux attaques par ransomware, le meilleur moyen de se protéger reste encore de les bloquer aux portes de votre entreprise. Le problème, c’est que les entreprises recourent à toujours plus de services et d’applications pour assurer leur fonctionnement. Résultat : leur surface d’attaque augmente. Et les mesures de sécurité traditionnelles du réseau, des terminaux et des applications SaaS ne sont d’aucune efficacité. De leur côté, les cybercriminels ne cessent de se perfectionner. À tel point qu’ils parviennent à lancer de nouvelles attaques avant même que les vulnérabilités ne soient corrigées. Pour les entreprises, l’heure est donc venue d’adopter une approche holistique de leur plateforme de sécurité.

 

De la détection à la prévention

Les approches de sécurité classiques se concentrent avant tout sur la détection et la remédiation des problèmes, ce qui aujourd’hui se révèle totalement inefficace. Face aux ransomwares, il est impératif d’adopter une démarche préventive. En d’autres termes, il est nécessaire de stopper les attaques avant qu’elles n’infectent l’entreprise et ne créent des dommages considérables. Pour cela, les entreprises doivent mettre en place une architecture de sécurité appropriée, axée sur trois éléments :

  1. Réduction de la surface d’attaque
  2. Prévention des menaces connues
  3. Identification et prévention des menaces inconnues

 

1.Réduction de la surface d’attaque

La réduction d’une surface d’attaque requiert une visibilité complète sur le trafic réseau, les applications, les menaces et les comportements des utilisateurs. À défaut, un attaquant ne manquera pas d’exploiter ce manque de visibilité pour s’infiltrer. Par ailleurs, un classement des activités vous permet de prendre les bonnes décisions quant aux autorisations à accorder et de repérer les événements inconnus qui nécessitent une investigation plus approfondie. Vous pouvez ainsi prendre diverses mesures de sécurité (bloquer le trafic inconnu, identifier les attaques avancées, activer uniquement les applications utiles à vos activités, etc.)

Une fois le trafic délimité, des politiques basées sur les utilisateurs et les applications doivent être mises en place. Permutables à l’infini, elles visent à restreindre l’accès à des applications pour certains groupes d’utilisateurs, sur des segments spécifiques du réseau. Bref, une visibilité détaillée et des politiques adaptées vous permettront de déjouer une grande majorité des méthodes d’attaques par malware.

Toutefois, pour réduire davantage la surface d’attaque, vous devez être en capacité de bloquer tous les types de fichiers dangereux ou potentiellement nocifs. Bien entendu, tous les types de fichiers ne sont pas malveillants. C’est pourquoi seuls les plus menaçants devront être bloqués. Vous devrez ensuite mettre en œuvre des politiques en phase avec votre niveau de tolérance au risque et empêcher les utilisateurs d’accéder aux ressources critiques du réseau depuis des terminaux non conformes.

 

2.Prévention des menaces connues

Une fois la surface d’attaque réduite, l’étape suivante consiste à prévenir les menaces connues. En clair, vous devez empêcher les exploits, les malwares et le trafic CnC connus d’infiltrer votre réseau. Ce faisant, vous compliquez la tâche des attaquants, qui devront se replier sur le développement de variantes de malwares ou de nouveaux exploits contre des vulnérabilités moins connues.

Par ailleurs, vous devez interdire l’accès aux adresses URL malveillantes connues pour empêcher les utilisateurs de télécharger accidentellement des données infectées ou de se voir voler leurs identifiants. Ensuite, place à vos applications SaaS. Ces dernières servent de plus en plus à véhiculer les attaques. Vous devrez donc les analyser en quête d’éventuels malwares connus. Tout exploit ou malware repéré devra alors être bloqué. La même opération sera réitérée sur les terminaux.

 

3.Identification et prévention des menaces inconnues

Les cybercriminels ne cessent de déployer de nouveaux exploits de type « zero-day » et de développer de nouvelles variantes de ransomwares. C’est pourquoi il est impératif de ne pas se limiter à la neutralisation des menaces connues, mais d’identifier et de bloquer également les menaces inconnues. Première étape : détecter et analyser les menaces inconnues dans les URL et les fichiers. À la réception de nouveaux fichiers, vous devez les analyser pour détecter d’éventuels comportements malveillants encore jamais rencontrés. Pour neutraliser les menaces, vous devez également étendre les mesures de protection à diverses zones de l’infrastructure de sécurité, automatiquement et aussi vite que possible. Ces mesures devront inclure un examen du contexte pour cerner les attaquants, les malwares et les campagnes, ainsi que des indicateurs de compromission associés aux attaques. Une fois les menaces et les comportements suspects identifiés et bloqués, réitérez l’opération sur les terminaux pour sécuriser l’ensemble des points d’accès.

L’objectif ultime de ce processus est de mettre en lumière les menaces et vulnérabilités inconnues pour prendre de vitesse les attaquants sur le front des exploits et des malwares. À la clé : une sécurité renforcée sur tout le cycle d’attaque.


Subscribe to the Blog!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.