Comment protéger vos données en cas de ransomware ?

Aujourd'hui, des kits de ransomware-as-a-service (RaaS) sont abordables sur le Dark Web pour que tout le monde puisse les acheter et les déployer. La protection de vos données est primordiale.

Le déclenchement d'une attaque par ransomware consiste à obtenir un accès discret. Et comme les employés peuvent désormais accéder à vos données de n'importe où, vous avez perdu toute visibilité sur la façon dont ils le font. Pour vous prémunir contre ces attaques, vous avez besoin de connaître en permanence vos utilisateurs, les terminaux qu'ils utilisent et les applications et données auxquelles ils accèdent.

Les attaquants peuvent lancer des attaques de phishing pour compromettre les informations d'identification des utilisateurs. Une fois qu'ils sont à l'intérieur de votre infrastructure, ils déploient rapidement des logiciels malveillants pour créer des portes dérobées persistantes qui leur permettent d'aller et venir à leur guise.

Un certain nombre d'étapes se déroulent entre le moment où un attaquant accède à votre infrastructure et celui où il demande une rançon. Voici un résumé de ce qui se passe et comment vous pouvez protéger votre entreprise.

Bloquer les attaques de phishing et masquer les applications web

L'une des façons les plus simples d'obtenir un accès est de prendre le contrôle d'un compte utilisateur en compromettant les informations d'identification par des attaques de phishing. Il est essentiel de pouvoir inspecter le trafic web sur n'importe quel appareil pour empêcher ces attaques d'affecter les utilisateurs de PC et de mobiles. Ainsi, les opérateurs de ransomwares ne pourront pas lancer leur attaque en compromettant les comptes.

Les attaquants vont également parcourir le web pour trouver des infrastructures vulnérables. De nombreuses entreprises ont des applications ou des serveurs exposés au web pour permettre un accès à distance, mais cela signifie que les attaquants peuvent les trouver et rechercher des vulnérabilités. La dissimulation de ces applications est une tactique de défense essentielle. Cela vous permet de vous éloigner de l'accès débridé fourni par les VPN et de vous assurer que seuls les utilisateurs autorisés accèdent aux données dont ils ont besoin. 

Détecter et répondre aux comportements anormaux

Si les attaquants parviennent à pénétrer dans votre infrastructure, ils commenceront à se déplacer latéralement pour effectuer une reconnaissance. Il s'agit de trouver des vulnérabilités supplémentaires dans le but ultime de découvrir des données sensibles. Parmi les mesures qu'ils pourraient prendre, ils pourraient choisir la modification de vos paramètres pour réduire les autorisations de sécurité ou l'exfiltration de données par exemple. 

C'est là qu'il est essentiel de comprendre le comportement des utilisateurs et des appareils et de segmenter l'accès au niveau des applications. Pour arrêter les mouvements latéraux, vous devez vous assurer qu'aucun utilisateur n'a accès librement à votre infrastructure et qu'il n'agit pas de manière malveillante.

Rendez les données inutilisables en échange d'une rançon grâce au cryptage proactif

L'étape finale d'une attaque par ransomware consiste à prendre vos données en otage. Outre le cryptage des données et le verrouillage de vos administrateurs, l'attaquant peut également exfiltrer certaines données pour les utiliser comme levier, puis supprimer ou crypter ce qui reste dans votre infrastructure.

L'exfiltration et l'impact sont généralement le moment où l'attaquant révèle enfin sa présence. Les modifications qu'il apporte aux données déclenchent des signaux d'alarme et il exige des paiements. Cependant, vous pouvez réduire tous leurs efforts à néant si ces données sont cryptées de manière proactive par votre plateforme de sécurité et qu'elles deviennent absolument inutiles pour l'attaquant. Le chiffrement est un élément essentiel de toute stratégie de prévention des pertes de données (DLP), et le fait de le déclencher à partir de politiques de protection des données contextuelles peut vous aider à protéger vos données les plus sensibles contre la compromission.   

Pour sécuriser votre entreprise, vous devez avoir une vision complète de ce qui se passe avec vos terminaux, vos utilisateurs, vos applications et vos données. Cela vous permet de bloquer les attaques de phishing, de détecter et de répondre aux mouvements latéraux et de protéger vos données, même si elles sont exfiltrées et font l'objet d'une demande de rançon.