Les avancées en matière de sécurité du cloud, nouveau rempart dans la lutte contre les ransomwares

Le fléau des ransomwares continue de sévir, avec un nombre record de plus de 2 150 notifications dans le cadre de cyberattaques par ransomware annoncées par la CNIL dans son dernier rapport 2021.

Une progression de plus de 76% comparé à 2020, les attaquants s'étendant aux industries verticales et ciblant les infrastructures critiques. Le nombre de demandes de rançon a également augmenté. Selon IT Governance, le tarif moyen des clés de décryptage des attaquants est de 140 000 dollars, néanmoins de nombreuses organisations se retrouvent à devoir débourser bien plus. 

Les menaces ransomware évoluent à un rythme plus élevé que la capacité des entreprises à les suivre. Une idée reçue répandue voudrait que les logiciels malveillants soient généralement transmis par des e-mails d'hameçonnage. Si cela est vrai dans de nombreux cas, les nouvelles formes de ransomware sont beaucoup plus susceptibles d'être envoyées par un intrus qui s’est déjà introduit dans le réseau. En réalité le véritable défi pour les entreprises consiste désormais à surveiller l'activité au sein de leur environnement en complément des nécessités de sensibilisation et de protection des utilisateurs de contre les liens inconnus.

Dans la longue liste de préjugés erronés, il y a celui selon lequel les sauvegardes régulières constituent la meilleure stratégie de récupération. Si cette affirmation est vraie pour les attaques de moindre envergure, un attaquant qui se trouve déjà à l'intérieur d'un réseau a non seulement la possibilité de compromettre les sauvegardes, mais aussi d'exfiltrer des données critiques.

Les backsdoors : point d’entrée cruciale

Le point d'entrée le plus courant pour les attaquants est le protocole de bureau à distance (RDP, remote desktop protocol), qui permet à un ordinateur de se connecter à d'autres au travers du réseau. Les vulnérabilités du protocole RDP continuent de proliférer, et beaucoup d'entre elles sont le résultat d'une mauvaise configuration ou de la non-application de correctifs.

Comme l’ont démontré les récentes attaques Lapsus$, l'accès RDP peut être un moyen efficace de fournir cette entrée initiale déterminante. Une fois qu'ils sont entrés, la charge utile du ransomware elle-même peut arriver des heures ou des jours plus tard. La réalisation d'une reconnaissance en amont permet aux intrus de cibler les failles/attaques pour un impact maximal. La précision croissante des attaques est l'une des raisons pour lesquelles les demandes de rançon augmentent, même si les entreprises prennent des mesures plus proactives pour se protéger.

Concentrer les efforts de prévention sur la détection des attaques avant qu'elles ne se produisent revient à fermer la porte de la bergerie alors que le loup est déjà à l’intérieur. En réalité, l'attaque est souvent la dernière phase d'une violation.

Une tactique en 3 temps : segmenter, détecter et surveiller

En raison de la quantité importante de données transférées vers le cloud qui ne cesse d’augmenter, ce dernier devient une cible attrayante pour les cybercriminels qui cherchent à mettre la main sur ces données. Dans ces conditions, il est impératif d'assurer une protection unifiée des données sur les appareils des utilisateurs, le trafic web et les environnements de cloud computing.

Avec une stratégie security service edge (SSE) qui inclut des fonctionnalités de prévention des pertes de données (DLP), les équipes de sécurité seront en mesure de bloquer automatiquement l'exfiltration des données, évitant ainsi les menaces courantes de double extorsion que constituent aujourd'hui les ransomwares.

Les principes d'une architecture de zero trust sont liés aux principes fondamentaux du moindre privilège, c’est à dire un utilisateur ne se voit accorder que les niveaux minimums d'accès ou de permissions nécessaires pour effectuer ses tâches, sans jamais exposer le réseau. Les équipes de sécurité peuvent ainsi continuellement authentifier les utilisateurs et les connecter directement aux applications, plutôt que de faire confiance au trafic provenant d'un réseau interne ou d'un périphérique d'entreprise. La micro-segmentation est un autre concept fondamental de la confiance zéro. Elle consiste à restreindre l'accès aux applications et aux ressources afin que les attaquants qui s'introduisent dans l'une d'elles ne puissent affecter les autres. Elle permet également de lutter contre les techniques classiques de "land and expand" que les intrus utilisent pour passer d'un point d'entrée à d'autres cibles sur le réseau.

L'évaluation des activités de l'utilisateur au-delà de la connexion initiale, afin d'inclure les mouvements de ce dernier, l'accès aux actifs de l'organisation et le contexte dans lequel il intervient, est fondamentale pour repérer les menaces de ransomware qui se développent clandestinement".

Dix ans se sont écoulés depuis que les ransomwares ont attiré l'attention du grand public et le fléau ne montre aucun signe d'affaiblissement. Au contraire, le nombre d’attaques et le montant des rançons grimpent en flèche. Bien qu'il n'existe pas de protection infaillible contre les ransomwares, se tenir au courant des tendances et des mesures préventives peut aider les entreprises et plus particulièrement les équipes de sécurité à minimiser le risque de dommages.