Ransomwares : les 4 défenses pour mieux les contrôler

2 MILLIONS $
Le ransomware DarkSide demande des rançons pouvant atteindre 2
millions de dollars

D’après un rapport sur la protection des applications, les ransomwares sont responsables d’environ 30 % des violations de données survenues aux États-Unis en 2020. Une tendance qui s’observe également à des degrés divers au niveau mondial. L’analyse des violations indique que les meilleurs contrôles pour s’en prémunir comprennent la gestion des comptes utilisateur, la segmentation du réseau et la sauvegarde des données. Encore faut-il savoir comment les mettre efficacement en œuvre.

Défense contre les ransomwares n° 1 : la gestion des comptes utilisateur

Un pourcentage important de cybercriminels se connectent aux systèmes pour les pirater. Ils devinentvolent et hameçonnent les mots de passe. En effet, historiquement parlant, les mots de passe n’offrent pas une très bonne protection. Il est possible de faire mieux :

Recourir le plus possible à l’authentification multifacteur

Les meilleures pratiques, ainsi que certaines exigences réglementaires, préconisent l’utilisation de l’authentification multifacteur (MFA) sur tous les systèmes hébergeant des données critiques. Si une telle opération est impossible, il faut établir des priorités. Premièrement, l’authentification multifacteur doit être appliquée à tous les comptes d’administration. Vient ensuite l’accès à distance, vecteur d’attaque majeur pour les ransomwares. Enfin, comme la messagerie des utilisateurs renferme de nombreuses données critiques et que les principales plates-formes de messagerie prennent en charge l’authentification multifacteur, l’ajouter à la messagerie des utilisateurs finaux constitue la priorité suivante.

Définir une politique de mots de passe robuste

Tant que l’authentification multifacteur n’est pas mise en place pour tous les accès (conseil : privilégier les outils d’authentification unique), il est recommandé de prendre les mesures suivantes (basées sur les directives du NIST en matière d’identité numérique) :

Utiliser des politiques de mots de passe conviviales. Vérifier régulièrement les mots de passe par rapport à un dictionnaire de mots de passe par défaut, volés et connus. Ne jamais utiliser d’indices pour la réinitialisation des mots de passe. Définir des mots de passe longs. Éviter les rotations arbitraires de mots de passe. Verrouiller ou supprimer les informations d’identification inutiles.

Limitez les accès administrateur

Une bonne gestion des comptes passe par l’application du principe de moindre privilège. La première priorité est de limiter les accès administrateur. À moins que le département informatique soit composé d’une seule personne travaillant 24 h/24, 7 j/7, répartir les responsabilités par région, fuseau horaire ou fonction système est la meilleure des options. Une autre technique efficace consiste à séparer les comptes des administrateurs système des comptes utilisateur dont ils se servent pour accomplir leurs tâches quotidiennes. Les administrateurs doivent utiliser un compte sans privilèges pour des activités telles que la lecture d’e-mails, la navigation sur le Web et l’accès aux applications. Il leur suffira de changer de compte ou d’élever leurs privilèges pour effectuer des tâches d’administration informatique. De cette façon, si un administrateur clique accidentellement sur un e-mail de phishing renfermant un ransomware, le réseau ne sera pas entièrement détruit. Bon nombre de ces restrictions sont configurables dans la plupart des systèmes d’exploitation.

La même approche s’applique aux comptes de service. Il s’agit souvent de comptes invisibles liés à l’exécution d’applications. Le piratage de ces services aide les cybercriminels à prendre le contrôle. Seuls les droits nécessaires à l’exécution du service doivent être accordés aux comptes associés. Les serveurs Web ont besoin de droits d’accès à leur propre service et aux répertoires de fichiers, pas à un système ni à un réseau tout entier. L’utilisation d’un compte administrateur générique complet en tant que compte de service est une véritable bombe à retardement. Les systèmes d’exploitation possèdent des fonctions intégrées qui permettent de limiter les droits des comptes de service en interdisant toute connexion interactive humaine, et en les associant uniquement aux serveurs et services sur lesquels ils sont censés fonctionner.

Certains systèmes autorisent également la restriction des domaines de privilèges associés aux comptes de service. Il est par exemple possible de configurer un serveur de sauvegarde pour un accès en lecture seule au domaine principal de sorte qu’il puisse copier les fichiers à sauvegarder. Les restaurations pourront être effectuées sous un compte différent ou manuellement par un administrateur système.

Contrôlez les accès

Les activités de tous les comptes utilisateur doivent être consignées dans des journaux inaltérables. Les cybercriminels tenteront d’effacer leurs traces. Le système de surveillance doit donc tirer la sonnette d’alarme si des journaux sont supprimés ou ne sont plus générés. Il est en outre plus prudent de configurer le système pour qu’il envoie automatiquement une alerte chaque fois qu’un compte d’administrateur système est créé. Ces événements sont suffisamment rares pour produire un nombre de faux positifs tout à fait gérable. Il est par ailleurs important de contrôler les comptes utilisateur généraux par rapport aux dossiers du personnel afin de s’assurer que seules les personnes autorisées continuent à bénéficier d’un accès. Enfin, en raison de la prévalence des attaques par force brute et par credential stuffing, il est important de créer des alertes pour signaler un nombre élevé d’échecs de connexion.

Défense contre les ransomwares n° 2 : la segmentation du réseau

Les pare-feux permettent de circonscrire les infections à des segments spécifiques d’utilisateurs, de systèmes ou de niveaux de confiance. Les LAN virtuels, qui s’exécutent sur des commutateurs gérés, constituent une alternative intéressante si la mise en oeuvre de pare-feu internes est impossible. Il s’agit essentiellement de l’application du principe de moindre privilège au niveau du réseau.

Segmentez les limites de confiance

Si une compromission des outils de gestion via la chaîne logistique est possible, il faut définir des politiques de refus par défaut à l’aide de règles de pare-feu qui contrôlent les serveurs de gestion. Ensuite, configurer uniquement les connexions et ports nécessaires aux fonctions de gestion à distance pour les adresses des systèmes gérés. Un système de gestion à distance pouvant avoir accès à Internet ou au réseau interne, mais pas aux deux en même temps. Pour empêcher les pirates de contrôler à distance les serveurs, la même règle s’applique aux interfaces d’administration : limiter leur accès au moyen de règles réseau.

Il est possible de filtrer le trafic réseau partout où des sous-réseaux dotés de niveaux de confiance différents se connectent les uns aux autres, comme les réseaux sans fil, les passerelles d’accès à distance, les connexions tierces, les serveurs de stockage, les appareils de l’Internet des objets (IoT), les serveurs de sauvegarde, les systèmes de développement et les réseaux d’utilisateurs. Une fois encore, le principe de moindre privilège s’applique et il faut uniquement autoriser les méthodes de communication établies vers des adresses définies.

Appliquer des correctifs à l’infrastructure réseau

Les correctifs doivent en outre être appliqués dans les plus brefs délais aux périphériques et pare-feu réseau qui gèrent la segmentation du réseau. Les cybercriminels exploiteront les bugs pour infiltrer les réseaux, il faut donc veiller à maintenir ces périphériques à jour.

Défense contre les ransomwares n° 3 : la sauvegarde des données

Une fois qu’un ransomware prend le contrôle des systèmes, il est préférable de tout supprimer et de repartir de zéro. Les pirates le savent bien. C’est pourquoi ils corrompent les systèmes de sauvegarde lors des attaques par ransomware. Il est donc indispensable de disposer de sauvegardes complètes et à jour, et de les protéger.

La règle de sauvegarde du « 3-2-1 »

Celle-ci consiste à effectuer trois sauvegardes des données, dont deux copies sur des supports différents et une hors site. Il ne faut pas oublier de tout sauvegarder, y compris les images système, les logiciels d’application et les configurations. L’entreprise peut ensuite reconstruire les serveurs et les stations de travail, de préférence en automatisant la procédure pour plus de rapidité et de facilité.

Tester le processus de restauration complet

Les tests de restauration doivent également inclure l’exhaustivité et la rapidité. Tester la restauration de quelques fichiers est une chose, restaurer des centaines de téraoctets de données en est une autre. Dans de nombreux cas, un processus de restauration complet peut prendre plusieurs jours. De même, si l’on effectue des sauvegardes en ligne (dans le Cloud, par exemple), il faut vérifier les coûts et les besoins en vitesse de bande passante. Certains fournisseurs de services Cloud facturent des frais de transfert beaucoup plus élevés pour le téléchargement de données depuis leur Cloud que vers celui-ci.

Utilisez des sauvegardes immuables

Les principaux fournisseurs de services Cloud offrent désormais des options de stockage immuable, telles que le verrouillage logiciel des fichiers lors de leur création. Le verrou peut rester en place pendant des semaines ou des mois afin d’empêcher toute modification des fichiers stockés. Ces verrous permettent aux entreprises de se protéger contre les ransomwares, mais aussi de se conformer aux exigences réglementaires et légales en matière d’inviolabilité des journaux.

Défense contre les ransomwares n° 3 : la défense en profondeur

Les ransomwares représentent une menace croissante pour les systèmes critiques. Il est heureusement possible d’y remédier grâce à une stratégie de défense en profondeur..

Il n’existe toutefois pas de liste précise des contrôles et des défenses à mettre en œuvre. Ceux-ci varient en fonction de l’activité, de l’infrastructure technologique, de la culture et des menaces applicables à l’entreprise. L’important est d’analyser et de comprendre les menaces auxquelles l’entreprise est confrontée, de déterminer les ressources les plus précieuses, puis d’appliquer des contrôles différents, mais complémentaires, pour réduire au minimum les risques. La bonne nouvelle est qu’un ensemble coordonné de défenses performantes, quoiqu’imparfaites, est non seulement une approche plus efficace qu’un seul contrôle à toute épreuve, mais aussi une solution beaucoup plus réaliste.


A découvrir