Une entreprise peut être rendue inopérante par une attaque de ransomware en quelques minutes, ce qui la rend incapable d’accéder à des informations vitales et de faire des affaires. Mais ce n’est pas tout; plus récemment, les acteurs de la menace sont passés de l’utilisation de ransomwares pour infecter les systèmes à des formes d’extorsion à multiples facettes dans lesquelles ils identifient également publiquement leurs victimes, volent des données et menacent de les vendre ou de les révéler au public.
Les entreprises doivent s’assurer qu’elles sont résilientes en se concentrant sur la prévention, la préparation, la réponse et les plans de récupération des ransomwares, alors que les gouvernements, les forces de l’ordre et les régulateurs continuent de lutter contre les préoccupations liées aux ransomwares, notamment la transparence et la réglementation des cryptomonnaies.
Pour réduire le risque d’attaques par ransomware, les organisations devraient envisager de prendre les mesures suivantes :
-
Préparation stratégique : couvre tout, de l’évaluation des cyber-risques, des exercices sur table, de la formation de sensibilisation à la sécurité et des sauvegardes de données sécurisées aux tests d’intrusion.
-
Prévention : inclut l’application de mesures de sécurité telles que la gestion des correctifs, la liste blanche des applications, les filtres anti-spam, le moindre privilège, ainsi que le déploiement de logiciels anti-malware et de sécurité des terminaux.
-
Réponse aux incidents : les organisations doivent investir dans des services et des outils médico-légaux pour traiter :
-
Enquête sur l’attaque par ransomware : Afin de déterminer comment l’incident s’est produit et sécuriser les preuves pour la préparation aux litiges.
-
Remédiation : En durcissant l’environnement pour que les attaquants n’y aient plus accès et pour éviter une nouvelle propagation du ransomware.
-
Efforts d’éradication : Visant à éliminer l’attaquant de l’environnement, par exemple en désactivant les comptes, en réinitialisant les mots de passe, en établissant l’authentification multifactorielle et, finalement, en se débarrassant du ransomware.
-
Efforts de récupération : Se concentrer sur la restauration de l’entreprise, l’objectif principal étant d’y parvenir de manière sécurisée sans risquer de réinfection de l’infrastructure.
-
La nécessité de se concentrer sur la préparation et la réponse
La préparation d’une organisation aux ransomwares doit être améliorée et il faut s’assurer que les outils requis pour la remédiation, l’éradication et la récupération ne sont pas seulement là, mais fonctionnent également comme prévu. Cela est particulièrement vrai pour la récupération des terminaux, qui, dans l’environnement actuel de travail à partir de n’importe où, constitue un outil crucial pour les travailleurs distants pour mener à bien les activités commerciales qui leur sont assignées. Le passage au travail à distance augmente les exigences des équipes informatiques et de sécurité déjà surchargées lorsqu’il s’agit de récupérer les appareils des employés, même si les efforts de récupération des terminaux sont toujours considérés comme une priorité secondaire par rapport à la restauration des infrastructures critiques (par exemple, Active Directory, serveurs de bases de données, serveurs d’applications, serveurs de messages) et applications d’entreprise.
De plus, les attaques par ransomware laissent fréquemment les terminaux dans une situation où ils sont soit susceptibles d’être réinfectés, soit presque difficiles à réimager/récupérer en raison du dysfonctionnement des outils requis. Au final, cela augmente les difficultés rencontrées par les équipes informatiques et de sécurité, qui ont déjà épuisé toutes leurs ressources lorsqu’elles ont été chargées de restaurer les terminaux de leurs travailleurs.
Accroître la résilience dans la réponse aux ransomwares
Afin de surveiller la cyber-hygiène des terminaux sur l’ensemble du parc d’appareils, d’évaluer la préparation des terminaux aux ransomwares et d’accélérer la récupération de ces derniers à l’aide d’une connectivité permanente, de capacités de restauration automatisée des outils et de commandes de script automatisées, de plus en plus d’organisations se tournent vers des offres de réponse aux ransomwares.
Les fonctionnalités suivantes sont fournies par ces offres :
-
Vérifiez l’état de préparation stratégique des ransomwares sur les terminaux : En identifiant les contrôles clés (par exemple, les solutions antivirus/anti-logiciels malveillants, de protection des terminaux ou de détection et de réponse des terminaux) et les outils de gestion des périphériques nécessaires pour minimiser l’exposition aux ransomwares et assurer des efforts de récupération accélérés.
-
Activez la cyber-hygiène des ransomwares sur les terminaux : en établissant des politiques de résilience des applications pour garantir que les applications de sécurité critiques identifiées et les outils de gestion des périphériques sont installés et fonctionnent comme prévu.
-
Évaluez la posture de sécurité des appareils : en détectant et en signalant en permanence les logiciels anti-logiciels malveillants, ainsi que les logiciels de détection et de réponse déployés sur l’ensemble des actifs des terminaux de la flotte.
-
Découvrez les données sensibles des terminaux : en analysant les terminaux à la recherche d’informations financières, de numéros de sécurité sociale, d’informations personnelles identifiables (PII), d’informations de santé protégées (PHI) et de propriété intellectuelle pour identifier les appareils à risque et assurer une sauvegarde appropriée via les outils existants.
-
Auto-guérissez pour les logiciels de sécurité des terminaux et de gestion des périphériques : en tirant parti de la résistance des applications pour maintenir les outils essentiels installés, sains et efficaces afin de garantir leur disponibilité à des fins de récupération.
-
Informez les utilisateurs de manière opportune et coordonnée : en affichant des messages sur les appareils des utilisateurs, en évitant les appels inutiles au service d’assistance et les communications fragmentées.
-
Accélérez les tâches de récupération : en collectant des informations précises, en exécutant des flux de travail personnalisés et en automatisant les commandes de récupération des périphériques en tirant parti d’une bibliothèque de scripts personnalisés pour vous aider dans des tâches telles que l’identification des machines infectées et chiffrées, la mise en quarantaine des terminaux (par exemple, désactiver la mise en réseau ou déverrouiller des ports de périphériques spécifiques), ou la prise en charge de la réimagination des périphériques.
Étapes pour la prévention des ransomwares
Pour renforcer la sécurité de votre entreprise et l’empêcher de devenir la proie d’une agression trop courante, utilisez ces six meilleures pratiques de prévention des ransomwares.
-
Maintenez un programme de sécurité approfondie en matière de défense : Les logiciels malveillants comprennent les ransomwares et, dans la pratique, la plupart des épidémies de ransomwares utilisent des variantes bien connues qui sont rapidement identifiées par des mesures antimalware actives. Sur le marché actuel, certains produits anti-malware fournissent en outre des fonctions anti-ransomware spécialisées. Créez un système de sécurité de défense en profondeur qui combine un anti-malware efficace avec des technologies et des procédures supplémentaires, telles que les suivantes :
-
Analyse et filtrage des terminaux via des pare-feu
-
Étude du trafic réseau
-
Filtrage de sécurité des e-mails et filtrage Web systèmes de détection d’intrusion
-
Allowlisting/Dénylisting
-
L’utilisation de VPN ou d’autres technologies de sécurité périmétrique pour les employés distants, le respect du principe du moindre privilège, l’exigence d’authentification multifactorielle, la désactivation ou la limitation de l’utilisation du protocole de bureau à distance, un point d’entrée commun pour les attaques de ransomware et la protection des ports contre l’exploitation sont également recommandées. Voici les meilleures pratiques de prévention des ransomwares.
-
Envisagez des technologies de protection avancées : Malgré le fait que la plupart des attaques de ransomware peuvent être arrêtées par des défenses anti-malware de base, il est toujours possible que les criminels utilisent de nouvelles tactiques pour attaquer leurs cibles. Utilisez une technologie de pointe, telle que la suivante, pour trouver ces Zero Day :
-
Détection et réaction au point final
-
Bac à Sable
-
Une technologie qui analyse le comportement
-
Accès et sécurité réseau sans confiance
-
Technologie de la tromperie
-
-
Sensibilisez les employés aux risques de l’ingénierie sociale : Souvent, les employés introduisent involontairement des ransomwares dans une entreprise. La plupart du temps, cela implique qu’un travailleur tombe dans une arnaque de phishing, visite une URL dangereuse ou télécharge et ouvre un fichier nuisible. Mener des campagnes de formation et de sensibilisation sur la cybersécurité à l’intention de tous les intervenants, partenaires et travailleurs. Fournissez fréquemment des messages à jour et cohérents. Encouragez les employés à prendre les mesures suivantes:
-
Créez des mots de passe sécurisés.
-
Vérifiez les expéditeurs de l’e-mail.
-
Ouvrez uniquement les pièces jointes et les liens provenant d’expéditeurs reconnus.
-
Évitez de télécharger des fichiers douteux ou de cliquer sur des liens douteux.
-
Les employés qui ne sont pas prêts pourraient mettre une entreprise en grave danger. Assurez-vous que le personnel sait ce qu’il faut faire si un ransomware infecte le réseau et alertez immédiatement la direction. Créez une stratégie pour gérer une situation de ransomware qui décrit ce qui doit être fait par la direction, l’équipe de sécurité et les membres du personnel.
-
Faites des patch régulièrement : Corriger régulièrement les vulnérabilités des logiciels et des systèmes peut avoir épargné à de nombreuses entreprises beaucoup d’efforts, d’inquiétudes et d’argent. Pour garantir que les vulnérabilités sont corrigées rapidement et efficacement, utilisez un outil de gestion des correctifs.
-
Effectuez des sauvegardes fréquentes des données critiques : L’objectif principal des attaques de ransomware est de refuser aux victimes l’accès à des données vitales jusqu’à ce qu’elles paient une rançon. Les sauvegardes peuvent atténuer ce danger en vous donnant une stratégie de sauvegarde. Les sauvegardes peuvent aider à restaurer rapidement l’accès à vos données si un ransomware les crypte sans avoir à se conformer aux demandes de l’attaquant. Les sauvegardes doivent être conservées hors réseau, où elles ne sont pas accessibles. Pour vous assurer que la sauvegarde est protégée contre une attaque de ransomware, déconnectez-la ou stockez-la sur un périphérique externe. Lorsque vous effectuez une restauration à partir d’une sauvegarde, vous êtes probablement toujours exposé à la même vulnérabilité que les attaquants ont utilisée pour la première fois contre vous. Assurez-vous que la cause sous-jacente de l’événement est identifiée et traitée dans le cadre de votre stratégie de récupération de ransomware.
-
Ne dépendez pas uniquement des sauvegardes : Les ransomwares évoluent. De nombreux attaquants utilisent maintenant une double extorsion – ils chiffrent les données de la victime et les exfiltrent. De cette façon, même si une entreprise restaure ses données à partir d’une sauvegarde, l’attaquant peut toujours exiger le paiement d’une rançon pour ne pas divulguer les données. Les sauvegardes sont importantes, mais elles ne sont qu’un élément d’une stratégie de prévention approfondie des ransomwares.
Les organisations qui suivent ces ransomware meilleures pratiques de prévention vont se trouver bien préparé pour la prochaine vague de ransomware. Ces contrôles de sécurité ne sont pas la science de fusée, mais dans le visage de millions d’attaques réussies dans la dernière année, ils nous rappellent qu’ils sont d’une importance critique.
DataSecurity Plus : Logiciel de protection contre les ransomwares
Des avertissements instantanés, une base de données de formats de fichiers de ransomwares connus et des réponses automatisées aux incidents sont autant de fonctionnalités de ManageEngine DataSecurity Plus qui aident à identifier et à traiter les attaques de ransomwares. Le système de protection multicouche de DataSecurity Plus est imbattable contre les ransomwares.
Notre DataSecurity Plus vous aidera à :
-
Détecter les attaques de rançongiciels en quelques secondes : Repérez et recevez des notifications instantanées sur les indicateurs révélateurs d’une attaque de ransomware, tels qu’un pic soudain d’événements de modification de fichier, de changement de nom et de changement d’autorisation.
-
Automatiser la réponse aux ransomwares : Choisissez d’arrêter l’appareil infecté, d’isoler le système corrompu du réseau ou de déconnecter les sessions utilisateur conformément aux directives de votre organisation.
-
Supprimer les fichiers corrompus par un ransomware : Repérez et purgez les fichiers corrompus par des variantes de ransomwares notoires de vos magasins de données à l’aide de notre bibliothèque de types de fichiers de ransomwares connus.
-
Enquêter sur les attaques de ransomware : Identifiez le « patient zéro » des attaques de rançongiciels à l’aide d’une piste d’audit claire et concise, ainsi que des détails sur l’adresse IP client de la machine où elle a commencé.
Visitez notre DataSecurity Plus page pour en savoir plus sur la façon dont nos solutions peuvent aider votre entreprise à se défendre contre les ransomwares.Téléchargez la version d’essai gratuite de 30 jours de DataSecurity Plus et découvrez comment détecter et répondre aux attaques de ransomwares. Remplissez le formulaire sur cette page si vous avez des questions ou souhaitez une démonstration des fonctionnalités de notre DataSecurity Plus , et un membre de notre équipe de support technique DataSecurity Plus vous assistera.
