Prévenir, contenir, récupérer :un guide de préparation aux ransomwares pour les chaînes d'approvisionnement
Les ransomwares sont une priorité pour beaucoup d'entre nous dans l'industrie de la cybersécurité, car nous avons vu un nombre croissant d'attaques affectant les réseaux hospitaliers, les gouvernements locaux et la chaîne d'approvisionnement au sens large. Une attaque de ransomware contre une entreprise entraîne généralement une perte d'accès aux données et aux systèmes pendant un certain temps et a un impact financier en raison de la perte de revenus et de l'argent dépensé pour les efforts de récupération. Lorsqu'une attaque de ransomware est dirigée contre une entreprise faisant partie de la chaîne d'approvisionnement, elle peut avoir un impact beaucoup plus large, car un seul fournisseur de services peut avoir un effet direct sur des centaines ou des milliers d'entreprises.
Il est impératif de comprendre la préparation de votre organisation à la menace des ransomwares, et savoir comment les fournisseurs de votre chaîne d'approvisionnement interviennent dans votre préparation est un élément essentiel de votre stratégie globale.
Il peut être difficile d'essayer de s'assurer que toutes vos défenses sont couvertes et que vous avez fait tout votre possible pour empêcher ou réduire l'impact d'une attaque de ransomware. Une stratégie solide est de grande envergure et multicouche — englobant l'architecture, les terminaux, les utilisateurs et bien plus encore.
Alors par où commencer ? Une approche structurée et logique peut aider à mettre de l'ordre dans la compréhension de la préparation de votre organisation aux ransomwares. Pour y parvenir, examinons trois catégories principales :la prévention, le confinement et la récupération.
Prévention
Notre objectif principal est de garder les ransomwares hors de notre environnement, en les empêchant d'y entrer dès le départ. À partir de cette posture défensive, nous devons examiner votre infrastructure depuis les contrôles de périmètre jusqu'aux utilisateurs finaux. Bien que nous puissions couvrir ce sujet en détail, nous concentrerons notre attention sur les lacunes dans lesquelles les ransomwares sont le plus souvent introduits.
- Protocole de bureau à distance (RDP). Bien qu'il ne s'agisse pas d'une nouvelle technologie ou d'un nouveau vecteur d'attaque, RDP a été une cible régulière en raison de vulnérabilités, d'une mauvaise configuration ou d'une susceptibilité aux attaques par force brute. Avec l'augmentation récente de la main-d'œuvre à distance et l'augmentation correspondante de l'utilisation de RDP, les attaquants s'amusent avec les nouvelles cibles. Les activités de prévention incluent ici la limitation du nombre de ports ouverts, des contrôles d'authentification forts (y compris l'authentification à plusieurs facteurs) et un programme solide de gestion des vulnérabilités.
- Phishing. Les e-mails d'hameçonnage peuvent être particulièrement dangereux car ils peuvent contourner bon nombre de vos contrôles de sécurité, permettant ainsi à du contenu malveillant d'être livré directement à ce qui est le plus souvent votre maillon de sécurité le plus faible :l'utilisateur final. Les e-mails d'hameçonnage tentent généralement d'obtenir les informations d'identification de l'utilisateur ou de contenir des pièces jointes ou des liens malveillants, fournissant en fin de compte aux attaquants un chemin direct vers votre environnement. Les activités de prévention incluent ici l'utilisation d'une solution de sécurité de messagerie, une formation à la sécurité et à la sensibilisation pour les utilisateurs finaux, ainsi que des solutions de détection et de réponse aux points de terminaison.
En définitive, les techniques de prévention recommandées ne sont pas nouvelles. Ce sont les mêmes principes clés dont la communauté de la sécurité de l'information discute depuis un certain temps :restriction de ce qui est accessible depuis Internet, analyse des vulnérabilités, correctifs et contrôles d'authentification forte.
Confinement
Ainsi, malgré tous vos efforts, un ransomware pénètre dans votre environnement. Comment pouvez-vous arrêter la propagation? Prenons l'exemple d'un incendie dans un bâtiment :la stratégie de confinement précède l'incendie réel grâce à l'utilisation de pare-feu, de matériaux ignifuges, etc. Il en va de même pour les attaques comme les ransomwares. Voici deux stratégies de confinement clés :
- Utilisation du compte privilégié. Les attaquants adorent cibler les comptes privilégiés car ils offrent des niveaux élevés d'accès aux systèmes et aux données ainsi que les autorisations nécessaires pour exécuter du code malveillant. La réutilisation des mots de passe, les mots de passe des comptes de service stockés en texte clair, les mots de passe faciles à deviner, etc. sont tous des problèmes courants contribuant à la compromission des comptes.
Une approche holistique de la gestion des comptes à privilèges est la clé ici. Cela inclut de comprendre quels comptes privilégiés vous possédez et à quoi ils ont accès ; comment ils sont utilisés (par exemple, administrateur de domaine vs compte de service) ; et comment ces comptes sont accessibles et gérés (par exemple, l'utilisation d'une solution de gestion de compte à privilèges).
- Segmentation du réseau. Les réseaux plats sont un scénario de rêve pour un attaquant. Une fois les identifiants obtenus, ils peuvent se déplacer librement sur l'ensemble du réseau d'une organisation et avoir un accès illimité aux systèmes et aux données. Au minimum, vous devez utiliser la segmentation pour restreindre autant que possible les mouvements latéraux afin qu'un attaquant ait beaucoup plus de mal à traverser votre réseau et à accéder à des systèmes et des données supplémentaires.
Récupération
Outre un plan de réponse aux incidents, le plan le plus essentiel pour vous aider dans vos efforts de récupération est un plan de résilience de l'entreprise. Comment l'entreprise continuera-t-elle à fonctionner? Un plan de résilience solide vous aidera à restaurer la fonctionnalité de vos principaux systèmes d'entreprise.
Les vecteurs d'attaque courants pour les organisations incluent les fournisseurs tiers dans la chaîne d'approvisionnement. Alors, comment pouvons-nous identifier et réduire les risques que présentent nos fournisseurs ? Tout d'abord, répondez à ces questions cruciales :
- Qui sont vos fournisseurs ?
- Quel service chaque fournisseur propose-t-il à votre organisation ?
Identifier réellement qui sont vos fournisseurs n'est pas une tâche simple. Est-il possible que vous ayez des fournisseurs qui ont accès à votre réseau ou à vos données et que vous ne le sachiez pas ? Absolument. La réalité est qu'il existe la possibilité d'accéder directement à une solution basée sur le cloud et avec rien de plus qu'une carte de crédit et quelques clics de souris, vous disposez désormais d'un fournisseur ayant accès à vos données. Si vous ne savez pas qui ils sont, il est impossible d'évaluer leur risque pour votre organisation. Quant à ce qu'ils font, les fournisseurs de votre chaîne d'approvisionnement peuvent fournir toutes sortes de services. Certains présentent intrinsèquement un risque plus élevé pour votre entreprise en fonction des données ou des systèmes internes auxquels ils ont accès.
Répondre à ces questions est un excellent point de départ pour effectuer des activités d'évaluation adéquates contre ces fournisseurs. L'objectif est de s'assurer que les fournisseurs ont mis en place les contrôles appropriés pour protéger vos systèmes ou vos données en fonction des services qu'ils vous fournissent. Il existe de nombreuses stratégies d'évaluation à exploiter, y compris l'examen des certifications telles que SOC ou ISO, des questionnaires d'évaluation comme le SIG, les résultats des tests d'intrusion, etc. Quelle que soit la façon dont vous l'abordez, valider que vos fournisseurs ont mis ces contrôles en place peut réduire le risque votre organisation étant impactée en cas d'attaque.
À mesure que les systèmes deviennent de plus en plus connectés et complexes, les attaquants peuvent toujours trouver un moyen de contourner vos défenses. Mais se préparer à une attaque de ransomware peut réduire considérablement l'impact et les pannes pour votre organisation. Avec une stratégie de défense en profondeur, ainsi que des plans de confinement et de résilience appropriés, la cyber-force de votre organisation ne peut qu'augmenter.
Gary Brickhouse est responsable de la sécurité informatique de GuidePoint Security.
Les ransomwares sont une priorité pour beaucoup d'entre nous dans l'industrie de la cybersécurité, car nous avons vu un nombre croissant d'attaques affectant les réseaux hospitaliers, les gouvernements locaux et la chaîne d'approvisionnement au sens large. Une attaque de ransomware contre une entreprise entraîne généralement une perte d'accès aux données et aux systèmes pendant un certain temps et a un impact financier en raison de la perte de revenus et de l'argent dépensé pour les efforts de récupération. Lorsqu'une attaque de ransomware est dirigée contre une entreprise faisant partie de la chaîne d'approvisionnement, elle peut avoir un impact beaucoup plus large, car un seul fournisseur de services peut avoir un effet direct sur des centaines ou des milliers d'entreprises.
Il est impératif de comprendre la préparation de votre organisation à la menace des ransomwares, et savoir comment les fournisseurs de votre chaîne d'approvisionnement interviennent dans votre préparation est un élément essentiel de votre stratégie globale.
Il peut être difficile d'essayer de s'assurer que toutes vos défenses sont couvertes et que vous avez fait tout votre possible pour empêcher ou réduire l'impact d'une attaque de ransomware. Une stratégie solide est de grande envergure et multicouche — englobant l'architecture, les terminaux, les utilisateurs et bien plus encore.
Alors par où commencer ? Une approche structurée et logique peut aider à mettre de l'ordre dans la compréhension de la préparation de votre organisation aux ransomwares. Pour y parvenir, examinons trois catégories principales :la prévention, le confinement et la récupération.
Prévention
Notre objectif principal est de garder les ransomwares hors de notre environnement, en les empêchant d'y entrer dès le départ. À partir de cette posture défensive, nous devons examiner votre infrastructure depuis les contrôles de périmètre jusqu'aux utilisateurs finaux. Bien que nous puissions couvrir ce sujet en détail, nous concentrerons notre attention sur les lacunes dans lesquelles les ransomwares sont le plus souvent introduits.
- Protocole de bureau à distance (RDP). Bien qu'il ne s'agisse pas d'une nouvelle technologie ou d'un nouveau vecteur d'attaque, RDP a été une cible régulière en raison de vulnérabilités, d'une mauvaise configuration ou d'une susceptibilité aux attaques par force brute. Avec l'augmentation récente de la main-d'œuvre à distance et l'augmentation correspondante de l'utilisation de RDP, les attaquants s'amusent avec les nouvelles cibles. Les activités de prévention incluent ici la limitation du nombre de ports ouverts, des contrôles d'authentification forts (y compris l'authentification à plusieurs facteurs) et un programme solide de gestion des vulnérabilités.
- Phishing. Les e-mails d'hameçonnage peuvent être particulièrement dangereux car ils peuvent contourner bon nombre de vos contrôles de sécurité, permettant ainsi à du contenu malveillant d'être livré directement à ce qui est le plus souvent votre maillon de sécurité le plus faible :l'utilisateur final. Les e-mails d'hameçonnage tentent généralement d'obtenir les informations d'identification de l'utilisateur ou de contenir des pièces jointes ou des liens malveillants, fournissant en fin de compte aux attaquants un chemin direct vers votre environnement. Les activités de prévention incluent ici l'utilisation d'une solution de sécurité de messagerie, une formation à la sécurité et à la sensibilisation pour les utilisateurs finaux, ainsi que des solutions de détection et de réponse aux points de terminaison.
En définitive, les techniques de prévention recommandées ne sont pas nouvelles. Ce sont les mêmes principes clés dont la communauté de la sécurité de l'information discute depuis un certain temps :restriction de ce qui est accessible depuis Internet, analyse des vulnérabilités, correctifs et contrôles d'authentification forte.
Confinement
Ainsi, malgré tous vos efforts, un ransomware pénètre dans votre environnement. Comment pouvez-vous arrêter la propagation? Prenons l'exemple d'un incendie dans un bâtiment :la stratégie de confinement précède l'incendie réel grâce à l'utilisation de pare-feu, de matériaux ignifuges, etc. Il en va de même pour les attaques comme les ransomwares. Voici deux stratégies de confinement clés :
- Utilisation du compte privilégié. Les attaquants adorent cibler les comptes privilégiés car ils offrent des niveaux élevés d'accès aux systèmes et aux données ainsi que les autorisations nécessaires pour exécuter du code malveillant. La réutilisation des mots de passe, les mots de passe des comptes de service stockés en texte clair, les mots de passe faciles à deviner, etc. sont tous des problèmes courants contribuant à la compromission des comptes.
Une approche holistique de la gestion des comptes à privilèges est la clé ici. Cela inclut de comprendre quels comptes privilégiés vous possédez et à quoi ils ont accès ; comment ils sont utilisés (par exemple, administrateur de domaine vs compte de service) ; et comment ces comptes sont accessibles et gérés (par exemple, l'utilisation d'une solution de gestion de compte à privilèges).
- Segmentation du réseau. Les réseaux plats sont un scénario de rêve pour un attaquant. Une fois les identifiants obtenus, ils peuvent se déplacer librement sur l'ensemble du réseau d'une organisation et avoir un accès illimité aux systèmes et aux données. Au minimum, vous devez utiliser la segmentation pour restreindre autant que possible les mouvements latéraux afin qu'un attaquant ait beaucoup plus de mal à traverser votre réseau et à accéder à des systèmes et des données supplémentaires.
Récupération
Outre un plan de réponse aux incidents, le plan le plus essentiel pour vous aider dans vos efforts de récupération est un plan de résilience de l'entreprise. Comment l'entreprise continuera-t-elle à fonctionner? Un plan de résilience solide vous aidera à restaurer la fonctionnalité de vos principaux systèmes d'entreprise.
Les vecteurs d'attaque courants pour les organisations incluent les fournisseurs tiers dans la chaîne d'approvisionnement. Alors, comment pouvons-nous identifier et réduire les risques que présentent nos fournisseurs ? Tout d'abord, répondez à ces questions cruciales :
- Qui sont vos fournisseurs ?
- Quel service chaque fournisseur propose-t-il à votre organisation ?
Identifier réellement qui sont vos fournisseurs n'est pas une tâche simple. Est-il possible que vous ayez des fournisseurs qui ont accès à votre réseau ou à vos données et que vous ne le sachiez pas ? Absolument. La réalité est qu'il existe la possibilité d'accéder directement à une solution basée sur le cloud et avec rien de plus qu'une carte de crédit et quelques clics de souris, vous disposez désormais d'un fournisseur ayant accès à vos données. Si vous ne savez pas qui ils sont, il est impossible d'évaluer leur risque pour votre organisation. Quant à ce qu'ils font, les fournisseurs de votre chaîne d'approvisionnement peuvent fournir toutes sortes de services. Certains présentent intrinsèquement un risque plus élevé pour votre entreprise en fonction des données ou des systèmes internes auxquels ils ont accès.
Répondre à ces questions est un excellent point de départ pour effectuer des activités d'évaluation adéquates contre ces fournisseurs. L'objectif est de s'assurer que les fournisseurs ont mis en place les contrôles appropriés pour protéger vos systèmes ou vos données en fonction des services qu'ils vous fournissent. Il existe de nombreuses stratégies d'évaluation à exploiter, y compris l'examen des certifications telles que SOC ou ISO, des questionnaires d'évaluation comme le SIG, les résultats des tests d'intrusion, etc. Quelle que soit la façon dont vous l'abordez, valider que vos fournisseurs ont mis ces contrôles en place peut réduire le risque votre organisation étant impactée en cas d'attaque.
À mesure que les systèmes deviennent de plus en plus connectés et complexes, les attaquants peuvent toujours trouver un moyen de contourner vos défenses. Mais se préparer à une attaque de ransomware peut réduire considérablement l'impact et les pannes pour votre organisation. Avec une stratégie de défense en profondeur, ainsi que des plans de confinement et de résilience appropriés, la cyber-force de votre organisation ne peut qu'augmenter.
Gary Brickhouse est responsable de la sécurité informatique de GuidePoint Security.
Technologie industrielle
- Hybrid Demand Sensing :préparer les chaînes d'approvisionnement pour les temps incertains
- L'épidémie de coronavirus servira-t-elle de sonnette d'alarme pour les chaînes d'approvisionnement mondiales ?
- Pour les chaînes d'approvisionnement mondiales, la barre a été relevée en matière de déclaration des émissions
- L'IA peut aider à rendre les chaînes d'approvisionnement durables
- Voici comment les détaillants récupéreront leurs chaînes d'approvisionnement
- La fin des chaînes d'approvisionnement à source unique
- Construire de meilleures chaînes d'approvisionnement pour l'avenir
- Quatre leçons post-pandémiques pour les chaînes d'approvisionnement du commerce électronique
- Une nouvelle feuille de route pour les chaînes d'approvisionnement en pétrole et en gaz