Avec l'introduction du télétravail, les risques pour les terminaux des employés ont augmenté dans de nombreuses entreprises. Il est temps de mieux protéger les endpoints - peu importe où il se trouve.
En dehors de l'infrastructure de sécurité protectrice du réseau d'entreprise, les terminaux sont souvent une cible facile pour les cybercriminels. L'expert en sécurité CyberArk donne des conseils sur la façon de protéger les ordinateurs et de minimiser les effets des attaques.
Les cybercriminels ciblent les endpoints
Les ordinateurs de bureau des employés sont aujourd'hui l'une des passerelles les plus populaires pour les cybercriminels. Parce que les systèmes sont souvent insuffisamment protégés, ils permettent aux attaquants de lancer facilement des attaques de rançongiciels, de voler des données d'accès privilégié ou de se frayer un chemin plus loin dans le réseau de l'entreprise vers des systèmes importants. Il existe de nombreuses mesures pour compliquer la vie des intrus. Les plus efficaces sont :
Supprimer les droits d'administrateur local
Des comptes d'administrateur sont requis sous Windows, MacOS et Linux pour installer et mettre à jour les logiciels, régler les paramètres système et gérer les comptes d'utilisateurs. Les attaquants ciblent ces accès privilégiés car ils peuvent utiliser les droits étendus pour désactiver les logiciels antivirus ou les outils de reprise après sinistre et installer des logiciels malveillants, par exemple. Le moyen le plus rapide et le plus simple de renforcer les systèmes des employés consiste à supprimer les droits d'administrateur local et à les placer dans un coffre-fort numérique sécurisé avec des identifiants rotatifs. Cela restreint considérablement les options d'action d'un attaquant et minimise en même temps les effets des erreurs, telles que cliquer accidentellement sur un lien de phishing.
Appliquer le moindre privilège
Les employés veulent régulièrement effectuer des actions qui nécessitent des droits d'administrateur. L'attribution juste à temps basée sur des politiques de droits d'accès privilégiés leur permet de mener à bien ces activités - à condition qu'ils aient un intérêt légitime et le bon moment. Et sans avoir à faire au préalable une demande laborieuse et à attendre une réponse du helpdesk, afin que leur productivité ne soit pas entravée.
Mettre en œuvre des politiques de contrôle des applications
Bloquer ou autoriser des applications connues ne suffit pas pour empêcher les ransomwares et autres attaques. Les entreprises doivent pouvoir :
- traiter des applications inconnues. Par exemple, vous pouvez les exécuter en bac à sable, mais leur refuser l'accès à Internet. Cela réduit les risques posés par les rançongiciels et autres logiciels malveillants.
- Mettre en œuvre des politiques d'accès conditionnel avancées. Ces "politiques conditionnelles avancées" permettent aux employés d'utiliser des applications de confiance en toute sécurité. De cette façon, les entreprises peuvent, par exemple, autoriser Excel à s'exécuter mais empêcher le programme d'appeler PowerShell pour repousser les logiciels malveillants tels que BazarBackdoor.
- établir des règles complètes pour des exécutables spécifiques et des groupes d'exécutables. Les valeurs de hachage, les noms de fichiers et les chemins de fichiers, entre autres, doivent être pris en compte lors de la classification des fichiers.Dans le cas des groupes, par exemple, les entreprises pourraient autoriser les applications signées par un fournisseur spécifique ou à partir d'une source de mise à jour fiable par défaut.
Protéger les informations d'identification mises en cache
Le vol d'informations d'identification est le risque de sécurité numéro un auquel sont confrontées les entreprises aujourd'hui. De nombreuses applications professionnelles populaires permettent de stocker les informations de connexion en mémoire, et de nombreux navigateurs et gestionnaires de mots de passe mettent en cache les connexions aux applications et aux sites Web. Étant donné que les attaquants peuvent souvent y lire les données sans avoir les droits d'administrateur, les entreprises doivent automatiquement détecter et bloquer les tentatives de collecte de données de connexion. Sinon, les attaquants peuvent non seulement se connecter à des applications individuelles, mais peuvent également essayer de contourner les solutions d'authentification unique.
Tromperie : installation de pièges, tels que des pots de miel
Les solutions de protection des terminaux, qui incluent des fonctions dites de déception, aident à détecter les attaques. Ceux-ci incluent, par exemple, des "pots de miel" qui trompent les attaquants avec de faux comptes privilégiés en leur faisant croire qu'ils ont une cible simple et révèlent leurs activités.
Surveiller les activités privilégiées
Les attaquants aiment rester sous le radar et sonder soigneusement les défenses avant de planifier les prochaines étapes. En surveillant de manière proactive les actions entreprises avec les comptes privilégiés sur les terminaux, les organisations peuvent identifier et arrêter les intrus avant qu'ils ne se déplacent latéralement dans le réseau, en sécurisant des privilèges supplémentaires et en causant de graves dommages. Un enregistrement complet des activités privilégiées est également d'une aide précieuse dans les audits de conformité et les enquêtes médico-légales.
Plus sur CyberArk.com
À propos de CyberArk CyberArk est le leader mondial de la sécurité des identités. Avec Privileged Access Management comme composant central, CyberArk fournit une sécurité complète pour toute identité - humaine ou non humaine - dans les applications métier, les environnements de travail distribués, les charges de travail cloud hybrides et les cycles de vie DevOps. Les plus grandes entreprises mondiales font confiance à CyberArk pour sécuriser leurs données, infrastructures et applications les plus critiques. Environ un tiers des entreprises du DAX 30 et 20 des entreprises de l'Euro Stoxx 50 utilisent les solutions de CyberArk.