Une nouvelle approche de protection de l'identité empêche les vulnérabilités critiques causées par les ransomwares. Cependant, presque aucune organisation n'est en mesure d'empêcher de manière proactive la propagation automatisée de la charge utile du ransomware une fois qu'elle a contourné les défenses de livraison et d'exécution. Un commentaire de Martin Kulendik, directeur régional des ventes DACH chez Silverfort.
La cyberextorsion par ransomware reste l'une des principales menaces de sécurité auxquelles sont confrontées les entreprises. La pratique courante en cybersécurité aujourd'hui consiste à se protéger contre les phases de livraison et d'exécution de ces attaques. Cependant, presque aucune organisation n'est en mesure d'empêcher de manière proactive la propagation automatisée de la charge utile du ransomware une fois qu'elle a contourné les défenses de livraison et d'exécution. Étant donné que les ransomwares font une grande différence entre l'infection d'un point de terminaison unique et le chiffrement de données d'entreprise en masse, le manque de capacité à empêcher cela est une vulnérabilité de sécurité critique. Les mesures de protection sont donc expliquées ci-dessous pour chaque phase d'une attaque de ransomware - de la livraison, à l'exécution, jusqu'à la distribution automatisée.
Mesures de protection contre la diffusion de ransomwares
Au stade de la livraison, les attaquants placent la charge utile du ransomware sur l'ordinateur de la victime. Les méthodes les plus couramment utilisées par les cybercriminels incluent les e-mails de phishing, l'accès compromis au RDP (Remote Desktop Protocol) et les attaques par point d'eau, où les cybercriminels infectent les sites Web fréquemment visités par les employés.
La protection est assurée par des passerelles de sécurité des e-mails qui analysent les e-mails pour détecter et supprimer le contenu à risque avant l'interaction de l'utilisateur, des plates-formes de protection des terminaux qui empêchent le téléchargement de logiciels malveillants potentiels et une authentification multifacteur (MFA) pour les connexions RDP, empêchant les attaquants de se connecter avec des informations d'identification compromises.
Mesures de protection contre l'exécution de ransomwares
Dans la phase d'exécution, la charge utile du ransomware qui a été livrée avec succès au poste de travail ou au serveur est exécutée dans le but de chiffrer les fichiers de données sur l'ordinateur.
Les entreprises s'en protègent en utilisant des Endpoint Protection Platforms (EPP) sur leurs postes de travail et leurs serveurs. L'EPP vise à mettre fin à l'exécution de tout processus détecté comme rançongiciel, en empêchant complètement le cryptage malveillant.
Protection contre la distribution automatisée de rançongiciels
Dans la phase de propagation, la charge utile du ransomware est copiée sur de nombreux autres ordinateurs de l'environnement de l'entreprise via une authentification malveillante avec des informations d'identification compromises. L'une des surfaces d'attaque les plus vulnérables sont les dossiers partagés (partagés). Dans un environnement d'entreprise, chaque utilisateur a accès à au moins certains dossiers. Cela ouvre la voie à la propagation des ransomwares.
Comme expliqué précédemment, c'est l'étape où le plus de dégâts sont causés. Cependant, cette phase est désormais un angle mort dans les défenses de sécurité des entreprises. Il n'existe pas aujourd'hui de solution de sécurité capable d'empêcher la propagation automatique des ransomwares en temps réel. En pratique, cela signifie qu'une variante de ransomware qui parvient à contourner les mesures de sécurité pour la livraison et l'exécution - et un certain pourcentage de ces variantes le fait toujours - peut se propager dans l'environnement de l'entreprise et chiffrer chaque machine qu'elle atteint . Et même si les EPP améliorent leur protection contre les nouvelles souches de logiciels malveillants, les acteurs de la menace développent également de meilleures méthodes d'évasion et des charges utiles (charges) plus furtives, faisant de cette évasion un scénario très probable.
défi de protection
Pour mieux comprendre la cause de cette vulnérabilité, voici un aperçu du fonctionnement de la prolifération automatique des ransomwares.
Il existe un point de terminaison appelé "patient zéro" où la charge utile du ransomware s'exécutait à l'origine. Pour se propager à d'autres ordinateurs de la zone, le logiciel malveillant utilise des informations d'identification compromises et effectue une authentification de base en fournissant à l'autre ordinateur un nom d'utilisateur et des informations d'identification valides (mais compromis). Bien que cette activité soit 100 % malveillante dans son contexte, elle est essentiellement identique à toute authentification légitime dans l'environnement. Il n'y a aucun moyen pour le fournisseur d'identité - dans ce cas Active Directory - de détecter ce contexte malveillant. Il validera donc le raccordement.
C'est donc là que réside l'angle mort de la protection contre les ransomwares : d'une part, aucun produit de sécurité ne peut bloquer les authentifications en temps réel, et d'autre part, le seul produit qui pourrait rendre cela possible - le fournisseur d'identité - est incapable de distinguer entre les authentifications légitimes et malveillantes.
Unified Identity Protection empêche la propagation automatisée des ransomwares
Unified Identity Protection est une technologie sans agent qui s'intègre nativement aux fournisseurs d'identité dans l'environnement de l'entreprise pour effectuer une surveillance continue, une analyse des risques et l'application de la politique d'accès de chaque tentative d'accès à n'importe quelle ressource sur site et dans le cloud. De cette manière, la solution de protection unifiée de l'identité étend l'authentification basée sur les risques et l'authentification multifacteur aux ressources et aux interfaces d'accès qui ne pouvaient auparavant pas être protégées, y compris les interfaces d'accès à distance de ligne de commande Active Directory sur lesquelles repose la propagation automatique des ransomwares.
Prévenir proactivement les attaques
Cela peut empêcher de manière proactive les attaques qui utilisent à mauvais escient des informations d'identification compromises pour accéder aux ressources de l'entreprise, y compris la distribution automatisée de ransomwares. En effet, le logiciel malveillant utilise une authentification d'informations d'identification compromise pour se propager dans l'environnement cible, avec un penchant particulier pour les dossiers partagés.
Pour appliquer une protection en temps réel contre la distribution automatisée de rançongiciels, Unified Identity Protection prend les mesures suivantes :
1. Surveillance continue
Unified Identity Protection analyse en permanence les authentifications des comptes d'utilisateurs et les tentatives d'accès, créant un profil comportemental très précis de l'activité normale des utilisateurs et des machines.
2. Analyse des risques
Dans le cas de la distribution automatisée de rançongiciels, il y a plusieurs tentatives de connexion simultanées provenant d'une seule machine et d'un seul compte utilisateur. Le moteur de risque de la plateforme Unified Identity Protection détecte immédiatement ce comportement anormal et augmente le score de risque du compte utilisateur et de l'ordinateur.
3. Application de la politique d'accès
Unified Identity Protection permet aux utilisateurs de créer des politiques d'accès qui utilisent l'évaluation des risques en temps réel pour déclencher une mesure de protection : comme une authentification renforcée avec MFA ou même le blocage total de l'accès. La politique contre la distribution automatisée de rançongiciels nécessite une MFA chaque fois que la cote de risque d'un compte d'utilisateur est "élevée" ou "critique" et s'applique à toutes les interfaces d'accès - Powershell, CMD et CIFS, le protocole spécial (dédié) pour l'accès partagé sur le dossier réseau.
Si cette politique est activée, toute tentative du rançongiciel de se propager à un autre ordinateur n'autorisera pas la connexion à moins que la vérification MFA n'ait eu lieu sur les utilisateurs réels dont les informations d'identification ont été compromises. Cela signifie que la propagation est empêchée et que l'attaque est limitée au point final unique initialement infecté "patient zéro".
Cette approche spéciale de protection de l'identité peut donc empêcher le composant le plus fatal des attaques de ransomwares - la propagation automatisée. Avec une solution unifiée de protection de l'identité, les entreprises peuvent enfin couvrir cet angle mort critique de la défense et ainsi augmenter considérablement leur résilience face aux tentatives d'attaques de ransomwares.
Plus sur Silverfort.com
À propos de Silverfort Silverfort fournit la première plate-forme de protection d'identité unifiée qui consolide les contrôles de sécurité IAM sur les réseaux d'entreprise et les environnements cloud pour atténuer les attaques basées sur l'identité. À l'aide d'une technologie innovante sans agent et sans proxy, Silverfort s'intègre de manière transparente à toutes les solutions IAM, unifiant leur analyse des risques et leurs contrôles de sécurité et étendant leur couverture aux actifs qui ne pouvaient auparavant pas être protégés, tels que les applications locales et héritées, l'infrastructure informatique, les systèmes de fichiers, la ligne de commande outils, accès de machine à machine et plus encore.