Connect with us

Technologie

Security Think Tank: Adapter les défenses à l’évolution ransomware et la cybercriminalité

Published

on


En vertu de la Loi sur l’utilisation abusive d’ordinateurs adoptée pour la première fois en 1990, tout accès non autorisé avec l’intention de commettre ou de faciliter la perpétration d’autres infractions est en soi une infraction pénale, même s’il n’y a pas de contrôle d’accès, ni aucune autre protection de la cybersécurité.

Aujourd’hui, cependant, nous classons principalement la cybercriminalité comme toute attaque motivée par des gains financiers. Cette définition prend en compte certains des groupes avancés de menace persistante (APT) vaguement associés aux gouvernements, mais fonctionnent comme une entreprise faisant des profits grâce à la vente de données volées, ainsi que les cybercriminels organisés et les individus.

Bien que le vol de la propriété intellectuelle et d’autres données sensibles est toujours un problème, la tendance au cours des dernières années a été dans l’utilisation de ransomware. Encore une fois, les acteurs parrainés par l’État ont été identifiés comme utilisant ransomware, comme un groupe nord-coréen étant appelé comme derrière l’attaque WannaCry en 2017. La National Security Agency des États-Unis a déclaré que le groupe était « directement responsable » et le Centre national de cybersécurité du Royaume-Uni l’a jugé « hautement probable » d’être responsable.

Alors que les attaques ransomware tels que WannaCry ont d’abord été scattergun, visant à obtenir une petite rançon d’un grand nombre de cibles, la stratégie du criminel a évolué de façon prévisible pour cibler des organisations spécifiques et chercher des paiements individuels beaucoup plus importants, parfois dans les millions de livres.

Les secteurs les plus fréquemment ciblés sont les systèmes de contrôle juridique, de santé, gouvernementaux, financiers et industriels. Plus récemment, ces attaques ransomware ciblées ont été combinées avec le vol de données, en particulier les informations d’identité personnelle.

Ceci est ensuite utilisé comme levier supplémentaire en menaçant de divulguer l’information. Ironiquement, la pression sur l’organisation cible a augmenté avec les nouvelles réglementations sur la protection des données, parce que les organisations doivent divulguer la perte de données personnelles dans les 72 heures et il ya des amendes importantes pour la perte de ces données.

Les organisations incluent désormais la protection des données dans leur risque d’entreprise, ce qui ajoute d’autres contraintes de temps et de pression financière. Du point de vue du cybercriminel, le vol de données personnelles donne plus de levier, mais fournit également un autre rendement financier – au cas où la rançon n’est pas payée, ils peuvent vendre sur les données d’identité personnelle.

E-mail d’hameçonnage

Les attaques ransomware commencent généralement par un e-mail de phishing. Dans le cas d’une attaque ciblée, cela utilisera l’ingénierie sociale ciblée sur l’organisation, ou les individus à l’intérieur, et le malware sera emballé pour donner au fichier une signature unique, évitant ainsi la détection par antivirus.

Une fois qu’un utilisateur est trompé et clique sur un lien dans l’e-mail, ou ouvre une pièce jointe malveillante, le ransomware s’exécute et peut commencer à chiffrer le disque dur local.

La capacité de propagation est essentielle au succès de l’attaque à ce stade. Le chiffrement de la station de travail d’un seul utilisateur ne va pas conduire à une grande partie d’une rançon, de sorte que le malware doit avoir la capacité de traverser le réseau, infecter d’autres hôtes et, en particulier, les serveurs de données détenant des données critiques et tous les serveurs de sauvegarde qu’ils peuvent atteindre.

Une fois que cela se produit, la seule option est la limitation des dégâts. Dans le cas de WannaCry, la traversée du réseau a été automatisée à l’aide de l’exploit EternalBlue pour infecter tout ce qui pourrait être atteint. Dans une attaque combinée, cependant, il est probable que les attaquants obtiendraient l’accès et voler des données avant de distribuer le malware à d’autres hôtes et de déclencher leur cryptage. Dans certains cas, le logiciel de chiffrement distribué utilise l’outil de distribution logicielle de l’organisation.

Mesures de base pour prévenir, détecter et récupérer des attaques

Bien que l’antivirus de base est peu susceptible d’être suffisant pour arrêter ce genre d’attaque, il ya plusieurs mesures de base qui peuvent aider. Tout d’abord, l’utilisation d’outils pour détecter les e-mails de phishing avec des liens malveillants ou des pièces jointes.

Ces outils sont maintenant monnaie courante et fourniront une première ligne de défense. Si les courriels passent, la formation des utilisateurs et l’utilisation d’« applications d’émulation par hameçonnage » pour tester l’efficacité peuvent accroître la sensibilisation des utilisateurs et réduire le risque. Non pas parce que chaque utilisateur reconnaîtra l’e-mail comme malveillant, mais parce que si une personne le fait et le signale, alors au moins l’attaque a été détectée.

Les mesures de cybersécurité de base, telles que la correction des vulnérabilités connues, l’application des principes les moins pris privilèges et la sécurité des points de terminaison heuristiques sur les postes de travail, peuvent prévenir ou détecter l’attaque initiale.

D’autres mesures, telles que la fermeture des ports inutilisés, le zonage et la surveillance au sein du réseau, le verrouillage de l’utilisation des outils administratifs et l’application d’un contrôle à deux facteurs pour les serveurs sensibles et les administrateurs, peut empêcher à la fois la propagation des logiciels malveillants à travers la succession et l’accès aux serveurs pour voler des données, ainsi que d’aider à détecter l’attaque.

Avoir un régime de sauvegarde robuste et la possibilité de re-image serveurs et stations de travail rapidement est également la clé pour récupérer d’une attaque ransomware. Les sauvegardes doivent toutefois être tenues hors ligne, et plusieurs ensembles de supports de sauvegarde utilisés à leur tour, au cas où la sauvegarde est activée lors d’une attaque ransomware, ou les attaquants accéder au serveur de sauvegarde.

Dans certains cas, l’attaquant ne peut chiffrer qu’une partie du média à la fois, de sorte que le chiffrement peut ne pas être détecté pendant un certain temps. Il est donc conseillé d’exécuter un cycle de sauvegarde hebdomadaire distinct sur des supports distincts au cas où les sauvegardes quotidiennes sont partiellement cryptées avant que l’attaque ne soit détectée.

Qu’est-ce qui va se passer ?

Jusqu’à présent, ransomware ne s’est pas propagé au cloud, mais c’est la prochaine étape évidente, il est donc temps de se préparer pour cela. Bien que nous considérions le cloud comme résilient et que le fournisseur fournit une grande partie de la sécurité, le client a également des responsabilités de sécurité, en particulier en ce qui concerne la configuration et le contrôle d’accès.

En outre, tous les services cloud ne fournissent pas une sauvegarde en standard. La mise en miroir des données peut fournir une résilience, mais ne permettra pas la restauration des données en cas d’attaque ransomware. Une chose qui peut aider dans le cloud est l’utilisation de version, si pris en charge. Si la version est activée, une nouvelle version d’un fichier est créée chaque fois qu’elle est enregistrée, de sorte que le chiffrement d’un fichier créera une nouvelle version, laissant l’ancienne version intacte.

Limites au stockage des données personnelles

Enfin, il est toujours important de minimiser les données personnelles stockées sur le système. Les règlements sur la protection des données exigent que toute donnée à caractère personnel soit le minimum nécessaire pour remplir l’objectif déclaré de conservation des données. Je soupçonne que, dans de nombreux cas, c’est plus que absolument nécessaire, ce qui augmentera l’impact de toute perte de données, ce qui entraînera des amendes plus importantes.

Par exemple, on m’a demandé de fournir mon code postal complet et la date de naissance comme information essentielle afin que le contenu des médias puisse être adapté pour moi personnellement. L’intelligence artificielle a parcouru un long chemin, mais je doute fortement qu’il sera jamais possible de différencier les préférences par âge à moins d’un jour, de sorte que dans ce cas, les cinq années les plus proches serait plus approprié.

De même avec le code postal, un code postal complet couvre environ 10 adresses, donc environ 30 personnes. Encore une fois, beaucoup plus de détails que nécessaire. Compte tenu d’une date de naissance complète et d’un code postal, il est possible, dans la plupart des cas, d’identifier une personne à partir d’autres données accessibles au public, comme le registre électoral, ce qui la rend beaucoup plus sensible. À cette fin, une bande d’âge de cinq ans et la première moitié d’un code postal est probablement suffisant et maintient l’anonymat.

En résumé, la protection contre les attaques combinées de ransomware et de vol de données n’a pas besoin d’une pléthore de nouveaux outils spécialisés. Mais il a besoin d’une vue holistique, y compris la sensibilisation des utilisateurs, un plan d’intervention en cas d’incident à jour et la limitation des données sensibles à seulement ce qui est nécessaire.

Ces mesures, ainsi que des outils et des processus appropriés pour détecter et prévenir les différentes étapes de l’attaque, doivent être prises en considération et, si nécessaire, même la définition d’une stratégie de protection des données dans le nuage.

Click to comment

Leave a Reply

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Trending