Les attaques de ransomwares ne cessent d’augmenter en volume et en impact, en grande partie en raison de la faiblesse des contrôles de sécurité des organisations. Les entreprises de taille moyenne sont ciblées car elles possèdent une quantité importante de données précieuses mais n’ont pas le niveau de contrôles de protection et de personnel des grandes organisations.
Selon une récente enquête RSM, 62 % des entreprises du marché intermédiaire pensent qu’elles courent un risque de ransomware au cours des 12 prochains mois. Le sentiment des responsables de la cybersécurité se situe quelque part sur le spectre entre « le plus important » et « cela me donne de sérieuses migraines ».
Comme les rançongiciels sont toujours le moyen préféré des acteurs pour monétiser leur accès, il est impératif de comprendre les niveaux de préparation organisationnels et d’identifier et de combler les lacunes avant qu’un attaquant ne puisse les exploiter.
Les équipes de cybersécurité Lean peuvent évaluer rapidement leur niveau de préparation aux ransomwares en suivant le cadre NIST CSF, en se demandant : « Avons-nous quelque chose comme ça en place ? » pour chacune des fonctions principales : « Identifier », « Protéger », « Détecter », « Répondre » et « Récupérer » :
Identité
La gestion des actifs est le processus qui consiste à savoir quels sont tous les actifs critiques de votre organisation, où ils se trouvent, qui les possède et qui y a accès. Les données doivent être classifiées afin que l’accès puisse être régi, et l’entreprise bénéficie de la garantie de l’intégrité des données. Une organisation doit seulement protéger la confidentialité de certaines de ses données en fonction de sa classification. Les contrôles qui garantissent l’utilité et l’authenticité des données apportent une réelle valeur ajoutée à une organisation.
Protéger
L’identité est une forme de données qui définit la relation entre une personne et une organisation. Il est vérifié au moyen d’informations d’identification (nom d’utilisateur et mot de passe) et, lorsqu’il est compromis, un événement de sécurité devient un incident. Par exemple, l’utilisation d’informations d’identification divulguées permet aux pirates d’installer des rançongiciels sur vos ordinateurs. Selon le rapport Microsoft Defender 2022, après 98 % de l’hygiène de sécurité de base telle que l’authentification multifacteur (MFA), l’application des principes de confiance zéro, la mise à jour des logiciels et l’utilisation d’un anti-malware de détection et de réponse étendues protègent toujours contre 98 % des attaques.
Un autre aspect clé de la protection des identités est la formation de sensibilisation – aider un employé à reconnaître une pièce jointe ou un lien malveillant. Lorsqu’il s’agit de simulations de violation, il est important de récompenser les employés qui ont bien réussi plutôt que de pénaliser ceux qui ne l’ont pas fait. Réalisées de manière incorrecte, les simulations de violation peuvent gravement nuire à la confiance des employés dans leur organisation.
Une bonne sécurité des données peut protéger vos données contre les rançongiciels et vous permettre de vous remettre d’une attaque. Cela signifie que la gestion des accès, le chiffrement et les sauvegardes sont en place. Bien que cela semble basique, de nombreuses organisations ne répondent pas à au moins un ou deux des éléments ci-dessus. Les autres contrôles qui relèvent de la fonction « Protect » du NIST CSF sont la gestion des vulnérabilités, le filtrage des URL, le filtrage des e-mails et la restriction de l’utilisation des privilèges élevés.
Restreindre les installations de logiciels est essentiel — si vous ne pouvez pas installer de logiciel, vous ne pouvez pas installer de rançongiciel. Cependant, certains rançongiciels peuvent exploiter avec succès des vulnérabilités existantes qui permettent une élévation de privilèges, en contournant le contrôle d’installation restreint.
Ce qui nous amène au contrôle suivant sous la fonction « Protect » du NIST CSF : le contrôle de la politique. Les logiciels d’application des politiques peuvent réduire le nombre d’employés nécessaires pour mettre en œuvre des contrôles tels que la restriction de l’utilisation et de l’installation aux seuls logiciels autorisés ou la restriction de l’utilisation de privilèges élevés.
Détecter
Les technologies qui répondent aux exigences des contrôles dans le cadre de cette fonction peuvent vraiment faire la différence, mais seulement si elles sont accompagnées d’un élément humain. Beaucoup d’acronymes ici : User and Entity Behavior Analytics (UEBA), Centralized Log Management (CLM), Threat Intelligence (TI) et EDR/XDR/MDR.
Les ransomwares sont facilement détectés par une bonne UEBA car ils font des choses qu’aucun bon logiciel ne fait. Cette technologie ne peut détecter que les ransomwares, elle ne peut ni les empêcher ni les arrêter. La prévention nécessite d’autres logiciels, comme la prévention du phishing, la surveillance continue de la sécurité et EDR/XDR/MDR. Selon le rapport IBM Cost of a Breach 2022, les organisations dotées de technologies XDR ont identifié et contenu une violation 29 jours plus rapidement que celles sans XDR. De plus, les organisations avec XDR ont connu une réduction de 9,2 % du coût d’une violation, ce qui peut sembler une petite amélioration, mais avec un coût moyen d’une violation de 4,5 millions USD, cela représente près d’un demi-million USD d’économies.
Répondre
Quelle que soit la qualité des contrôles et des outils de l’organisation, il y aura toujours quelque chose qui nécessitera une réponse humaine. Avoir un plan et le tester réduit considérablement le coût de la violation – de 2,66 millions USD en moyenne, selon le rapport.
Des contrôles supplémentaires peuvent optimiser votre préparation aux rançongiciels : avoir des modèles de communication (pour s’assurer que l’équipe sait quoi, comment et qui contacter lors d’un incident), effectuer une analyse d’événements obligatoire et déployer la technologie d’orchestration, d’automatisation et de réponse de sécurité (SOAR) en tant que un produit distinct ou une partie native d’une solution XDR.
Récupérer
Avoir un plan de récupération, des sauvegardes cloud immuables et un plan de communication des incidents sont les trois contrôles clés pour maximiser la préparation de votre organisation contre les ransomwares.
Un plan de récupération des rançongiciels doit inclure les moyens de récupérer les données cryptées, de rétablir les systèmes opérationnels et de restaurer la confiance des clients en cas de violation.
Ransomware fonctionne en empêchant l’accès aux données. Si ces données peuvent être restaurées à partir d’un appareil non infecté par le ransomware (sauvegarde immuable), le chemin vers la récupération peut être rapide et relativement gratuit. Selon le rapport Microsoft Defender 2022, 44 % des organisations touchées par les ransomwares ne disposaient pas de sauvegardes immuables.
Un plan de communication sur les incidents améliore la capacité de l’organisation à réagir et à minimiser les atteintes à la réputation en fournissant des mécanismes pour alerter et coordonner rapidement les parties prenantes internes et externes tout en surveillant le sentiment des clients.
Pour aider les leaders de la cybersécurité à renforcer la résilience des ransomwares, Cynet fournit une solution rapide et Évaluation de l’état de préparation des ransomwares basée sur le NIST avec une plongée plus profonde dans les fonctions de base.