Les entreprises modernes d’aujourd’hui reposent sur des donn\u00e9es, qui r\u00e9sident d\u00e9sormais dans d’innombrables applications cloud. Par cons\u00e9quent pr\u00e9vention de la perte de donn\u00e9es<\/a> est essentiel \u00e0 votre r\u00e9ussite. Ceci est particuli\u00e8rement essentiel pour att\u00e9nuer les attaques croissantes de ransomwares – une menace qui 57\u00a0% des responsables de la s\u00e9curit\u00e9 s’attendent \u00e0 \u00eatre compromis par l’ann\u00e9e prochaine<\/a>. <\/p>\n Comme les organisations continuent d’\u00e9voluer, tout comme les ran\u00e7ongiciels<\/a>. Pour vous aider \u00e0 garder une longueur d’avance, le directeur de la strat\u00e9gie de Lookout, Aaron Cockerill, a rencontr\u00e9 la conseill\u00e8re en chef de la s\u00e9curit\u00e9 de Microsoft, Sarah Armstrong-Smith, pour discuter de la mani\u00e8re dont travail \u00e0 distance<\/a> et le cloud ont rendu plus difficile la d\u00e9tection d’une attaque de ransomware, ainsi que la fa\u00e7on dont le d\u00e9ploiement d’une d\u00e9tection bas\u00e9e sur les anomalies comportementales peut aider \u00e0 att\u00e9nuer le risque de ransomware. Acc\u00e9der \u00e0 l’interview compl\u00e8te<\/a>. <\/p>\n Aaron Cockeril :<\/strong> J’ai l’impression que le fonctionnement des entreprises modernes, qui comprend une combinaison de technologies, a permis au ransomware de prosp\u00e9rer. Ayant subi ce type d’attaque dans mes fonctions pass\u00e9es, je sais combien de CISO se sentent l\u00e0-bas. L’instinct humain est de payer la ran\u00e7on. Quelles tendances voyez-vous ?<\/p>\n Sarah Armstrong-Smith\u00a0:<\/strong> Il est assez int\u00e9ressant de r\u00e9fl\u00e9chir \u00e0 l’\u00e9volution des ransomwares. Nous pensons que ces attaques sont vraiment sophistiqu\u00e9es. La r\u00e9alit\u00e9 est que les attaquants privil\u00e9gient ce qui a fait ses preuves : ils favorisent le vol d’informations d’identification, la pulv\u00e9risation de mots de passe, ils analysent le r\u00e9seau, ach\u00e8tent des informations d’identification sur le dark web, en utilisant des kits de ran\u00e7ongiciels. <\/p>\n Donc, \u00e0 bien des \u00e9gards, les choses n’ont pas chang\u00e9. Ils recherchent n’importe quel moyen d’acc\u00e9der \u00e0 votre r\u00e9seau. Ainsi, bien que nous parlions de cyberattaques devenant sophistiqu\u00e9es, ce point d’entr\u00e9e initial n’est vraiment pas ce qui distingue les op\u00e9rateurs de ransomwares, c’est ce qui se passe ensuite. <\/p>\n C’est gr\u00e2ce \u00e0 cette pers\u00e9v\u00e9rance et cette patience. La tendance croissante est que les attaquants comprennent tr\u00e8s bien l’infrastructure informatique. Par exemple, de nombreuses entreprises utilisent des machines Windows ou Linux ou ont des entit\u00e9s sur site. Ils peuvent \u00e9galement utiliser des services cloud ou des plates-formes cloud ou diff\u00e9rents points de terminaison. Les attaquants comprennent tout cela. Ainsi, ils peuvent d\u00e9velopper des logiciels malveillants qui suivent ces mod\u00e8les d’infrastructure informatique. Et en substance, c’est l\u00e0 qu’ils \u00e9voluent, ils deviennent sages envers nos d\u00e9fenses. <\/p>\n Aaron\u00a0: <\/strong>Une \u00e9volution \u00e0 laquelle nous avons assist\u00e9 est le vol de donn\u00e9es et la menace de les rendre publiques. Voyez-vous la m\u00eame chose ?<\/p>\n Sara<\/strong>: Oui, tout \u00e0 fait. Nous appelons cela la double extorsion. Ainsi, une partie de l’extorsion initiale pourrait concerner le chiffrement de votre r\u00e9seau et essayer de r\u00e9cup\u00e9rer une cl\u00e9 de d\u00e9chiffrement. La deuxi\u00e8me partie de l’extorsion concerne vraiment le fait que vous deviez payer une autre somme d’argent pour essayer de r\u00e9cup\u00e9rer vos donn\u00e9es ou pour qu’elles ne soient pas publi\u00e9es. Vous devez supposer que vos donn\u00e9es ont disparu. Il est tr\u00e8s probable qu’il ait d\u00e9j\u00e0 \u00e9t\u00e9 vendu et qu’il soit d\u00e9j\u00e0 sur le dark web. <\/p>\n Aaron\u00a0: <\/strong>Selon vous, quels sont les mythes courants associ\u00e9s aux ran\u00e7ongiciels\u00a0?<\/p>\n Sara\u00a0: <\/strong>Il existe une id\u00e9e fausse selon laquelle si vous payez la ran\u00e7on, vous r\u00e9cup\u00e9rerez vos services plus rapidement. La r\u00e9alit\u00e9 est tout autre. <\/p>\n Nous devons supposer que les op\u00e9rateurs de ran\u00e7ongiciels voient cela comme une entreprise. Et, bien s\u00fbr, on s’attend \u00e0 ce que si vous payez la ran\u00e7on, vous receviez une cl\u00e9 de d\u00e9chiffrement. La r\u00e9alit\u00e9 est que seulement 65 % des organisations r\u00e9cup\u00e8rent leurs donn\u00e9es. Et ce n’est pas une baguette magique. <\/p>\n M\u00eame si vous deviez recevoir une cl\u00e9 de d\u00e9chiffrement, elles sont assez bogu\u00e9es. Et cela ne va certainement pas tout ouvrir. Souvent, il faut encore parcourir dossier par dossier et c’est incroyablement laborieux. Beaucoup de ces fichiers vont potentiellement \u00eatre corrompus. Il est \u00e9galement plus probable que ces gros fichiers critiques sur lesquels vous comptez soient ceux que vous ne pourrez pas d\u00e9chiffrer. <\/p>\n Aaron\u00a0:<\/strong> Pourquoi les ransomwares affectent-ils toujours autant les entreprises ? Il semble que nous ayons parl\u00e9 des m\u00e9thodes utilis\u00e9es par les attaquants pour lancer ces attaques, telles que le phishing et la compromission des e-mails professionnels, ainsi que la pr\u00e9vention de l’exfiltration de donn\u00e9es et la mise \u00e0 jour permanente des serveurs\u00a0? Pourquoi les ransomwares sont-ils toujours un si gros probl\u00e8me ? Et que pouvons-nous faire pour l’emp\u00eacher ?<\/p>\n Sara<\/strong>: Ransomware est g\u00e9r\u00e9 comme une entreprise. Plus les gens paient, plus les acteurs de la menace vont faire des ran\u00e7ons. Je pense que c’est le d\u00e9fi. Tant que quelqu’un quelque part va payer, il y a un retour sur investissement pour l’attaquant. <\/p>\n Maintenant, la diff\u00e9rence est de combien de temps et de patience l’attaquant dispose-t-il. Particuli\u00e8rement certains des plus grands, ils auront de la pers\u00e9v\u00e9rance, et ils auront la volont\u00e9 et le d\u00e9sir de continuer \u00e0 se d\u00e9placer dans le r\u00e9seau. Ils sont plus susceptibles d’utiliser des scripts, diff\u00e9rents logiciels malveillants, et ils recherchent cette \u00e9l\u00e9vation de privil\u00e8ges afin de pouvoir exfiltrer des donn\u00e9es. Ils resteront plus longtemps dans votre r\u00e9seau. <\/p>\n Mais le d\u00e9faut commun, si vous voulez, est que l’attaquant compte sur personne pour le surveiller. Nous savons que parfois les attaquants restent sur le r\u00e9seau pendant des mois. Donc, au moment o\u00f9 le r\u00e9seau a \u00e9t\u00e9 crypt\u00e9 ou les donn\u00e9es exfiltr\u00e9es, il est trop tard pour vous. L’incident r\u00e9el a commenc\u00e9 des semaines, des mois ou il y a longtemps. <\/p>\n C’est parce qu’ils apprennent nos d\u00e9fenses\u00a0: “Est-ce que quelqu’un remarquera si j’\u00e9l\u00e8ve les privil\u00e8ges, si je commence \u00e0 exfiltrer des donn\u00e9es\u00a0? Et en supposant que je sois remarqu\u00e9, est-ce que quelqu’un peut m\u00eame r\u00e9pondre \u00e0 temps\u00a0?” Ces attaquants ont fait leurs devoirs, et au moment o\u00f9 ils demandent une sorte d’extorsion ou de demande, ils ont fait une \u00e9norme activit\u00e9. Pour les plus gros op\u00e9rateurs de ransomwares, il y a un retour sur investissement. Ils sont donc pr\u00eats \u00e0 consacrer du temps et des efforts parce qu’ils pensent qu’ils vont r\u00e9cup\u00e9rer cet argent.<\/p>\n Aaron\u00a0: <\/strong>Il y a un int\u00e9ressant article \u00e9crit par Gartner<\/a> sur la fa\u00e7on de d\u00e9tecter et de pr\u00e9venir les ransomwares. Il indique que le meilleur point pour d\u00e9tecter les attaques se situe dans la phase de mouvement lat\u00e9ral, o\u00f9 un attaquant recherche des exploits \u00e0 partir desquels pivoter ou des actifs plus pr\u00e9cieux \u00e0 voler.<\/p>\n Je pense que c’est l’un des d\u00e9fis les plus fondamentaux que nous ayons \u00e0 relever. Nous savons quoi faire pour att\u00e9nuer le risque<\/a> de phishing – m\u00eame si cela va toujours \u00eatre un probl\u00e8me parce qu’il y a un \u00e9l\u00e9ment humain l\u00e0-dedans. Mais une fois qu’ils ont obtenu cet acc\u00e8s initial, obtenez un RDP (Remote Desktop Protocol) ou des informations d’identification pour le serveur ou quoi que ce soit, puis ils peuvent commencer ce mouvement lat\u00e9ral. Que fait-on pour le d\u00e9tecter ? On dirait que c’est la plus grande opportunit\u00e9 de d\u00e9tection.<\/p>\n Ecoutez \u00e0 l’entretien complet<\/a> pour entendre les r\u00e9flexions de Sarah sur la meilleure fa\u00e7on de d\u00e9tecter une attaque de ransomware. <\/p>\n La premi\u00e8re \u00e9tape pour s\u00e9curiser les donn\u00e9es consiste \u00e0 savoir ce qui se passe. Il est difficile de voir les risques auxquels vous \u00eates confront\u00e9 lorsque vos utilisateurs sont partout et utilisent des r\u00e9seaux et des appareils que vous ne contr\u00f4lez pas pour acc\u00e9der \u00e0 des donn\u00e9es sensibles dans le cloud.<\/p>\n \u00c9limine les conjectures<\/a> en obtenant une visibilit\u00e9 sur ce qui se passe, sur les terminaux non g\u00e9r\u00e9s et g\u00e9r\u00e9s, dans le cloud et partout entre les deux. Contactez Lookout aujourd’hui<\/a>.<\/p>\n <\/p>\n<\/div>\n