La guerre contre les ransomwares est réelle. Ces dernières années, cette forme d’attaque est devenue une menace réelle pour les entreprises. Nous avons été témoins d’attaques massives qui ont rendu les organisations multinationales, y compris les gouvernements, vulnérables et incapables de poursuivre leurs opérations critiques. En 2017, WannaCry a amené les services informatiques dans les hôpitaux de toute l'Europe, avec plus de 200.000 2019 ordinateurs touchés, démontrant le potentiel destructeur des ransomwares. Bien que WannaCry et Petya restent les attaques de ransomware les plus notables, cette forme de cyberattaque continue d'augmenter, selon le rapport XNUMX d'Europol Organized Crime Threat Assessment (IOCTA). Les organisations doivent reconnaître cette menace et prendre des mesures pour s’y préparer, la défendre et être prêtes à y faire face. Il s’agit d’une étape essentielle pour éviter une réponse inattendue et éventuellement inefficace ultérieurement lors d’un incident de ransomware. Une stratégie et une défense de cybersécurité robustes et à plusieurs niveaux pour lutter contre les ransomwares se composent de trois éléments clés : l’éducation, la mise en œuvre et la remédiation. De plus, disposer d’une approche ultra-résiliente en matière de sauvegarde, de récupération et de restauration des données est essentiel pour protéger la continuité des activités en cas d’événement.
Éduquer l’entreprise
D'un point de vue pédagogique, deux publics principaux doivent être ciblés : le personnel informatique et les utilisateurs de l'organisation. Il est important de cibler les deux groupes, car les deux personnages peuvent introduire des menaces. Les principaux points d'entrée des ransomwares dans une entreprise sont le protocole RDP (Remote Desktop Protocol) ou d'autres mécanismes d'accès à distance, le phishing et les mises à jour logicielles. En termes simples, dans la plupart des cas, les cyberattaquants n'ont pas besoin de travailler aussi dur qu'ils le devraient pour remporter de gros prix. Savoir qu’il s’agit des trois principaux mécanismes est d’une grande aide pour déterminer où investir le plus d’efforts pour être résilient du point de vue des vecteurs d’attaque. La plupart des administrateurs informatiques utilisent RDP pour leur travail quotidien, avec de nombreux serveurs RDP connectés directement à Internet. La réalité est que le RDP connecté à Internet doit être arrêté. Les administrateurs informatiques peuvent faire preuve de créativité sur les adresses IP spéciales, transférer les ports RDP, les mots de passe complexes, etc. Mais les données ne mentent pas : plus de la moitié des ransomwares arrivent via RDP. Cela nous indique que l’exposition des serveurs RDP à Internet ne constitue pas une stratégie de pointe pour résister aux ransomwares. L’autre mode d’entrée courant est celui des e-mails de phishing. Nous avons tous vu des e-mails qui ne semblent pas corrects. La bonne chose à faire est de supprimer cet élément. Cependant, tous les utilisateurs ne gèrent pas ces situations de la même manière. Il existe des outils populaires pour évaluer le risque d'une menace de phishing réussie contre une organisation, tels que Gophish et KnowBe4. Associés à une formation pour aider les employés à identifier les e-mails ou les liens de phishing, les outils d'auto-évaluation peuvent constituer une défense de première ligne efficace. Le troisième domaine qui entre en jeu est le risque d’exploitation de la vulnérabilité. La mise à jour des systèmes est une responsabilité informatique séculaire qui est plus importante que jamais. Bien que ce ne soit pas une tâche glamour, cela peut rapidement sembler un bon investissement si un incident de ransomware exploitait une vulnérabilité connue et corrigée. Assurez-vous de rester informé des mises à jour des catégories d'actifs informatiques critiques : systèmes d'exploitation, applications, bases de données et micrologiciels des appareils. Plusieurs souches de ransomwares, notamment WannaCry et Petya, sont basées sur des vulnérabilités découvertes précédemment qui ont depuis été corrigées à l'aide d'un logiciel de gestion des correctifs approprié. Même les organisations qui suivent les meilleures pratiques pour éviter d’être exposées aux ransomwares courent des risques. Même si l’éducation et la formation à la cybersécurité constituent une étape cruciale, les organisations doivent se préparer au pire des cas. S’il y a une chose dont les responsables informatiques et commerciaux doivent se souvenir, c’est de disposer d’une forme de stockage de sauvegarde ultra-robuste. Chez Veeam, nous préconisons la règle 3-2-1 comme stratégie globale de gestion des données. La règle 3-2-1 recommande qu'il y ait au moins trois copies des données importantes, sur au moins deux types de supports différents, avec au moins une de ces copies hors site. Le meilleur, c’est que cette règle ne nécessite aucun type de matériel particulier et est suffisamment polyvalente pour faire face à presque tous les scénarios de panne. La copie « unique » de la stratégie 3-2-1 doit être à haute résistance. Nous entendons par là un espace vide, déconnecté ou immuable. Il existe différentes formes de supports sur lesquels cette copie de données peut être stockée de manière ultra-résistante. Il s'agit notamment des supports sur bande, des sauvegardes immuables sur un stockage d'objets compatible S3 ou S3, de l'espace libre et des supports hors ligne, ou encore de la sauvegarde et de la reprise après sinistre (DR) en tant que service. Malgré ces techniques de formation et de mise en œuvre, les organisations doivent toujours être prêtes à remédier à une menace si elle survient. Chez Veeam, notre approche est simple. Ne payez pas la rançon. La seule option est de restaurer les données. De plus, les organisations doivent planifier leur réponse lorsqu’une menace est découverte. La première action est de contacter le support. Les clients Veeam ont accès à une équipe spéciale avec des opérations spécifiques pour les guider tout au long du processus de restauration des données en cas d'incidents de ransomware. Ne mettez pas vos sauvegardes en danger car elles sont essentielles à votre capacité de récupération. Lors de catastrophes de tous types, la communication devient l’un des premiers défis à relever. Ayez un plan sur la façon de communiquer avec les bonnes personnes en dehors du groupe. Cela inclurait des listes de textes de groupe, des numéros de téléphone ou d'autres mécanismes couramment utilisés pour aligner les communications au sein d'une équipe élargie.Décisions de rétablissement
Il y a également des discussions sur le pouvoir décisionnel. Les entreprises doivent décider qui demande la restauration ou le basculement avant que quelque chose ne se passe mal. Une fois la décision de restauration prise, les organisations doivent mettre en œuvre des contrôles de sécurité supplémentaires avant de remettre les systèmes en ligne. Il faut également décider si la récupération d'une machine virtuelle (VM) entière est la meilleure solution ou si la récupération au niveau des fichiers est plus logique. Enfin, le processus de restauration lui-même doit être sécurisé, exécuter des analyses complètes de virus et de logiciels malveillants sur tous les systèmes et obliger les utilisateurs à modifier leurs mots de passe après la récupération. Bien que la menace des ransomwares soit réelle, avec une préparation appropriée, les organisations peuvent accroître leur résilience face à un incident afin de minimiser le risque de perte de données, de perte financière et d’atteinte à la réputation. Une approche à plusieurs niveaux est essentielle. Donnez à vos équipes informatiques et à vos employés les moyens de minimiser les risques et d’optimiser la prévention. Cependant, mettez en œuvre des solutions pour assurer la sécurité et la sauvegarde des données. Enfin, soyez prêt à restaurer vos systèmes de données grâce à des fonctionnalités complètes de sauvegarde et de reprise après sinistre si vos anciennes lignes de défense échouent.- Rick Vanover, directeur principal de la stratégie produit, Veeam.