Déployez Zero Trust et XDR pour combattre les ransomwares !

Les cyber-attaques par ransomwares ont continué de faire l'actualité en paralysant des organisations comme Nexeya, Damart et récemment l'hôpital de Corbeil-Essonnes.

Les ransomwares sont une forme de logiciels malveillants en constante évolution, conçus pour chiffrer les fichiers d'un appareil, rendant ainsi inutilisables les fichiers et les systèmes qui en dépendent. Les acteurs malveillants demandent alors une rançon en échange du déchiffrement. L'essor des ransomwares a inspiré la création d'une myriade de techniques que les attaquants peuvent utiliser pour atteindre leurs objectifs.

Sans prétendre à l'exhaustivité, deux approches architecturales de sécurité peuvent être utilisées pour lutter contre les ransomwares : le modèle d'architecture Zero Trust et la détection et la réponse étendues (XDR).

Pourquoi Zero Trust et XDR peuvent aider à limiter l'impact des ramsomwares ?

On croit souvent qu'il est difficile d'assurer une bonne sécurité parce que les acteurs malveillants n'ont besoin que d'une seule chose pour réussir, tandis que les praticiens de la sécurité doivent tout réussir ou échouer. Ce n'est pas le cas. Le lancement d'une attaque de ransomware réussie passe par plusieurs étapes. En fait, c'est tellement compliqué que plusieurs équipes doivent travailler ensemble pour y parvenir.

D'abord, les mauvais acteurs choisissent une cible. Ensuite, ils s'abonnent à une organisation Ransomware-as-a-Service, spécialisée dans la création de logiciels pour les attaques par ransomware. Ils infiltrent l'entreprise, soit en devinant le mot de passe d'un utilisateur, soit en incitant un utilisateur à cliquer sur un lien douteux, soit en exploitant une vulnérabilité dans le logiciel de l'organisation. La série complète d'étapes constitue les principales catégories du cadre ATT&CK de MITRE. En interrompant l'une de ces étapes, l'attaque par ransomware échoue.

L'utilisation du cadre ATT&CK permet aux équipes d'identifier les vulnérabilités afin de cartographier leur surface d'attaque. Il peut aider les équipes à chasser les menaces pour détecter les attaques en cours avant qu'elles ne causent des dommages. Il peut aider une entreprise à discuter des vulnérabilités avec des organisations homologues qui ont été mis en place pour protéger les infrastructures critiques. Elle peut également aider les équipes de sécurité à collaborer avec les fournisseurs d'outils ou de services de sécurité, ainsi qu'avec les forces de l'ordre, pour découvrir les faiblesses qui ont conduit à une attaque.

Zero Trust vérifie explicitement l'identité et les accès et suppose qu'il y a eu une violation des accès

Le modèle d'architecture Zero Trust est un ensemble de principes architecturaux qui permettent de verrouiller un environnement en réduisant la surface d'attaque. Les idées clés du modèle d'architecture Zero Trust sont les suivantes :

• Considérez que le périmètre n'existe pas (il n'a jamais vraiment existé). Ne partez pas du principe qu'il faut faire confiance à une personne simplement parce qu'elle est déjà entrée dans le réseau.
• Vérifiez les utilisateurs avant de les autoriser à utiliser des services ou à accéder à des données et vérifiez l'intégrité d'un appareil avant de l'autoriser à se connecter au réseau.
• Ne partez pas du principe que les utilisateurs feront toujours ce qu'il faut. Exigez plutôt des droits d'accès vérifiés pour chaque demande de service.
• Plutôt que d'essayer de suivre les mauvais acteurs à travers le système, mettez en place des obstacles qui les ralentiront.

Pour que ces principes fonctionnent dans la pratique, deux choses doivent se produire :

1. Premièrement, un produit de gestion des identités et des accès (IAM) doit être mis en place pour permettre l'authentification (forte au travers du MFA) des utilisateurs et de leurs droits ou autorisations. Sans cela, il n'y aura pas de source de vérité pour déterminer si une demande particulière a été autorisée ou non.
2. Deuxièmement, segmentez le réseau. Cela ralentira une attaque. Les mouvements latéraux au sein de l'organisation mettent en place des charges utiles et permettent le vol et le chiffrement des données. La segmentation du réseau bloque ces éléments d'attaque.

XDR collecte les données relatives aux menaces à partir d'outils de sécurité auparavant cloisonnés afin de faciliter et d'accélérer la réponse

XDR rassemble les informations sur les éléments d'attaque possibles (par exemple, les indicateurs de compromission [IoC]) avec les journaux de trafic réseau, les comportements étranges des points d'extrémité, les demandes de services en nuage et de logiciels en tant que service (SaaS), et les événements de serveur pour analyse.

La puissance de XDR réside dans le fait qu'elle va au-delà de la gestion des informations et des événements de sécurité (SIEM), qui regroupe les données des journaux, pour inclure la corrélation, l'analyse et la modélisation augmentée par l'apprentissage automatique (ML). Ces éléments constituent la base d'une réponse efficace.

En déployant une solution XDR (qui peut détecter de nombreux éléments d'attaque) avec une architecture Zero Trust (qui durcit l'infrastructure contre les attaques malveillantes), on peut améliorer considérablement la capacité de survie contre les ransomwares.

• Déployez donc un outil IAM.
• Utilisez l'authentification multifactorielle (MFA), au moins pour les comptes à hauts privilèges.
• Segmentez le réseau.
• Et mettez en place un outil XDR pour le centre des opérations de sécurité (SOC).

Votre quotidien professionnel sera beaucoup plus calme, plus prévisible et moins mouvementé.