Empêcher la propagation automatisée des attaques de ransomwares
29 Juin 2021 Yiftah Keshet
Les attaques de ransomwares figurent parmi les principales préoccupations des entreprises en matière de cybersécurité. La pratique courante aujourd'hui est de se protéger contre les page de livraison. ainsi que exécution étapes de ces attaques. Cependant, presque toutes les entreprises n'ont pas la capacité d'empêcher de manière proactive propagation automatisée of ransomware charge utile qui a réussi à contourner la protection de livraison et d’exécution. Étant donné que cette propagation fait la différence entre un seul point de terminaison infecté et un verrouillage massif d’une entreprise, le manque de capacité à empêcher cela constitue une faille de sécurité critique. SilverfortLa plate-forme de protection unifiée de l'identité offre la seule solution aujourd'hui capable d'utiliser MFA pour empêcher efficacement la propagation automatisée des ransomwares, en ne permettant jamais à la charge utile malveillante de s'étendre au-delà de la machine initialement infectée.
Table des matières
La propagation automatisée est le facteur X dans les attaques de ransomwares
Les attaques de ransomware sont passées d'une nuisance à un risque critique en 2017, lorsque le WannaCry ainsi que NotPetya les attaques ont fait des ravages parmi les entreprises du monde entier, avec des dommages globaux estimés à près de 15 milliards de dollars. Ces attentats ont été les premiers à coupler un charge utile de chiffrement comprenant propagation automatisée. De cette manière, l'ingénierie sociale d'un seul employé de l'entreprise pour ouvrir un courrier électronique armé a abouti au cryptage des données non seulement du point final de cet employé, mais également de toutes les autres machines de l'environnement de l'entreprise. Cette nouvelle réalité a forcé sécurité d'entreprise décideurs à redéfinir les priorités de leurs besoins en matière de sécurité, en poussant protection contre les rançongiciels d'entreprise en haut de leur liste.
Anatomie des attaques de ransomware : livraison, exécution, propagation
Les attaques de ransomwares comprennent les étapes consécutives suivantes :
Protection de la livraison – coché
Le but de l'étape de livraison est de placer la charge utile du ransomware sur la machine de la cible. Il existe différentes méthodes pour les attaquants pour y parvenir avec des e-mails de phishing armés, un accès RDP compromis et des points d'eau en tête de liste. Le tableau ci-dessous, extrait de Site Web de Statista, montre une distribution plus détaillée des vecteurs de livraison :
La protection contre la diffusion de ransomwares est assurée par des passerelles de sécurité des e-mails qui analysent les e-mails pour détecter et supprimer le contenu à risque avant l'interaction de l'utilisateur, des plates-formes de protection des terminaux qui empêchent le téléchargement de logiciels malveillants potentiels et la MFA sur les connexions RDP qui empêche les attaquants de se connecter avec identifiants compromis.
Protection d'exécution – cochée
L'étape d'exécution correspond au moment où la charge utile du ransomware qui a été livrée avec succès au poste de travail ou au serveur commence à s'exécuter avec l'intention de chiffrer les fichiers de données sur la machine.
Cette table, assemblée par Kaspersky Labs, affiche les familles de ransomwares les plus performantes :
Les entreprises se protègent contre la phase d'exécution en déployant des plates-formes de protection des terminaux (EPP) sur leurs postes de travail et leurs serveurs. L'EPP vise à mettre fin à l'exécution de tout processus détecté comme rançongiciel, en empêchant complètement le cryptage malveillant.
Protection de la propagation - L'angle mort !
L'étape de propagation est celle où la charge utile du ransomware est copiée sur de nombreuses autres machines de l'environnement de l'entreprise via une authentification malveillante avec des informations d'identification compromises. L'une des surfaces d'attaque les plus vulnérables sont les dossiers partagés. Dans un environnement d'entreprise, chaque utilisateur a accès à au moins certains d'entre eux, ce qui ouvre la voie à la propagation des ransomwares.
Comme nous l'avons expliqué précédemment, c'est l'étape où les dommages de masse sont causés. Cependant, cette étape est aujourd'hui un point aveugle dans la posture de sécurité des entreprises. Il n'existe aujourd'hui aucune solution de sécurité capable d'empêcher la propagation automatisée des ransomwares en temps réel. En pratique, cela signifie que si une variante de ransomware réussit à contourner les mesures de sécurité de livraison et d'exécution - et un certain pourcentage si ces variantes le font toujours - elle peut se propager dans l'environnement de l'entreprise, cryptant toute machine qu'elle peut atteindre. Et tandis que les EPP améliorent leur protection contre les nouvelles souches de logiciels malveillants, les acteurs de la menace élaborent des charges utiles plus évasives et furtives, ce qui fait de ce contournement un scénario à haute probabilité.
Quel est le défi de la protection contre la propagation automatisée des ransomwares ?
Pour mieux comprendre la cause profonde de cette faille de sécurité, examinons comment fonctionne la propagation automatisée des ransomwares.
Nous avons le point de terminaison patient zéro où la charge utile du ransomware a été initialement exécutée. Afin de se propager à d'autres machines de l'environnement, le logiciel malveillant utilisera des informations d'identification compromises et effectuera une authentification standard – fournir à l'autre machine un nom d'utilisateur et des informations d'identification valides (mais compromis). Alors que cette activité est 100% malveillant dans son contexte, en substance elle est identique à toute authentification légitime dans l'environnement. Il n'y a aucun moyen pour le fournisseur d'identité - Active Directory dans ce cas – pour identifier ce contexte malveillant et il approuvera la connexion.
Voici donc l'angle mort de la protection contre les ransomwares : d'une part, aucun produit de sécurité ne peut bloquer les authentifications en temps réel, et d'autre part, le seul produit capable de le faire, le fournisseur d'identité, n'a pas la capacité de discerner entre les authentifications légitimes et malveillantes.
C'est ici que Silverfort Sécurité Protection d'identité la plateforme entre en jeu.
La solution : plate-forme unifiée de protection de l'identité
Silverfort a été le pionnier du premier spécialement conçu Protection unifiée de l'identité qui empêche de manière proactive les attaques utilisant des informations d'identification compromises pour accéder aux ressources de l'entreprise. Silverfort utilise une technologie innovante et sans agent pour s'intégrer nativement aux fournisseurs d'identité dans l'environnement de l'entreprise afin d'appliquer une surveillance continue, analyse de risque et l'application des politiques d'accès à chaque tentative d'accès à n'importe quelle ressource sur site et dans le cloud. De cette façon, Silverfort étend l'authentification basée sur les risques et MFA à des ressources et des interfaces d'accès qui n'auraient jamais pu être protégées auparavant – comme Active Directory interfaces d'accès à distance en ligne de commande sur lesquelles repose la propagation automatisée des rançongiciels.
Alors comment ça Silverfort Offrir une protection en temps réel contre la propagation automatisée des ransomwares ?
Comme nous l'avons expliqué précédemment, la propagation automatisée utilise l'authentification avec des informations d'identification compromises pour se propager dans l'environnement ciblé avec une inclinaison particulière vers les dossiers partagés. Comprenons comment Silverfort répond à ce risque :
Contrôle continu
Silverfort analyse en continu les authentifications et les tentatives d'accès des comptes utilisateurs, en créant un profil de comportement de haute précision des activités normales des utilisateurs et des machines.
Analyse de risque
Dans le cas d'une propagation automatisée, il y aura plusieurs tentatives de connexion simultanées provenant d'une seule machine et compte d'utilisateur. SilverfortLe moteur de risque de identifiera immédiatement ce comportement anormal et augmentera à la fois le score de risque du compte utilisateur et celui de la machine.
Application de la politique d'accès
Silverfort permet aux utilisateurs de créer des politiques d'accès qui utilisent son score de risque en temps réel pour déclencher une action de protection. authentification avec MFA ou même en bloquant complètement l'accès. La politique contre la propagation automatisée des ransomwares nécessiterait une authentification MFA chaque fois que le score de risque d'un compte d'utilisateur est "élevé" ou "critique", et s'appliquerait à toutes les interfaces d'accès - Powershell, CMD et CIFS, qui est le protocole dédié pour fournir accès partagé aux dossiers réseau.
Avec cette politique activée, chaque fois que le rançongiciel tente de s'étendre à une autre machine, la connexion ne serait pas autorisée sans vérification MFA du utilisateurs réels dont les informations d'identification ont été compromises. En fait, cela signifie que la propagation serait empêchée et que l'attaque serait confinée au seul point final patient zéro.
Conclusion : il faut une approche dédiée à la protection de l'identité pour empêcher la propagation automatisée
La propagation automatisée est le composant le plus meurtrier des attaques de ransomwares et change la donne dans le risque qu'elles présentent aujourd'hui aux entreprises. Avec SilverfortGrâce à la plate-forme de protection unifiée de l'identité de , vous pouvez enfin couvrir et vérifier cet angle mort critique, ce qui augmente considérablement la résilience de votre entreprise face aux tentatives d'attaques par ransomware.
