Articles

Combattez les Ransomwares avec une Défense en profondeur

admin novembre 11, 2021 0 Comment

Temps de lecture estimé : 4 minutes

Combattez les Ransomwares avec une Stratégie de Défense en profondeur

La moyenne quotidienne des attaques de Ransomwares, telle qu’observée par Check Point Research, a augmenté de 50% au 3e trimestre par rapport au premier semestre 2020. Du gouvernement aux services financiers en passant par les hôpitaux, les attaques de ransomwares très lucratives à travers le monde ont explosé et ne montrent aucun signe de relâchement. Alors que les attaques par Ransomware continuent de faire la une des journaux, les organisations doivent évoluer vers la lutte contre les Ransomwares avec une stratégie de défense en profondeur.

La cybersécurité évolue de manière agressive et les défenseurs sont profondément engagés dans une partie d’échecs contre les attaquants. Chaque étape qu’un défenseur prend pour sécuriser son réseau, un attaquant crée une nouvelle méthode ou un nouveau vecteur d’attaque. Les défenseurs doivent étudier en permanence leurs mouvements, observer de près les indicateurs de compromis, apprendre à prédire de manière fiable les stratégies potentielles et les vecteurs d’attaque. Ces observations font partie d’une stratégie complexe de défense en profondeur, utilisée pour identifier les failles de sécurité ou les points de défaillance potentiels au sein de l’environnement de cyberopération (COE).

Outils communs pour la Cyberdéfense

La défense en profondeur s’appuie sur une gamme d’outils de sécurité qui offrent différents types de protection à travers les différents points d’accès du COE. Voici quelques-unes des couches de sécurité principales les plus couramment utilisées.

Pare-feu

Étant donné que les attaques de ransomware commencent par l’accès d’un Cyberacteur malveillant (MCA) à un réseau, un pare-feu est souvent la première ligne de défense. Le pare-feu empêche certains ports d’accéder au réseau et utilise des détections comportementales et/ou basées sur des règles pour empêcher un MCA d’accéder au réseau.

Système de prévention des intrusions réseau (NID)

Les NID fournissent une autre couche de sécurité en utilisant une détection comportementale et basée sur des règles pour les menaces potentielles de ransomware au niveau du réseau. De plus, les NID sont équipés pour fournir la granularité des données nécessaire aux cyber-analystes pour détecter une attaque afin qu’ils puissent réagir avec une approche ciblée pour empêcher le MCA d’accéder au réseau.

Endpoint Detection and Response (EDR)

Les EDRS offrent une visibilité cruciale aux équipes de sécurité réseau pour détecter les menaces, comme les ransomwares, si les MCA parviennent à échapper aux autres couches de sécurité et à pénétrer dans le réseau. Les EDR fournissent une détection, une investigation et une correction basées sur l’hôte contre les logiciels malveillants afin de contenir les menaces avant que les actions néfastes d’un MCA ne puissent être entièrement exécutées.

Gestion des correctifs

La gestion des correctifs est une autre couche de sécurité préventive et sert à empêcher les compromis avant même qu’ils ne se produisent. Les attaquants de ransomware cibleront les vulnérabilités du système qui peuvent être utilisées pour augmenter les privilèges et obtenir une exécution de code à distance sur le système sans privilèges d’administrateur.

Journalisation et segmentation du réseau

La journalisation et la segmentation du réseau constituent un obstacle supplémentaire pour les MCA une fois qu’ils ont pénétré les autres outils de sécurité du réseau. Si un MCA compromet le réseau, il est utilisé pour segmenter des zones spécifiques du réseau afin d’atténuer le mouvement d’une attaque, la ralentissant jusqu’à ce que les défenseurs soient en mesure de contenir la menace. Dans le cas d’attaques par ransomware, cela serait mis à profit pour empêcher les mouvements latéraux au sein du réseau.

Bien que les outils de sécurité ci—dessus offrent une défense solide contre les menaces et les exploits, ils sont également surpassés par rapport aux MCA qualifiés, notamment en ce qui concerne les attaques par ransomware. Alors, que manque-t-il à l’ensemble d’outils de défense en profondeur? Et comment les défenseurs peuvent-ils renforcer la sécurité pour devancer les attaques par ransomware ?

La réponse courte est le renseignement sur les cybermenaces. L’élément le plus souvent manquant d’une stratégie de défense en profondeur est d’avoir à la fois des renseignements complets sur les cybermenaces et une équipe dédiée de professionnels de la sécurité qui comprennent comment tirer des renseignements exploitables sur les menaces à partir de ce qui ne serait autrement que des données potentiellement utiles sur les menaces. Bien que de nombreuses organisations puissent s’approvisionner en un ou plusieurs flux de renseignements sur les menaces, elles n’ont souvent pas les ressources internes nécessaires pour vraiment comprendre l’impact de ces données sur leur environnement de travail unique. En matière de cybersécurité, il est crucial que les données de renseignement sur les menaces soient visualisées en fonction de la composition unique du CDE d’une organisation.

Un exemple de ransomware: Emotet

L’image ci-dessous montre des données qui identifient un logiciel malveillant couramment utilisé appelé Emotet. Ce malware est conçu comme un cheval de Troie qui permet aux attaquants d’accéder à distance à un système, de l’exploiter et d’installer d’autres charges utiles malveillantes, en particulier les ransomwares.

combat-emotet-ransomware-with-defense-in-depth-cyber-threat-intelligence

Obtenir des informations supplémentaires sur les attaquants C2 et les domaines malveillants peuvent donner aux défenseurs une autre couche de défense pour prévenir une attaque ou fournir la capacité de détection afin que les défenseurs aient la capacité de répondre à une attaque.

Sur la base des données présentées ci-dessus, un professionnel du renseignement sur les menaces peut être en mesure d’identifier le squat de domaine ou le typosquattage si un attaquant cible vos entreprises ou vos clients, ainsi que le C2 d’un MCA et les nouvelles techniques utilisées dans une campagne. Cependant, l’identification n’est qu’une étape. Une fois la menace potentielle identifiée, un défenseur devrait valider l’infrastructure C2 et, espérons—le, glaner de nouveaux hachages de logiciels malveillants ou vecteurs d’attaque – des détails qui seraient utilisés pour perturber la chaîne de destruction et bloquer les MCA au point d’accès initial. Cela démontre la différence entre avoir simplement des données de renseignement sur les menaces et avoir des données de renseignement sur les menaces exploitables.

Que votre organisation soit confrontée à des attaques de rançongiciels ou à d’autres légions de menaces et d’exploits, l’ajout le plus précieux à votre défense contre les menaces est une information exploitable sur les menaces. Bien que la menace des cyberattaques demeure une préoccupation majeure pour les organisations, relativement peu prennent les mesures préventives nécessaires pour sécuriser leur environnement et former le personnel de sécurité. Du moins, pas avant qu’ils aient été attaqués — ce qui est beaucoup plus coûteux que s’ils avaient pris des mesures préventives pour commencer.

admin

Related Posts

geologia fizică

janvier 7, 2022

fizikai Geológia

janvier 7, 2022

fysikaalinen geologia

janvier 7, 2022

fysische Geologie

janvier 7, 2022

Geologia fizyczna

janvier 7, 2022

Physikalische Geologie

janvier 7, 2022

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *