Blog

Chaque entreprise peut planifier sa prévention contre les ransomwares. Voici comment procéder

Bien qu'il ne s'agisse que de la dernière incarnation d'une très longue liste de ransomwares qui remonte à la fin des années 1980, WannaCry a fait un « excellent » travail en sensibilisant des personnes qui autrement ne s'intéresseraient jamais à tout ce qui concerne les ordinateurs et la sécurité. .
Rançongiciel Wannacry
Et c’est une bonne chose pour les entreprises de toutes tailles qui doivent toutes prendre très au sérieux cette dernière menace, celles qui l’ont précédée et les nouveaux ransomwares qui la suivront.



Faire face à la menace posée par les ransomwares est une affaire délicate qui, comme tout autre aspect de la sécurité de l’information, nécessite une stratégie à trois volets, même si dans ce cas, l’un d’eux est plus important que les autres.

En rapport:Statistiques des rasomwares



Restez à jour

Plus que tout autre ransomware, le pirate de l’air et ver de données WannaCrypt a souligné l’importance de mettre en place certains processus.

Bien que toutes les souches de ransomwares n'exploitent pas les vulnérabilités du système d'exploitation Windows qui auraient été découvertes par l'Agence nationale de sécurité des États-Unis, les systèmes d'exploitation anciens et non pris en charge, tels que Windows XP – qui semble avoir causé un tel casse-tête au NHS – ne le font certainement pas. Cela n'aide pas les entreprises à se défendre contre toute menace moderne.



Cela dit, l’utilisation d’un système d’exploitation plus à jour ne permet pas d’aller plus loin : si le déploiement de clients Windows 10 par une organisation n’a pas été mis à jour depuis des lustres, elle sera potentiellement également vulnérable aux ransomwares et à d’autres formes d’attaque.

Il est donc impératif que les entreprises de toutes tailles mettent en place des processus garantissant que les systèmes d’exploitation existants soient mis à niveau dès que possible, ou isolés via des VLAN séparés ou des espaces vides s’ils restent essentiels au flux de travail de l’entreprise.

De même, un processus de gestion des correctifs est extrêmement important. Bien qu'il existe des préoccupations légitimes concernant le déploiement de correctifs dès le premier jour, au cas où ils briseraient les systèmes essentiels de l'entreprise, il n'y a vraiment aucune excuse pour ne pas les tester dans un environnement hors production avant de les diffuser rapidement sur l'ensemble du réseau une fois leur stabilité vérifiée.

Pour les utilisateurs de Windows XP, le bulletin de sécurité Microsoft MS17-010 corrigera la vulnérabilité exploitée par WannaCrypt.

Outils de protection contre les antivirus et les ransomwares

Un autre élément essentiel de la défense contre les ransomwares est l’utilisation d’une technologie appropriée ; antivirus et outils de protection contre les rançongiciels .

Bien que les logiciels antivirus et de sécurité Internet ne soient pas, et n’ont jamais été, une solution miracle, aucune entreprise digne de ce nom ne connecterait l’un de ses appareils à Internet sans qu’ils soient en place.

L'antivirus avec analyse en temps réel peut identifier et bloquer les ransomwares connus avant qu'ils n'aient la possibilité d'infecter votre système. Même sur les systèmes infectés, l’antivirus peut aider à supprimer les ransomwares, même s’il ne peut pas décrypter les fichiers.

Filtres de courrier électronique

WannaCry a une fois de plus confirmé que les ransomwares sont principalement transmis par courrier électronique. Il est donc essentiel de mettre en place un filtre puissant. Les entreprises qui gèrent leurs propres serveurs de messagerie peuvent bénéficier d'un logiciel de filtrage du spam et des logiciels malveillants. Ces services logiciels maintiennent des listes noires de spammeurs et de sources malveillantes connus et peuvent également bloquer les types de pièces jointes que les logiciels malveillants sont connus pour exploiter, notamment les extensions Javascript et les fichiers Microsoft Office compatibles avec les macros.

Beaucoup de ces services sont basés sur le cloud, ils ne nécessitent donc pas d'infrastructure supplémentaire et fonctionnent simplement comme une extension de votre service de messagerie actuel.

Les clients de messagerie doivent être configurés pour toujours afficher les extensions de fichiers complètes (ransomware.jpg peut en fait être ransomware.jpg.exe) et les fichiers exécutables doivent être complètement filtrés.

Filtres de courrier électronique Liste blanche et liste noire des sites Web et des applications

Le maintien de bonnes listes blanches et noires peut garantir le blocage des domaines défectueux connus. La liste blanche, qui permet uniquement d'accéder à des sites Web spécifiés et d'exécuter des applications, est plus sécurisée mais moins pratique. La liste noire permet à n'importe quel programme de s'exécuter, à l'exception de ceux que vous avez explicitement déclaré ne devraient pas s'exécuter, ce qui est moins sécurisé mais plus flexible. Ce que vous décidez d’utiliser et comment cela dépend des besoins de votre entreprise. Si certains postes de travail ne sont utilisés que pour des tâches spécifiques, la mise sur liste blanche est peut-être la solution. Si vous fournissez des ordinateurs portables à vos employés pour qu'ils les utilisent en déplacement, la mise sur liste noire pourrait être plus applicable.

La mise en liste blanche et noire des sites Web peut être effectuée par un certain nombre de moyens allant d'une suite logicielle en couches aux contrôles parentaux en passant par de simples extensions de navigateur.

Les éditions Windows 10 Pro et Enterprise intègrent la prise en charge des applications sur liste blanche et sur liste noire dans l'outil Secure Policy Editor. Voici comment l’utiliser :

Comment créer une liste blanche dans Windows 10 :

  1. Appuyez simultanément surTouche Windows + Rpour ouvrir la boîte de dialogue d'exécution, tapezsecpol.msc, et frappeEntrer
  2. Sous Paramètres de sécurité, cliquez avec le bouton droitPolitiques de restriction logicielleet sélectionnezCréer une nouvelle politiqueouNouvelles politiques de restriction logicielle
  3. Double-cliquez surMise en vigueur. Vous pouvez laisser ces paramètres par défaut ou les modifier si nécessaire. PresseD'ACCORD.
  4. Double-cliquezTypes de fichiers désignés. Vous trouverez ici une liste de types de fichiers que Windows considère comme exécutables. Vous pouvez ajouter des extensions connues pour être associées aux ransomwares, notammentPS1, SCT, JSE, VBE, WSF et VBS. Une fois terminé, appuyez surD'ACCORD.
  5. Double-cliquez sur leNiveaux de sécurité > Interdit > Définir par défautpour éviter de bloquer toutes les applications qui utilisent les extensions de fichiers de notre liste de l'étape 4. Appuyez ensuite surAppliqueretD'ACCORD.
  6. Désormais, si vous essayez d'exécuter un programme, vous recevrez un message indiquant qu'il est bloqué. Pour ajouter les programmes souhaités à la liste blanche, dans la partie gauche de la fenêtre de l'éditeur de stratégie, accédez àParamètres de sécurité > Politiques de restriction logicielle > Règles supplémentaires
  7. Cliquez avec le bouton droit sur un espace vide dans le volet droit et sélectionnezNouvelle règle de chemin…
  8. De là, vous pouvez sélectionner les dossiers des programmes dont vous souhaitez autoriser l'exécution. Il peut s'agir de l'intégralité de votre dossier Program Files ou de dossiers d'application spécifiques. Ajoutez une règle pour chaque dossier sur la liste blanche et cliquez surAppliquer,alorsD'ACCORD.

Comment créer une liste noire dans Windows 10

  1. Appuyez simultanément surTouche Windows + Rpour ouvrir la boîte de dialogue d'exécution, tapezgpedit.msc, et frappeEntrer
  2. Dans le volet de gauche, accédez à Configuration utilisateur > Modèles d'administration > Système.
  3. Double-cliquezNe pas exécuter les applications Windows spécifiéeset sélectionnezActivé
  4. SousPossibilités, Cliquez surMontrer
  5. Dans la fenêtre qui apparaît, saisissez le chemin de l'application que vous souhaitez bloquer

Pour désactiver Windows Installer, qui empêchera l'utilisateur d'installer quoi que ce soit, interdisezmsiexec.exe

Connexes : Quel est le meilleur VPN pour Windows 10 ?

Filtres de messagerie Moins Privilège

Restreindre les privilèges administratifs dont disposent les employés sur les postes de travail. Le « moindre privilège » est le principe selon lequel les utilisateurs finaux doivent disposer du nombre minimum d'autorisations nécessaires pour effectuer leur travail. Sous Windows, les administrateurs peuvent créer des comptes secondaires avec moins de privilèges à utiliser par le personnel. Certaines actions que vous pouvez envisager de restreindre incluent :

  • Installation et désinstallation de programmes
  • Arrêt et démarrage des services
  • Connexions de bureau à distance
  • Modification des paramètres de réseau et de partage, notamment en interdisant aux utilisateurs de modifier les préférences et les paramètres d'accès à distance

Sous Windows, la plupart des paramètres des deux derniers points peuvent être définis par l'administrateur dans l'éditeur de stratégie de groupe. Pour y accéder :

  1. Appuyez simultanément surTouche Windows + Rpour ouvrir la boîte d'exécution, tapezgpedit.msc, et frappeEntrer
  2. Dans le volet de gauche, accédez àConfiguration utilisateur > Administration > Modèles > Réseau > Connexions réseau

Pare-feu

Bien que l'utilisation d'un pare-feu, ainsi que certaines règles, auraient pu être plus un obstacle qu'une aide lors de la première itération de WannaCry, il s'agit également d'une barrière technologique essentielle qui peut grandement contribuer à empêcher les attaques de se propager vers le monde. réseau d'affaires.

Enfin, et c’est peut-être le plus important, chaque attaque de ransomware a chiffré toutes les données qu’elle pouvait trouver sur une machine cible, sur les disques connectés ou sur les réseaux.

Les pare-feu NAT empêchent le trafic entrant non demandé sur les routeurs wifi et certains VPN. Les pare-feu d'applications personnelles sont intégrés au système d'exploitation d'un appareil, tel que le pare-feu Windows. Des pare-feu existent également sur les serveurs pour autoriser uniquement le trafic sur certains ports ou à partir d'adresses IP de confiance. Tous ces éléments peuvent aider à arrêter les ransomwares.

Certains experts ont souligné que les utilisateurs de Windows devraient créer un trafic SMB (Server Message Block) sur le port 445 à l'aide du routeur ou du pare-feu personnel.

Sauvegarde

La leçon à retenir ici est qu’une infection réussie pourrait instantanément détruire une entreprise entière si elle n’est pas préparée.

La défense technologique numéro un est donc de sauvegarder à tout moment toutes les données sensibles ou importantes. Mais plus encore, l'intégrité de ces sauvegardes doit être régulièrement testée, sinon elles pourraient s'avérer sans valeur si nécessaire et conservées hors site pour se prémunir contre les catastrophes locales, comme un incendie dévastant les locaux de l'entreprise.

Les entreprises peuvent utiliser la sauvegarde cloud, locale ou hybride pour protéger leurs actifs numériques, en fonction de leurs besoins. Des sauvegardes régulières peuvent réduire considérablement la perte de données ainsi que les temps d'arrêt en cas d'attaque de ransomware. Les systèmes concernés peuvent simplement être réinitialisés et restaurés à leur état précédent. Mais les entreprises confrontées à des attaques de ransomware auront besoin de plus que de simples sauvegardes pour reprendre leurs activités normales. Nous vous recommandons de créer un plan complet de reprise après sinistre adapté à votre entreprise.

Personnes

La dernière partie d’une bonne stratégie anti-ransomware est de loin la plus importante : les personnes.

La vérité est que les ransomwares ne parviennent presque jamais à s’introduire dans un système ou un réseau sans l’aide d’un humain.

Cette aide vient également de plusieurs manières, depuis les erreurs commises dans les routines de mise à jour et de correctifs susmentionnées, jusqu'à l'ouverture de pièces jointes envoyées par des inconnus jusqu'au clic sur des liens dans des messages tout aussi douteux.

Hameçonnage

Pour aggraver les choses, les ransomwares s'appuient souvent sur ingénierie sociale des techniques pour tromper les imprudents, de sorte que même les personnes qui ne commettent pas d’erreurs évidentes sont sensibles à ses charmes – on ne peut guère blâmer un membre du personnel qui ouvre un document Word marqué « urgent » et qui lui a été envoyé par son « patron ».

Ainsi, la formation et la sensibilisation à la sécurité constituent un outil clé qui doit être exploité si une entreprise veut réduire le risque d’attaque, particulièrement habile à éviter les défenses technologiques. Lorsqu'il s'agit de rançongiciels, Hameçonnage est utilisé pour inciter le personnel à télécharger une pièce jointe ou à cliquer sur un lien de téléchargement en se faisant passer pour une partie de confiance.

Lorsque le personnel reçoit un e-mail leur demandant de télécharger une pièce jointe, de cliquer sur un lien ou de divulguer des informations sensibles, ils doivent rechercher les signes d'avertissement suivants :

  • Ne faites pas confiance aux noms affichés. C'est le nom qui apparaît souvent en premier dans les clients de messagerie, mais il est facilement usurpé. Au lieu de cela, vérifiez toujours l’adresse e-mail réelle.
  • Recherchez un faux domaine. Le domaine est le texte d'une adresse e-mail qui vient après le symbole @. Ceux-ci peuvent être déguisés pour ressembler au domaine officiel. Par exemple, un e-mail de phishing se faisant passer pour Paypal peut provenir de [email protected] au lieu du véritable [email protected]. Paypal-bank est un faux domaine créé pour tromper les victimes sans méfiance.
  • Vérifiez toujours où mène un lien avant de cliquer dessus. Vous pouvez le faire sur un navigateur de bureau en survolant le lien avec votre souris, et l'URL de destination apparaîtra dans le coin inférieur gauche de la fenêtre du navigateur. Sur mobile, appuyez longuement sur le lien pour afficher l'URL de destination. Si vous ne reconnaissez pas l’URL, ne cliquez pas dessus.
  • Ne téléchargez et n’ouvrez en aucun cas les pièces jointes à moins que vous ayez absolument confiance et puissiez vérifier l’expéditeur. Prévisualisez-les avant de les télécharger si possible.
  • Vérifiez l'authenticité des signatures numériques utilisées par votre client et fournisseur de messagerie. Si votre entreprise n'utilise pas de signatures numériques, pensez à les mettre en place.

Éducation de sensibilisation

Les collaborateurs doivent être informés d'une manière qui correspond à la culture d'entreprise existante et en veillant fermement à modifier leur comportement, et pas simplement en soulignant la dernière attaque. En soulignant ce qu’est un ransomware, les dégâts qu’il peut causer et, surtout, comment il peut les affecter sur une base personnelle, le message s’ancrera réellement dans leur esprit et restera gravé dans leur mémoire à l’avenir.

Bien entendu, il ne s’agit pas d’une merveille ponctuelle : l’un des points les plus importants de la formation de sensibilisation est que le message doit être constamment renforcé sur le long terme et de diverses manières.

Selon la nature de l'entreprise, le message peut être transmis par courrier électronique, par le biais d'affiches placées stratégiquement, par le biais de cadeaux (les tapis de souris et les stylos affichant un message court et précis fonctionnent bien et sont également bon marché), par vidéo ou par tout autre moyen inventif. moyens. Outre le simple envoi massif d'e-mails à votre équipe avec des liens vers des vidéos Youtube et des articles de blog sur les ransomwares, voici quelques autres moyens de sensibilisation :

  • Les simulateurs de phishing envoient des e-mails de phishing simulés au personnel. Si le membre du personnel clique sur le lien dans l’e-mail (ce qu’il ne devrait pas faire), il sera alors dirigé vers un site l’informant de son erreur.
  • Ajoutez une signalisation autour des postes de travail rappelant au personnel de vérifier correctement les e-mails et leur contenu avant de cliquer sur des liens ou de télécharger des pièces jointes.
  • Limitez les informations professionnelles que les employés peuvent publier sur les réseaux sociaux, telles que les titres de poste, pour éviter que certains membres du personnel ne soient ciblés par le spear phishing.
  • Organiser des sessions de formation semestrielles en personne pour informer les employés des dernières menaces

Suivez une formation de sensibilisation parfaitement adaptée et le personnel deviendra les yeux et les oreilles de l’entreprise, repérant les ransomwares avant le service de sécurité – si une telle chose existe – ce qui présente des avantages extrêmement évidents.

^