Ransomware – Le recul est 20/20 – IT News Africa
Trois choses que de nombreuses entreprises auraient souhaité avoir fait avant une attaque de ransomware.
Il y a peu de choses pires que de découvrir que votre entreprise a été compromise. Qu’il s’agisse d’un hameçonnage, d’un ransomware, d’un piratage ou d’une attaque malveillante, cela laissera un long héritage de dommages et de complexité derrière lui. Selon Martin Potgieter, co-fondateur et directeur technique de Nclose,
« Il y a trois choses que la plupart des victimes de violation auraient souhaité vérifier ou faire différemment après avoir été touchées par une attaque de ransomware. »
« Le premier est de s’assurer que le pare-feu de l’entreprise filtre le trafic sortant aussi agressivement qu’il filtre le trafic entrant. Une fois qu’un attaquant prend pied dans un réseau s’il y a un accès sortant illimité, il a la liberté dont il a besoin pour télécharger des charges utiles malveillantes et exfiltrer des données et télécharger des outils pour son attaque », explique Potgieter. Le problème courant des pare-feu est simple : les règles sont obsolètes et les entreprises ne les auditent pas assez souvent. De nombreux pare-feu qui sont entrés dans la pandémie n’ont pas été personnalisés pour gérer les complexités qu’il a introduites sous la forme du travail à distance. Des lacunes et des vulnérabilités sont apparues, et la plupart des entreprises n’ont même pas réalisé qu’elles étaient là, jusqu’à ce qu’il soit trop tard. Cela dessine une ligne noire épaisse sous l’importance d’audits de pare-feu cohérents et d’une évaluation régulière de toutes les règles de pare-feu.
« Souvent, les gens se rendent compte qu’un seul changement de règle aurait pu ralentir ou empêcher l’attaque », explique Potgieter. « Ce n’est pas une grande réalisation lorsque vous venez de verrouiller tout votre système ou que vous devez payer de lourdes amendes pour avoir enfreint la réglementation. Il existe des contrôles techniques spécifiques qui peuvent être mis en œuvre et mis à jour pour aider les entreprises à résoudre ce problème et à garantir que leurs pare-feu sont configurés pour un accès minimum requis et les meilleures pratiques en termes de ségrégation du réseau.
La deuxième erreur que commettent les entreprises est de ne pas protéger leurs sauvegardes. L’une des premières choses qu’une organisation fait lorsqu’elle a été compromise est d’aller au système de sauvegarde et de restaurer les données, surtout si elle a été victime d’un ransomware. Ils accèdent à leurs sauvegardes pour éviter de payer la rançon, seulement pour découvrir que toutes les sauvegardes ont été supprimées. « Lorsque ces attaques se produisent, les attaquants entrent souvent et suppriment les sauvegardes », explique Potgieter. « Le problème est que la plupart des entreprises considèrent les sauvegardes comme une continuité d’activité ou un processus opérationnel mis en place pour restaurer le système en cas de panne d’un serveur, et non comme le dernier recours pour l’organisation. Les attaquants pensent différemment. C’est une chose très courante pour les entreprises touchées par les ransomwares d’aller directement à leurs sauvegardes et, lorsqu’elles découvrent qu’elles sont vides, c’est dévastateur.
Pour gérer cet effet secondaire particulièrement désagréable, les entreprises doivent tester leurs systèmes de sauvegarde pour s’assurer qu’ils peuvent les restaurer à partir de plusieurs points et mettre en place des contrôles pour empêcher quiconque de pouvoir supprimer la sauvegarde. De nombreux systèmes de sauvegarde sont passés des sauvegardes sur bande hors ligne aux sauvegardes en ligne, et bien que les systèmes en ligne soient plus pratiques, ils ne sont pas aussi protégés contre la suppression malveillante des sauvegardes.
« Le troisième facteur est l’absence d’un guide de réponse aux incidents testé », explique Potgieter. « Certaines organisations matures disposent de manuels de réponse aux incidents, de sorte qu’elles savent ce qui doit être fait en cas d’attaque et comment réagir aux différents types d’attaques. Cela ne résoudra jamais complètement le problème, mais cela peut aider l’entreprise de manière significative au fur et à mesure que l’attaque se déroule. Le problème est que de nombreuses entreprises ont un playbook qu’elles n’ont pas testé, ou qu’elles n’en ont pas du tout. Il est essentiel que l’entreprise dispose d’un plan clair pour s’assurer que tout le monde fait ce qu’il faut, au bon moment, pour atténuer la perte de données et l’impact de l’attaque. Si personne ne sait quel est le plan ou ce qui doit être fait, cela peut avoir de graves répercussions, en particulier en cas de violation de données qui oblige l’entreprise à partager les informations avec les clients, les organismes de réglementation et les médias.
« C’est une situation complexe – d’une part, l’entreprise enquête sur la cause de l’attaque et peut vouloir attendre d’avoir plus d’informations avant de s’adresser aux médias et aux clients, mais d’autre part, ils ne peuvent pas être considérés comme une rétention d’informations. , conclut Potgieter. « C’est là qu’un plan d’intervention en cas d’incident s’avère utile. Il doit décrire comment les relations publiques, les techniciens et les juristes réagissent à l’attaque, et s’assurer que les informations sont diffusées dans un délai clair afin que la réputation de l’entreprise ne soit pas mise en danger.
Les organisations sont confrontées à une tâche fastidieuse pour combler leurs lacunes en matière de cybersécurité, comme le souligne Gartner, cela est devenu un problème au niveau du conseil d’administration qui oblige les entreprises à revoir la façon dont elles abordent leurs systèmes et cadres de sécurité. Ce n’est pas le moment de regretter une ancienne règle de pare-feu ou l’absence de processus de réponse aux incidents, mais plutôt le moment de réviser et de revoir les systèmes et les processus pour s’assurer qu’il y a une amélioration continue de ces facettes particulières alors qu’une organisation se dirige vers un 2022 complexe et difficile.
Rédacteur personnel