Blog WatchGuard

Face à des ransomwares omniprésents et modernes, une sécurité unifiée est plus que jamais nécessaire

À la suite d’une série d’attaques par ransomware qui ont perturbé plusieurs services essentiels américains, le directeur du FBI, Christopher Wray, a déclaré que les ransomwares représentaient une menace équivalente aux attaques terroristes du 11 septembre 2001. Ces mots très forts démontrent l’importance donnée par la première puissance économique mondiale à la menace cyber. Et nous ne pouvons qu’approuver cette alerte car les attaques contre Colonial Pipeline ou encore JBS auxquelles le patron du FBI fait référence, ne sont que des signes avant-coureurs de ce qui est à venir.

Bien que les ransomwares ne soient pas nouveaux, les commentaires de M. Wray illustrent une réalité importante : nous sommes tous des proies de même valeur aux yeux des cybercriminels. Les attaques contre Colonial Pipeline et JBS ont paralysé les opérations de ces deux entreprises, provoquant un effet domino qui a entraîné une hausse des coûts du pétrole et de la viande de bœuf, une hausse ressentie par presque tous les Américains, et ce n’est que le début. Le FBI suit activement une centaine de types de ransomware différents qui ont pu être observés, et de nouvelles menaces apparaissent chaque jour. En France, 3 services de la Police et de la Gendarmerie (le C3N, l’OCLCTIC et la BL2C) se partagent également la surveillance des groupes de ransomware avec répartition par familles.

Les cybercriminels sont parfaitement conscients du pouvoir que renferment les ransomwares. Ces logiciels leur permettent d’exploiter du bout des doigts la valeur des données et des systèmes qu’il serait difficile de monétiser autrement. En outre, avec les prix des crypto-monnaies qui atteignent des sommets historiques, le coût de la récupération peut être décourageant.

Le message de M. Wray concernant le partage des responsabilités doit servir d’avertissement aux petites entreprises qui ne se considèrent peut-être pas comme des cibles potentielles. Dans cette optique, voici 10 façons dont WatchGuard aide les PME à se défendre contre les ransomwares grâce à une protection multicouche :

  1. Bloquer automatiquement les tentatives de phishing grâce au filtrage DNS. Le phishing par email est la méthode la plus courante pour lancer une attaque par ransomware. En bloquant les emails malveillants à l’aide de spamBlocker (Antispam) sur l’appliance Firebox et l’antispam du poste de travail, vous pouvez éviter que votre boîte aux lettres utilisateur ne soit compromise. Vous avez manqué un email et un utilisateur a cliqué sur un mauvais lien ? DNSWatch permet de couper les canaux de commande et de contrôle et de bloquer les connexions avec les pirates. Vous avez besoin de protéger les utilisateurs à distance ? DNSWatchGO offre la même protection pour les utilisateurs individuels, sans avoir recours à un VPN.

     
  2. Renforcer les identités des utilisateurs avec l’authentification multifacteur. AuthPoint fournit une authentification multifacteur efficace pour vos collaborateurs, protégeant les actifs, les comptes et les données de l’entreprise contre le vol d’identifiants, la fraude et les attaques de phishing. De plus, l’application mobile AuthPoint affiche chaque tentative de connexion et son ADN mobile unique garantit que seul l’appareil d’origine peut effectuer l’authentification. Cela permet de lutter contre les menaces sophistiquées qui clonent les appareils mobiles.

     
  3. Combler facilement les failles de sécurité grâce à la gestion des correctifs. Selon l’institut Ponemon, 57 % des victimes de cyberattaques ont affirmé que l’application d’un correctif aurait empêché l’attaque, et 34 % ont même déclaré qu’elles avaient connaissance de la faille avant l’attaque. WatchGuard Patch Management est une solution conviviale de gestion des vulnérabilités des systèmes d’exploitation et des applications tierces sur les postes de travail et les serveurs Windows. Elle contribue à réduire la surface d’attaque et à lutter contre les attaques par ransomware.

     
  4. Empêcher l’exécution d’applications inconnues. Zero-Trust Application Service permet une surveillance continue des postes de travail, une détection et une classification de toute l’activité afin d’identifier et de bloquer les comportements anormaux de la part des utilisateurs, des machines et des processus. Les fonctions de protection, de détection et de réponse aux menaces au niveau des postes de travail atténuent automatiquement l’attaque, en bloquant n’importe quelle exécution d’application inconnue jusqu’à ce qu’elle soit validée comme fiable par notre système de Machine Learning et notre équipe de cybersécurité.

     
  5. Éliminer les charges utiles initiales des malwares au niveau du firewall. Les firewalls tels que les appliances WatchGuard Firebox sont bien placés pour bloquer les premiers fichiers des malwares, comme les fichiers au compte-gouttes, qui sont souvent suivis par des ressources plus malveillantes. L’appliance Firebox offre trois niveaux de protection contre les malwares : Gateway AV (signatures et analyses heuristiques), IntelligentAV (prévention sans signature basée sur l’Intelligence Artificielle) et APT Blocker (sandbox Cloud avancée).

     
  6. Surveiller les attaques actives avec une visibilité en temps réel sur les postes de travail. Par nature, les ransomwares infectent les appareils des postes de travail. Le fait d’avoir une visibilité sur les événements de ces appareils permet de détecter les menaces et d’y réagir avant qu’elles ne provoquent des dégâts. Les fonctions de protection, de détection et de réponse aux menaces au niveau des postes de travail offrent une visibilité claire et opportune des activités malveillantes au sein d’une entreprise. Cette visibilité permet aux équipes de sécurité d’évaluer rapidement la portée d’une attaque et de prendre les mesures appropriées.

     
  7. Corréler la télémétrie à travers la pile pour un meilleur contexte. Les cyber-criminels sont comme des ninjas quand il est question d’infiltrer les systèmes de sécurité traditionnels. Ils approchent de manière furtive et ciblée pour adoucir leurs pas et se cachent dans l’ombre, ce qui rend leurs attaques faciles à manquer. Partie intégrante de l’appliance WatchGuard Firebox, notre solution ThreatSync utilise un agent Host Sensor léger ainsi que la puissance du Cloud pour corréler automatiquement les données de télémétrie provenant de plusieurs points de votre pile de sécurité, cela permet de repérer et d’éliminer rapidement les menaces qui, autrement, n’auraient pas été détectées.

     
  8. Bloquer le chiffrement non autorisé des fichiers. Le module HRP (Host Ransomware Prevention) exploite un moteur d’analyse comportementale et un leurre de référentiels appâts pour surveiller un large éventail de caractéristiques et déterminer si une action donnée correspond à une attaque par ransomware ou non. S’il s’avère que la menace est effectivement malveillante, HRP peut automatiquement bloquer l’attaque par ransomware avant que le chiffrement des fichiers au niveau du poste de travail n’ait lieu.

     
  9. Restaurer les postes de travail en toute simplicité. Au cours de l’exécution, les malwares créent, modifient ou suppriment souvent les paramètres des fichiers et registres système et modifient les paramètres de configuration. Ces changements, ou les traces qui en restent, peuvent entraîner une instabilité ou un dysfonctionnement du système ou même constituer une porte d’entrée pour de nouvelles attaques. Les fonctions de protection, de détection et de réponse aux menaces au niveau des postes de travail, dans les cas résiduels où les malwares parviennent à s’exécuter, restaurent les postes de travail à leur état de confiance antérieur à l’attaque.

     
  10. Minimiser les délais de détection. Le service Threat Hunting and Investigation de WatchGuard permet de détecter les techniques émergentes de piratage et d’attaques LoTL (Living-off-The-Land). Grâce à nos experts en sécurité, nous analysons les cas suspects pour trouver des techniques d’évasion nouvelles et uniques (appelées TTP) dans le flux d’événements. À partir de là, nous créons des règles représentant de nouveaux indicateurs d’attaque automatisés qui peuvent être transmis à vos postes de travail afin de les protéger rapidement contre les nouvelles attaques.

En cette période où les ransomwares sont partout, les entreprises doivent prendre conscience que les menaces se présentent sous de nombreuses formes et utilisent des techniques avancées, même contre les petites entreprises. Par conséquent, le fait de disposer d’une plateforme de sécurité unifiée capable de donner à votre équipe les moyens d’agir avant que toute faille potentielle ne soit exploitée, et les moyens d’accélérer la réponse en cas de violation, peut grandement contribuer à prévenir les attaques qui pourraient paralyser l’activité de votre entreprise.