Une solution rapide et simple pour lutter contre les ransomwares au sein de l'entreprise
Les ransomwares sont clairement le fléau de l'année 2016. Chaque semaine, une nouvelle épidémie de cette classe insidieuse de malwarese déclare au niveau de l' entreprise, paralysant et extorquant un nombre toujours plus grand d'organisations.
Pour une menace qui, dans sa grande majorité, n'est pas ciblée, il semble qu'elle frappe les grandes et les petites entreprises avec beaucoup de succès.
L'infection du site malware peut arriver par la porte d'entrée d'une stratégie de "défense en profondeur" qui a échoué ou par la porte latérale d'un appareil mobile connecté au réseau de l'entreprise un lundi matin.
Quoi qu'il en soit, de nombreuses équipes de sécurité et administrateurs de réseaux se précipitent pour mettre un terme au chiffrement rapide des documents accessibles par le biais de partages en réseau.
Les organisations disposent de plusieurs nouvelles technologies pour détecter la présence de ransomwares dans le réseau et alerter le personnel de sécurité en cas d'épidémie (ce qui n'est qu'un exemple de ce que fait le produit Vectra). Mais il est souvent beaucoup plus difficile d'arrêter automatiquement une épidémie en cours de route.
On me demande souvent quelle est la "meilleure" façon d'atténuer cette menace (c'est-à-dire comment une organisation peut-elle empêcher un ransomware d'interrompre ses activités de la façon la moins coûteuse et la plus solide possible).
Le moyen le plus rapide et le plus simple d'atténuer les effets du chiffrement du réseau par un ransomware est en fait très simple et suit le principe du canari dans une mine de charbon.
Les rançongiciels tentent d'énumérer et de chiffrer les fichiers sur les partages de réseau au sein de l'entreprise. Une méthode de protection simple consiste à s'assurer que chaque ordinateur dispose de quelques partages montés surveillés.
Si un utilisateur ou un ordinateur tente d'écrire ou de supprimer un fichier sur ces partages, les identifiants d'accès de l'utilisateur victime sont immédiatement suspendus. Et si l'organisation utilise une forme quelconque de contrôle d'accès au réseau (NAC), l'ordinateur hôte est également et immédiatement déconnecté du réseau.
Étant donné que la génération actuelle de ransomwares a tendance à parcourir séquentiellement les partages montés dans l'ordre alphabétique ou alphabétique inverse, il est probablement suffisant de s'assurer que les premier et dernier partages montés - tels que le lecteur A : ou D : et le lecteur Z : ou Y : - sont des partages canaris surveillés.
Il peut également être utile de s'assurer que les partages canaris contiennent un grand nombre de fichiers jetables, car le ransomware mettra du temps à crypter ces fichiers. Cela permet de disposer d'une période de temps pendant laquelle les informations relatives à la révocation des informations d'identification et d'accès au réseau peuvent être propagées au reste du réseau.
Cette technique est similaire à celle que j'ai utilisée par le passé pour lutter contre l'envoi de spam à l'adresse malware et les attaques automatisées de forçage d'identifiants. En ajoutant des comptes d'utilisateurs qui apparaissent en première et dernière position dans un répertoire d'utilisateurs - comme Active Directory et les contacts de messagerie - et en surveillant toute utilisation de ces noms, il est possible de détecter et d'atténuer rapidement et automatiquement la menace.
Par exemple, si quelqu'un tente d'envoyer un courriel au prénom fictif figurant dans le carnet d'adresses, le serveur de messagerie bloque automatiquement toutes les demandes d'envoi de courriels de l'utilisateur jusqu'à ce que l'équipe informatique ait mené une enquête.
L'utilisation de partages de fichiers canari de ransomware, comme les comptes canari dans Active Directory et le courrier électronique, peut être une approche d'atténuation peu coûteuse et efficace des menaces. Les méthodes les plus simples sont parfois les plus efficaces.