Dans leurs dernières itérations, les ransomwares combinent un chiffrement des fichiers et une menace de divulgation de données sensibles dérobées, une double peine ou plutôt une double extorsion qui doit inviter toutes les entreprises à mener un vrai combat contre les cybercriminels. Voici comment…
Depuis des années, les programmes malveillants sont l’ennemi juré des entreprises, les ransomwares constituant une menace extrêmement redoutable. Bloquer les fichiers des victimes en les chiffrant et exiger une rançon pour les déchiffrer s’est révélé être une tactique très efficace pour les cybercriminels, comme le rappelle le flux constant des attaques récentes. Cependant, ces hackers perfectionnent sans cesse leurs tactiques et se sont récemment tournés vers la double extorsion, qui consiste à menacer de divulguer les fichiers sensibles des victimes afin d’augmenter leurs chances d’obtenir le paiement d’une rançon. Les attaques de la chaîne d’approvisionnement de type Kaseya sont un autre exemple de la sophistication croissante des ransomwares. Dans tous les cas, une attaque peut perturber les activités de l’entreprise, nuire à la réputation de la marque, entraîner des coûts financiers importants, etc.
Les pirates sont constamment à la recherche de cibles faciles à attaquer pour contourner les défenses des entreprises. Ces dernières années, les applications SaaS sont devenues des proies particulièrement attirantes. Les applications SaaS sont conçues pour permettre un partage rapide des fichiers et favoriser la collaboration et l’automatisation. Par conséquent, une fois installé, le ransomware peut facilement se propager aux applications connectées et aux appareils des utilisateurs. Par ailleurs, les applications SaaS renferment un grand nombre de fichiers susceptibles d’être dérobés et exploités à des fins de double extorsion. Une mauvaise configuration des applications SaaS, riches en données, peut engendrer des failles dangereuses capables de faciliter l’accès d’acteurs malveillants aux données de l’entreprise. La plupart des applications SaaS n’offrent malheureusement aucune protection native contre les menaces, et les quelques applications qui en sont dotées ne disposent pas de la sophistication technologique nécessaire pour identifier les menaces de type « zero-day », et se limitent à la détection des menaces connues. Pire encore, les technologies de sécurité traditionnelles (sous la forme d’appliances matérielles sur site peu évolutives) ne sont pas conçues pour lutter contre les logiciels malveillants ni pour protéger les données dans notre monde où l’usage du cloud est omniprésent et où le travail à distance est privilégié.
Combler les failles
Les entreprises ont besoin d’une défense complète contre la prolifération des programmes malveillants et des ransomwares à la fois au sein de leurs applications SaaS et entre elles. Cela exige une solution de sécurité conçue pour le monde moderne du cloud computing et capable de défendre contre les programmes malveillants pour n’importe quel utilisateur, n’importe quel appareil et n’importe quelle application sur n’importe quel réseau (sans qu’il soit nécessaire d’effectuer le backhaul du trafic vers une appliance sur site). Une telle solution doit être capable de prévenir le téléchargement de fichiers infectés vers des applications en cloud, mais elle doit également être capable d’identifier les menaces qui ont déjà pénétré le cloud. Les entreprises doivent également avoir la certitude que la solution qu’elles ont choisie est en mesure de les protéger contre toutes les menaces, y compris les ransomwares de type « zero-day », et pas uniquement contre des programmes malveillants connus. En cas d’attaques de double extorsion (de plus en plus courantes), les entreprises doivent également être en mesure d’empêcher l’exfiltration de leurs données par le biais des SaaS.
Contrôler la kill chain avec une solution DLP en mode Cloud
En général, lorsqu’un ransomware parvient à infiltrer une entreprise, les cybercriminels commencent rapidement à s’approprier les données. Comme évoqué plus haut, le vol de données avec la menace de les divulguer constitue une stratégie courante pour augmenter les chances de paiement d’une rançon. Même si les sociétés ne se sentent pas obligées de payer pour le déchiffrement, la menace de divulgation de leurs données peut s’avérer une incitation suffisante. Toutefois, pour que la double extorsion se révèle efficace, les acteurs malveillants doivent réussir à exfiltrer les données de l’entreprise. C’est là que la prévention des pertes de données (DLP) dans le cloud se révèle particulièrement précieuse. Les principales solutions DLP examinent le contenu et le contexte des fichiers sortants et, le cas échéant, empêchent leur déplacement pour éviter toute fuite. Cela perturbe la chaîne d’attaque en empêchant les acteurs malveillants de dérober les données des applications SaaS grâce auxquelles ils pourraient se livrer à une double extorsion.
Comment le CASB contribue à lutter contre les ransomwares
Les Cloud Access Security Brokers (CASB), qui servent de points de visibilité et de contrôle dans le cloud, peuvent également contribuer à relever le défi posé par les ransomwares. Plus particulièrement, un CASB multimode achemine le trafic par proxy pour sécuriser les données en mouvement en temps réel, et s’intègre aux interfaces de programmation d’applications (API) pour sécuriser les données au repos dans le cloud. Il peut par conséquent empêcher le téléchargement de fichiers malveillants dans les applications SaaS et réagir aux programmes malveillants et aux ransomwares déjà installés dans les applications cloud de l’entreprise. Les principaux CASB offrent une protection avancée contre les menaces (ATP) capable d’identifier n’importe quelle menace, même les ransomwares zero-day, grâce à des intégrations solides avec le cloud sandboxing. En tant que solutions cloud-native, les principaux CASB ne nécessitent aucune appliance matérielle dans les data centers et offrent des protections évolutives et omniprésentes.
Corriger les erreurs de configuration avec le CSPM
Le déploiement et la gestion d’une application SaaS ou d’une instance IaaS impliquent une configuration adéquate de nombreux paramètres afin de garantir le bon fonctionnement et la sécurité de l’application. En cas de mauvaise configuration, des acteurs malveillants peuvent accéder aux systèmes de l’entreprise, par exemple pour placer un payload de ransomware ou pour exfiltrer des données à des fins de double extorsion. Le Cloud security posture management (CSPM) peut remédier à ces vulnérabilités en identifiant les mauvaises configurations susceptibles d’être exploitées par des hackers. À titre d’exemple, si des référentiels de données sensibles (tels que les compartiments de stockage AWS S3) peuvent être librement consultés depuis Internet en raison d’une mauvaise configuration, le CSPM permet de rapidement localiser le problème et d’y remédier.
La mise en place de solutions adaptées permet alors de hiérarchiser les risques détectés et permet aux organisations de réagir avant que les acteurs malveillants ne puissent agir. Et c’est là, la clé d’une bonne protection pour toutes les organisations.
___________________
Par Didier Schreiber, Directeur marketing Europe du Sud chez Zscaler