Rechercher sur ce blogue

mercredi 17 mai 2017

Comment empêcher un incident de ransomware

 Après un week-end noir, la crise WannaCrypt semble s'atténuer ce lundi même si une seconde vague reste possible. Au dernier pointage, la cyber-attaque aurait fait 200.000 entreprises/organisations victimes dans 150 pays au moins. Surtout, des entreprises vitales ont été touchées ayant pour conséquences des arrêtes temporaires de la production. (ici le correctif windows vistra du 14-03-17 !)

La faille a été identifiée par la NSA il y a longtemps et les outils(eternalBlue) pour l'exploiter, qui ont certainement mobilisé les meilleurs experts en sécurité du moment, ont malencontreusement été dérobés à la NSA par un collectif de hackers en mars dernier (ShadowBrokers)provenant de la fuite des documents de la NSA (Vault7)voila 2 mois seulement le 14 Avril 2017. Un peu comme si l'Institut Pasteur laissez filer plusieurs souches du virus de la variole, aujourd'hui disparu, et qu'il conserve à des fins scientifiques.
On peut accuser tous les hackeurs du monde, la responsabilité de la NSA ne doit pas être oubliée et elle est double: avoir fabriqué les matériaux du virus ET les avoirs perdus dans la nature. Il n'y a malheureusement pas de comité d'éthique pour ce qui concerne l'informatique. Avec l'arrivée de l'intelligence artificielle, peut-on tout laisser faire parce que c'est du logiciel et non de la manipulation d'embryons humains? Et finalement, cela ne montre-t-il pas que les gouvernements peuvent aussi être plus dangereux que les hackers ?


Comment empêcher un incident de ransomware et ce qu'il faut faire si votre organisation est infectée:

 Ransomware est une menace mondiale croissante pour la cybersécurité, et qui pourrait affecter toute organisation qui n'a pas de défense appropriée. Le premier semestre de 2016 a vu une augmentation presque triple dans les variantes de ransomware par rapport à l'ensemble de 2015 [1]. Bien que le ransomware contre les systèmes d'exploitation Windows ait été courant pendant quelques années, les attaques contre les systèmes Mac et Linux sont également observées.Les méthodes pour infecter les systèmes avec ransomware sont semblables à d'autres types de logiciels malveillants, tout comme les organisations peuvent prendre pour se protéger. Selon votre niveau de préparation, l'infection par le ransomware peut causer une irritation mineure ou une perturbation à grande échelle.Ce guide donne un aperçu de Ransomware, suggère quelques étapes simples pour empêcher un incident de ransomware, et conseille sur ce qu'il faut faire si votre organisation est infectée par ransomware.Qu'est ce que Ransomware?Il existe deux types de ransomware; Le premier type crypte les fichiers sur un ordinateur ou un réseau. Le second type verrouille l'écran d'un utilisateur. Les deux types exigent que les utilisateurs effectuent un paiement (la «rançon») pour pouvoir utiliser normalement l'ordinateur. Le rançon est souvent demandé dans une cryptocurrence telle que Bitcoin.Dans de nombreux cas, le montant de la rançon est assez modeste. Ceci est conçu pour rendre le rançon le moyen le plus rapide et le moins cher pour revenir à l'utilisation normale. Cependant, rien ne garantit que la clé ou le mot de passe (pour "déverrouiller" l'ordinateur) seront fournis sur paiement de la rançon.L'échelle et la nature automatisée d'une attaque de ransomware rendent rentable grâce à des économies d'échelle, plutôt que d'extorquer de grandes quantités de victimes ciblées. Dans certains cas, Ransomware est connu pour frapper la même victime plus d'une fois de suite. Les attaques Ransomware ne sont généralement pas ciblées sur des individus ou des systèmes spécifiques, de sorte que des infections peuvent survenir dans n'importe quel secteur ou organisation.Comment le ransomware infecte votre système?Les ordinateurs sont infectés par ransomware via un certain nombre de routes. Parfois, les utilisateurs sont trompés dans la gestion de programmes légitimes, qui contiennent le ransomware. Ceux-ci peuvent arriver via des pièces jointes de courrier électronique authentique ou des liens vers des sites Web apparemment authentiques (également appelés phishing). Plus récemment, nous avons vu des infections de ransomware qui reposent sur des vulnérabilités non corrigées dans les ordinateurs, et le simple visite d'un site Web malveillant peut suffire à provoquer un problème.Bien que moins commun, les transferts de données entre les ordinateurs (par exemple via des clés de mémoire USB) peuvent également provoquer la propagation du ransomware.Prévenir le ransomware en utilisant la sécurité de la bonne entrepriseRansomware est l'un des nombreux types de logiciels malveillants, et les méthodes de livraison sont communes à la plupart des autres types. Vous pouvez minimiser le risque d'être infecté par ransomware en prenant les mêmes précautions nécessaires pour éviter tout malware en général.Les atténuements suivants sont des exemples de bonnes pratiques de sécurité et un lien vers d'autres conseils de NCSC là où ils sont disponibles:

    
Gestion de la vulnérabilité et correctifs - certains systèmes de ransomware obtiennent un contrôle en exploitant les vulnérabilités des logiciels dans les systèmes d'exploitation, les navigateurs Web, les plug-ins de navigateur ou les applications. Souvent, ces vulnérabilités ont été publiquement connues depuis un certain temps et les fournisseurs de logiciels auront mis en place des correctifs pour les atténuer.

 Le déploiement de ces correctifs, ou l'atténuation des vulnérabilités, constitue le moyen le plus efficace d'empêcher les systèmes de se compromettre.  
Cependant, tout en réparant les périphériques utilisés pour la navigation Web et le courrier électronique, il est important de relier les systèmes auxquels ils sont connectés, car certains systèmes de ransomware se déplacent autour des systèmes, en cryptant les fichiers au fur et à mesure.
   

 Contrôle de l'exécution du code - envisagez de protéger le code non autorisé livré aux périphériques utilisateurs finals. Une façon courante dont les attaquants obtiennent l'exécution de code sur les périphériques cibles est d'inciter les utilisateurs à exécuter des macros.  
Vous pouvez éviter que ces attaques ne réussissent dans votre organisation en empêchant toutes les macros d'être exécutées, sauf si vous les avez explicitement confiées. Il est également recommandé de s'assurer que les utilisateurs n'ont pas les privilèges d'installer des logiciels sur leurs appareils sans l'autorisation d'un administrateur. Rappelez-vous que les utilisateurs peuvent parfois légitimement avoir besoin d'exécuter le code que vous n'avez pas préautorisé; Considérez comment vous leur permettez de le faire, afin qu'ils ne soient pas tentés de le faire secrètement, de manière que vous ne pouvez pas voir ou gérer les risques. Consultez notre guide de sécurité du périphérique utilisateur final pour connaître la configuration recommandée des plates-formes que vous utilisez.
   

 Filtrer le trafic de navigation Web - nous vous recommandons d'utiliser un appareil ou un service de sécurité pour transférer votre trafic de navigation Web sortant. Filtrer les tentatives de connexions en fonction de la catégorisation ou de la réputation des sites que vos utilisateurs tentent de visiter.
    
 

Contrôlez l'accès aux médias amovibles - consultez nos conseils sur la gestion des supports amovibles pour éviter que Ransomware ne soit introduit dans une organisation via cette chaîne e
n prenant en compte la technologie d'entreprise avec la cyber-sécurité. 

Quel impact le ransomware a-t-il? Ransomware empêchera l'accès aux systèmes ou aux données jusqu'à ce qu'une solution soit trouvée. Si les systèmes fournissent des services essentiels, cela peut avoir de graves répercussions sur la réputation, la sécurité et la sécurité sur les organisations concernées et leurs clients. Même si la victime a une sauvegarde récente de son système, il peut encore falloir beaucoup de temps pour restaurer les opérations normales. Pendant ce temps, les organisations devront peut-être invoquer leurs processus de continuité d'activité. Il convient de noter que, si une organisation criminelle a mené une attaque réussie de ransomware, des questions devraient être posées sur la possibilité d'impacts plus indirects et durables.  

Par exemple, combien d'instances du ransomware sont encore présentes dans le système en attente d'activation? 
 Comment devraient-ils être supprimés et comment les utilisateurs devraient-ils être prévenus?
 D'autres types de logiciels malveillants ont-ils également été déployés en même temps?  
Quels sont-ils et qu'est-ce qu'ils feront?
 Et quand? 
Limiter l'impact d'une attaque de ransomware Les mesures suivantes peuvent tous aider à limiter l'impact d'une attaque de ransomware.  
Un bon contrôle d'accès est important. La compartimentation des privilèges d'utilisateur peut limiter l'étendue du cryptage uniquement aux données appartenant à l'utilisateur concerné. Réévaluez régulièrement les autorisations sur les lecteurs réseau partagés afin d'empêcher la propagation de ransomware aux lecteurs mappés et non mappés.

 Les administrateurs système avec des niveaux d'accès élevés devraient éviter d'utiliser leurs comptes d'administration pour le courrier électronique et la navigation sur le Web. Ransomware ne doit pas être viral dans votre organisation; Limiter l'accès à vos données et systèmes de fichiers à ceux qui ont un besoin d'affaires pour les utiliser. C'est une bonne pratique de toute façon et, comme bon nombre des recommandations que nous faisons ici, évite toute une série de cyber-attaques. Faites une sauvegarde de vos données. Les organisations devraient s'assurer qu'elles ont pleinement testé les solutions de sauvegarde en place. Les fichiers de sauvegarde ne doivent pas être accessibles par des machines qui risquent d'ingérer des ransomware. Il est important de se rappeler que les sauvegardes ne devraient pas être la seule protection que vous avez contre ransomware - l'adoption de bonnes pratiques de sécurité impliquera de ne pas obtenir de ransomware en premier lieu. 

 Pour de plus amples informations sur les sauvegardes, consultez notre section intitulée Sécurisation des données en vrac, qui traite de l'importance de connaître les données les plus importantes pour vous et de la sauvegarder de manière fiable. Que faire si votre organisation a été infectée par ransomware. Si vous avez besoin de En savoir plus sur le ransomware et ses effets, ou vous avez un problème de ransomware, il existe un certain nombre de sources de conseils et de conseils supplémentaires: l'Agence nationale pour la criminalité encourage tous ceux qui pensent avoir subi une fraude en ligne pour contacter Action Fraud à 
www. Actionfraud.police.uk.  
Il appartient à la victime de payer la rançon, mais la NCA encourage l'industrie et le public à ne pas payer.  

Le National Cyber ​​Security Center (NCSC) gère un projet commercial appelé Cyber ​​Incident Response, où les entreprises certifiées fournissent un soutien de crise aux organisations concernées. Le Cyber ​​Security Information Sharing Partnership (CiSP) offre aux organisations au Royaume-Uni un portail sécurisé pour discuter et partager des services d'information qui peuvent aider la communauté et élever la résilience du Royaume-Uni. 
 Nous encourageons nos membres à partager des informations techniques et des indicateurs de compromis pour que les effets des nouveaux logiciels malveillants, et en particulier du ransomware, puissent être largement réduits. Ici au NCSC, nous accueillons ceux qui souhaitent partager leurs expériences de ransomware en toute confiance.(évitant que la cie soit en vase clos)Les opérations de la NCSC fournissent des renseignements sur les menaces au gouvernement, à l'industrie et au public. Des études de cas - même anonymisées - peuvent être très utiles.




REF.:

Aucun commentaire: