Stratégies de protection, de durcissement et de confinement des points d'extrémité pour la protection contre les ransomwares: rapport FireEye recommandé par CISA – Bien choisir son serveur d impression
La semaine dernière, la CISA (Cybersecurity and Infrastructure Security Agency) a partagé certaines stratégies avec les utilisateurs et les organisations pour prévenir, atténuer et récupérer contre les ransomwares. Ils ont déclaré: «La CISA (Cybersecurity and Infrastructure Security Agency) a constaté une augmentation des attaques de ransomware à travers le pays. Aider les organisations à se protéger contre les ransomwares est une priorité majeure pour CISA. »Ils ont également conseillé aux personnes attaquées par les ransomwares de signaler immédiatement à CISA, un bureau local du FBI ou un bureau extérieur des services secrets.
Parmi les trois ressources partagées, les deux premières comprennent la prise de conscience générale de ce qu'est un logiciel ransomware et de la raison pour laquelle il s'agit d'une menace majeure, des mesures d'atténuation et bien plus encore. La troisième ressource est un rapport FireEye sur les stratégies de protection et de confinement des ransomwares.
Lire aussi: Les vulnérabilités du protocole PTP (Picture Transfer Protocol) permettent aux chercheurs d’injecter un logiciel ransomware dans l’appareil photo reflex numérique de Canon.
Sommaire
CISA INSIGHTS et les meilleures pratiques pour prévenir les ransomwares
La CISA, dans le cadre de son premier produit «CISA INSIGHTS», a défini trois étapes simples ou recommandations que les organisations peuvent prendre pour gérer leur risque de cybersécurité. CISA conseille aux utilisateurs de prendre les mesures de précaution nécessaires, telles que la sauvegarde hors ligne du système entier, la mise à jour et les correctifs du système, la mise à jour des solutions de sécurité, etc. Si les utilisateurs ont été affectés par un ransomware, ils doivent contacter immédiatement le CISA ou le FBI, travailler avec un conseiller expérimenté pour aider à récupérer de l'attaque, isoler les systèmes infectés et mettre en phase votre retour aux opérations, etc.
En outre, la CISA invite également les utilisateurs à utiliser les bonnes pratiques d'hygiène en ligne, à savoir la sauvegarde, la mise à jour, la liste blanche des applications, la limitation des privilèges et l'utilisation de l'authentification multifacteur. Les utilisateurs doivent également développer des stratégies de confinement qui empêcheront les mauvais acteurs d'extraire des informations. Les utilisateurs doivent également passer en revue les procédures de reprise après sinistre et valider les objectifs avec les dirigeants, et bien plus encore.
L'équipe CISA a suggéré certaines pratiques recommandées que les organisations devraient utiliser pour se protéger des attaques par ransomware. Ceux-ci incluent notamment que les utilisateurs doivent limiter les autorisations d'installation et d'exécution d'applications logicielles et appliquer le principe du «privilège minimal» à tous les systèmes et services, limitant ainsi la propagation des logiciels ransomwares. L'organisation doit également veiller à utiliser la liste blanche d'applications pour autoriser uniquement l'exécution de programmes approuvés sur un réseau. Tous les pare-feu doivent être configurés pour bloquer l'accès aux adresses IP malveillantes connues.
Les organisations doivent également activer des filtres anti-spam puissants pour empêcher les e-mails de phishing d'atteindre les utilisateurs finaux et authentifier les e-mails entrants pour éviter leur usurpation d'identité. Une mesure permettant d'analyser tous les e-mails entrants et sortants afin de détecter les menaces et de filtrer les fichiers exécutables afin de les atteindre pour les utilisateurs finaux doit être lancée.
Lisez l'intégralité de CISA INSIGHTS pour en savoir plus sur les différentes stratégies d'épidémie de ransomware.
Lire aussi: «City Power Johannesburg» frappé par une attaque de ransomware qui a crypté toutes ses bases de données, applications et réseaux
Rapport FireEye sur les stratégies de protection et de confinement de Ransomware
En tant que troisième ressource, la CISA a partagé un rapport FireEye intitulé «Stratégies de protection et de confinement des ransomwares: conseils pratiques sur la protection, le durcissement et le confinement des points d'extrémité».
Dans ce livre blanc, FireEye décrit différentes étapes que les entreprises peuvent prendre de manière proactive pour renforcer leur environnement afin de prévenir l’impact en aval d’un événement de type ransomware. Ces recommandations peuvent également aider les organisations à hiérarchiser les étapes les plus importantes requises pour contenir et minimiser l’impact d’un événement ransomware après son apparition.
Le rapport FireEye indique que tout logiciel ransomware peut être déployé dans un environnement de deux manières. D'abord par Propagation manuelle par un acteur menaçant après avoir pénétré dans un environnement et disposer de privilèges d’administrateur pour exécuter manuellement des chiffreurs sur le système ciblé via des fichiers de commandes Windows, des objets de stratégie de groupe Microsoft et des outils de déploiement de logiciels existants utilisés par l’organisation de la victime.
Deuxièmement, par Propagation automatisée où les informations d'identification ou le jeton Windows sont extraits directement du disque ou de la mémoire pour créer des relations de confiance entre les systèmes via Windows Management Instrumentation, SMB ou PsExec. Cela lie les systèmes et exécute les charges utiles.
Les pirates automatisent également les attaques par force brute sur des méthodes d'exploitation non corrigées, telles que BlueKeep et EternalBlue.
«Les recommandations contenues dans ce document ne couvrent pas tous les objectifs, mais elles représentent les contrôles les plus pratiques pour le confinement des terminaux et la protection contre les épidémies de ransomware», ont écrit les chercheurs de FireEye.
Pour combattre ces deux techniques de déploiement, les chercheurs de FireEye ont suggéré deux mesures d’application qui peuvent limiter la capacité d’un ransomware ou d’une variante de logiciel malveillant d’affecter un large éventail de systèmes dans un environnement.
Le rapport FireEye contient plusieurs recommandations techniques visant à aider les organisations à réduire les risques liés aux ransomwares et à les contenir, notamment les suivantes:
Durcissement RDP
Le protocole RDP (Remote Desktop Protocol) est une méthode couramment utilisée par les acteurs malveillants pour se connecter à distance à des systèmes et pour passer latéralement du périmètre à un plus grand nombre de systèmes afin de déployer des logiciels malveillants. Les organisations doivent également analyser leurs plages d'adresses IP publiques afin d'identifier les systèmes dotés de RDP (TCP / 3389) et d'autres protocoles (SMB – TCP / 445) ouverts à Internet de manière proactive. RDP et SMB ne doivent pas être directement exposés aux entrées et aux sorties d’Internet. Les organisations peuvent également prendre d'autres mesures:
Application de l'authentification multifactorielle
Les entreprises peuvent soit intégrer une technologie d'authentification multi-facteurs tierce, soit utiliser une passerelle Remote Desktop et un serveur d'authentification multi-facteurs Azure à l'aide de RADIUS.
Exploitation de l'authentification au niveau du réseau (NLA)
L’authentification au niveau du réseau (NLA) fournit une couche supplémentaire de pré-authentification avant l’établissement d’une connexion. Il est également utile pour se protéger contre les attaques par force brute, qui ciblent principalement des serveurs RDP ouverts ouverts sur Internet.
Réduire l'exposition des comptes privilégiés et des comptes de service
Pour le déploiement de ransomware dans un environnement, les informations d'identification des comptes de service et des comptes privilégiés sont couramment utilisées pour les mouvements latéraux et la propagation en masse. Sans enquête approfondie, il peut s'avérer difficile de déterminer les informations d'identification spécifiques utilisées par une variante de ransomware pour la connectivité dans un environnement.
Compte privilégié et restrictions de connexion au compte de service
Pour les comptes ayant un accès privilégié dans un environnement, ceux-ci ne doivent pas être utilisés sur des stations de travail et des ordinateurs portables standard, mais plutôt à partir de systèmes désignés (par exemple, des stations de travail à accès privilégié (PAWS)) qui résident dans des VLAN et des niveaux restreints et protégés.
Les comptes à privilèges explicites doivent être définis pour chaque niveau et utilisés uniquement dans le niveau désigné. Les recommandations relatives à la limitation de la portée de l’accès des comptes privilégiés sont basées sur les instructions de Microsoft pour la sécurisation de l’accès privilégié.
En tant que mesure de confinement rapide, envisagez d'empêcher les comptes disposant d'un accès privilégié de se connecter (à distance ou localement) aux stations de travail, ordinateurs portables et serveurs d'accès standard (par exemple, une infrastructure de poste de travail virtualisé).
Si un compte de service doit uniquement être exploité sur un seul noeud final pour exécuter un service spécifique, vous pouvez restreindre davantage le compte de service afin d'autoriser l'utilisation du compte sur une liste prédéfinie de terminaux.
Groupe de sécurité des utilisateurs protégés
Avec le groupe de sécurité «Utilisateurs protégés» pour les comptes privilégiés, une organisation peut minimiser divers facteurs de risque et méthodes d'exploitation courantes pour exposer les comptes privilégiés sur les ordinateurs d'extrémité.
À partir de Microsoft Windows 8.1 et Microsoft Windows Server 2012 R2 (et supérieur), le groupe de sécurité «Utilisateurs protégés» a été introduit pour gérer l'exposition des informations d'identification dans un environnement. Les membres de ce groupe bénéficient automatiquement des protections spécifiques appliquées à leurs comptes, notamment:
- Le ticket d'octroi de ticket Kerberos (TGT) expire au bout de 4 heures, au lieu du paramètre par défaut normal de 10 heures.
- Aucun hachage NTLM pour un compte n'est stocké dans LSASS puisque seule l'authentification Kerberos est utilisée (l'authentification NTLM est désactivée pour un compte).
- Les informations d'identification mises en cache sont bloquées. Un contrôleur de domaine doit être disponible pour authentifier le compte.
- L’authentification WDigest est désactivée pour un compte, quels que soient les paramètres de stratégie appliqués par un point de terminaison.
- DES et RC4 ne peuvent pas être utilisés pour la pré-authentification Kerberos (Server 2012 R2 ou version ultérieure); Kerberos avec cryptage AES sera plutôt appliqué.
- Les comptes ne peuvent pas être utilisés pour la délégation contrainte ou non contrainte (équivaut à appliquer le paramètre «Le compte est sensible et ne peut pas être délégué» dans Utilisateurs et ordinateurs Active Directory).
Protections de mot de passe Cleartext
Les entreprises doivent également essayer de minimiser l'exposition des informations d'identification et des jetons en mémoire sur les ordinateurs d'extrémité. Sur les anciens systèmes d'exploitation Windows, les mots de passe en clair sont stockés dans la mémoire (LSASS) pour prendre en charge principalement l'authentification WDigest.
Le WDigest doit être explicitement désactivé sur tous les points de terminaison Windows où il n'est pas désactivé par défaut. L'authentification WDigest est désactivée dans Windows 8.1+ et dans Windows Server 2012 R2 +, par défaut. À partir de Windows 7 et Windows Server 2008 R2, après avoir installé l'avis de sécurité Microsoft KB2871997, l'authentification WDigest peut être configurée en modifiant le registre ou en utilisant le modèle de stratégie de groupe «Guide de sécurité Microsoft» de Microsoft Security Compliance Toolkit.
Pour mettre en œuvre ces stratégies de protection contre le ransomware et d’autres stratégies de confinement, lisez le rapport FireEye.
Autres nouvelles intéressantes sur la cybersécurité
Wikipédia touchée par une attaque massive par déni de service (DDoS); passe hors ligne dans de nombreux pays
Exim corrige un bogue de sécurité majeur dans toutes les versions qui laissait des millions de serveurs Exim vulnérables aux attaques de sécurité.
Rapports CircleCI d'une violation de sécurité et d'une base de données malveillante dans un compte fournisseur tiers
Commentaires
Laisser un commentaire