Stratégies de protection, de durcissement et de confinement des terminaux pour la protection contre les attaques de ransomwares: rapport FireEye recommandé par la CISA – Serveur d’impression

La semaine dernière, la Cybersecurity and Infrastructure Security Agency (CISA) a partagé certaines stratégies avec les utilisateurs et les organisations pour prévenir, atténuer et récupérer contre les ransomwares. Ils ont déclaré: «La Cybersecurity and Infrastructure Security Agency (CISA) a observé une augmentation des attaques de ransomwares à travers le pays. Aider les organisations à se protéger contre les ransomwares est une priorité pour CISA. »Ils ont également conseillé aux personnes attaquées par ransomwares de se présenter immédiatement à CISA, à un bureau local du FBI ou à un bureau extérieur des services secrets.

Dans les trois ressources partagées, les deux premières comprennent une connaissance générale de ce qu'est un ransomware et pourquoi il s'agit d'une menace majeure, d'atténuations et bien plus encore. La troisième ressource est un rapport FireEye sur les stratégies de protection et de confinement des ransomwares.

Lire aussi: Des vulnérabilités dans le protocole de transfert d'images (PTP) permettent aux chercheurs d'injecter des ransomwares dans l'appareil photo reflex numérique de Canon

CISA INSIGHTS et meilleures pratiques pour empêcher les ransomwares

La CISA, dans le cadre de son premier produit «CISA INSIGHTS», a défini trois étapes simples ou recommandations que les organisations peuvent prendre pour gérer leur risque de cybersécurité. CISA conseille aux utilisateurs de prendre les mesures de précaution nécessaires telles que la sauvegarde de l'ensemble du système hors ligne, la mise à jour et la correction du système, la mise à jour des solutions de sécurité, et bien plus encore. Si les utilisateurs ont été affectés par un ransomware, ils doivent contacter immédiatement le CISA ou le FBI, travailler avec un conseiller expérimenté pour aider à se remettre de l'attaque, isoler les systèmes infectés et planifier votre retour aux opérations, etc.

En outre, le CISA indique également aux utilisateurs de pratiquer une bonne cyber-hygiène, c'est-à-dire la sauvegarde, la mise à jour, les applications sur liste blanche, la limitation des privilèges et l'utilisation de l'authentification multifacteur. Les utilisateurs devraient également développer des stratégies de confinement qui rendront difficile pour les mauvais acteurs d'extraire des informations. Les utilisateurs doivent également revoir les procédures de reprise après sinistre et valider les objectifs avec les dirigeants, et bien plus encore.

L'équipe CISA a suggéré certaines bonnes pratiques que les organisations devraient utiliser pour se protéger contre une attaque de ransomware. Ceux-ci incluent, les utilisateurs devraient restreindre les autorisations d'installation et d'exécution des applications logicielles, et appliquer ainsi le principe du «moindre privilège» à tous les systèmes et services, limitant ainsi la propagation des ransomwares. L'organisation doit également s'assurer d'utiliser la liste blanche des applications pour autoriser uniquement les programmes approuvés à s'exécuter sur un réseau. Tous les pare-feu doivent être configurés pour bloquer l'accès aux adresses IP malveillantes connues.

Les organisations doivent également activer des filtres anti-spam puissants pour empêcher les e-mails de phishing d'atteindre les utilisateurs finaux et authentifier les e-mails entrants pour empêcher l'usurpation d'e-mails. Une mesure pour analyser tous les e-mails entrants et sortants afin de détecter les menaces et de filtrer les fichiers exécutables des utilisateurs finaux devrait être lancée.

Lisez l'intégralité de CISA INSIGHTS pour en savoir plus sur les différentes stratégies d'épidémie de ransomwares en détail.

Lire aussi: «City Power Johannesburg» frappé par une attaque de ransomware qui a chiffré toutes ses bases de données, applications et réseaux

Rapport FireEye sur les stratégies de protection et de confinement des ransomwares

En tant que troisième ressource, le CISA a partagé un rapport FireEye intitulé «Stratégies de protection et de confinement des ransomwares: conseils pratiques pour la protection, le renforcement et le confinement des points finaux».
Dans ce livre blanc, FireEye décrit les différentes étapes que les organisations peuvent prendre de manière proactive pour durcir leur environnement afin de prévenir l'impact en aval d'un événement de rançongiciel. Ces recommandations peuvent également aider les organisations à hiérarchiser les étapes les plus importantes requises pour contenir et minimiser l'impact d'un événement de ransomware après qu'il se soit produit.

Le rapport FireEye souligne que tout ransomware peut être déployé dans un environnement de deux manières. Tout d'abord, par Propagation manuelle par un acteur de la menace après avoir pénétré un environnement et disposer de privilèges d'administrateur sur l'ensemble de l'environnement pour exécuter manuellement des chiffreurs sur le système cible via des fichiers de commandes Windows, des objets de stratégie de groupe Microsoft et des outils de déploiement de logiciels existants utilisés par l'organisation de la victime.

Deuxièmement, par Propagation automatisée où les informations d'identification ou le jeton Windows sont extraits directement du disque ou de la mémoire pour établir des relations de confiance entre les systèmes via Windows Management Instrumentation, SMB ou PsExec. Cela lie les systèmes et exécute les charges utiles.

Les pirates automatisent également les attaques par force brute sur des méthodes d'exploitation non corrigées, telles que BlueKeep et EternalBlue.

"Bien que la portée des recommandations contenues dans ce document ne soit pas exhaustive, elles représentent les contrôles les plus pratiques pour le confinement des points finaux et la protection contre une épidémie de ransomware", ont écrit les chercheurs de FireEye.

Pour lutter contre ces deux techniques de déploiement, les chercheurs de FireEye ont suggéré deux mesures d'application qui peuvent limiter la capacité d'une variante de ransomware ou de malware à avoir un impact sur une large gamme de systèmes dans un environnement.

Le rapport FireEye contient plusieurs recommandations techniques pour aider les organisations à atténuer le risque et à contenir les événements de ransomware, dont certains incluent:

Durcissement RDP

Le protocole RDP (Remote Desktop Protocol) est une méthode courante utilisée par les acteurs malveillants pour se connecter à distance aux systèmes, se déplacer latéralement du périmètre vers une plus grande étendue de systèmes pour déployer des logiciels malveillants. Les organisations doivent également analyser leurs plages d'adresses IP publiques pour identifier les systèmes avec RDP (TCP / 3389) et d'autres protocoles (SMB – TCP / 445) ouverts à Internet de manière proactive. RDP et SMB ne doivent pas être directement exposés à l'accès d'entrée et de sortie vers / depuis Internet. Les autres mesures que les organisations peuvent prendre comprennent:

Application de l'authentification multifacteur

Les organisations peuvent intégrer une technologie d'authentification multifacteur tierce ou tirer parti d'une passerelle Bureau à distance et d'un serveur d'authentification multifacteur Azure à l'aide de RADIUS.

Exploitation de l'authentification au niveau du réseau (NLA)

L'authentification au niveau du réseau (NLA) fournit une couche supplémentaire de pré-authentification avant l'établissement d'une connexion. Il est également utile pour se protéger contre les attaques par force brute, qui ciblent principalement les serveurs RDP ouverts sur Internet.

Réduire l'exposition des comptes privilégiés et des comptes de service

Pour le déploiement de ransomwares dans un environnement, les informations d'identification des comptes privilégiés et de service sont couramment utilisées pour les mouvements latéraux et la propagation de masse. Sans enquête approfondie, il peut être difficile de déterminer les informations d'identification spécifiques qui sont utilisées par une variante de ransomware pour la connectivité dans un environnement.

Compte privilégié et restrictions de connexion au compte de service

Pour les comptes ayant un accès privilégié dans un environnement, ceux-ci ne doivent pas être utilisés sur des postes de travail et des ordinateurs portables standard, mais plutôt à partir de systèmes désignés (par exemple, des postes de travail à accès privilégié (PAWS)) qui résident dans des VLAN et des niveaux restreints et protégés.

Des comptes privilégiés explicites doivent être définis pour chaque niveau et utilisés uniquement au sein du niveau désigné. Les recommandations pour restreindre la portée de l'accès aux comptes privilégiés sont basées sur les conseils de Microsoft pour sécuriser l'accès privilégié.

En tant que mesure de confinement rapide, envisagez d'empêcher tout compte disposant d'un accès privilégié de pouvoir se connecter (à distance ou localement) à des postes de travail standard, des ordinateurs portables et des serveurs d'accès communs (par exemple, une infrastructure de bureau virtualisée).

Si un compte de service doit uniquement être exploité sur un seul point de terminaison pour exécuter un service spécifique, le compte de service peut être restreint davantage pour autoriser uniquement l'utilisation du compte sur une liste prédéfinie de points de terminaison.

Groupe de sécurité des utilisateurs protégés

Avec le groupe de sécurité «Utilisateurs protégés» pour les comptes privilégiés, une organisation peut minimiser divers facteurs de risque et méthodes d'exploitation courantes pour exposer des comptes privilégiés sur les terminaux.

À partir de Microsoft Windows 8.1 et Microsoft Windows Server 2012 R2 (et versions ultérieures), le groupe de sécurité «Utilisateurs protégés» a été introduit pour gérer l'exposition des informations d'identification dans un environnement. Les membres de ce groupe ont automatiquement des protections spécifiques appliquées à leurs comptes, notamment:

  • Le ticket d'octroi de ticket Kerberos (TGT) expire après 4 heures, plutôt que le paramètre par défaut normal de 10 heures.
  • Aucun hachage NTLM pour un compte n'est stocké dans LSASS car seule l'authentification Kerberos est utilisée (l'authentification NTLM est désactivée pour un compte).
  • Les informations d'identification mises en cache sont bloquées. Un contrôleur de domaine doit être disponible pour authentifier le compte.
  • L'authentification WDigest est désactivée pour un compte, quels que soient les paramètres de stratégie appliqués au point de terminaison.
  • DES et RC4 ne peuvent pas être utilisés pour la pré-authentification Kerberos (Server 2012 R2 ou supérieur); plutôt Kerberos avec cryptage AES sera appliqué.
  • Les comptes ne peuvent pas être utilisés pour la délégation contrainte ou non contrainte (équivalent à appliquer le paramètre «Le compte est sensible et ne peut pas être délégué» dans les utilisateurs et ordinateurs Active Directory).

Protections par mot de passe en texte clair

Les organisations doivent également essayer de minimiser l'exposition des informations d'identification et des jetons en mémoire sur les terminaux. Sur les anciens systèmes d'exploitation Windows, les mots de passe en texte clair sont stockés en mémoire (LSASS) pour prendre principalement en charge l'authentification WDigest.

Le WDigest doit être explicitement désactivé sur tous les points de terminaison Windows où il n'est pas désactivé par défaut. L'authentification WDigest est désactivée dans Windows 8.1+ et dans Windows Server 2012 R2 +, par défaut. À partir de Windows 7 et Windows Server 2008 R2, après avoir installé l'Avis de sécurité Microsoft KB2871997, l'authentification WDigest peut être configurée soit en modifiant le Registre, soit en utilisant le modèle de stratégie de groupe «Guide de sécurité Microsoft» du Microsoft Security Compliance Toolkit.

Pour mettre en œuvre ces stratégies de protection et de confinement des ransomwares et d'autres, lisez le rapport FireEye.

Autres nouvelles intéressantes sur la cybersécurité

Wikipedia touché par une attaque massive de DDoS (déni de service distribué); se déconnecte dans de nombreux pays

Exim corrige un bogue de sécurité majeur trouvé dans toutes les versions qui laissait des millions de serveurs Exim vulnérables aux attaques de sécurité

CircleCI signale une faille de sécurité et une base de données malveillante dans un compte fournisseur tiers

Stratégies de protection, de durcissement et de confinement des terminaux pour la protection contre les attaques de ransomwares: rapport FireEye recommandé par la CISA – Serveur d’impression
4.9 (98%) 32 votes