Non classé

Pandémie de covid-19 – Bien installer son serveur

Le 18 mars 2021 - 9 minutes de lecture


Ryan Weeks, RSSI de la société de technologie de service informatique Datto, sur la photo, décrit comment la pandémie de Covid-19 affecte les menaces de rançon.

Sans aucun doute, la pandémie a eu un impact sur la position de sécurité informatique des entreprises. En partie, les entreprises ont couru pour déplacer la charge de travail vers le cloud, ce qui a entraîné une augmentation du nombre d'attaques de ransomwares. Selon une récente enquête Datto, 42 fournisseurs de services gérés (MSP) européens ont convenu que le télétravail était la principale cause de plusieurs incidents de ransomware. En outre, les MSP interrogés ont signalé que l'adoption rapide des applications cloud et du travail à domicile pendant l'arrêt augmentait les problèmes de sécurité.

L'étude annuelle de Datto, Global State of the Channel Ransomware Report, a également révélé que, alors que de nombreuses organisations avaient du mal à s'adapter à l'incertitude causée par la pandémie, les ransomwares avaient un impact accru sur les entreprises. Bien que la demande moyenne de rançon soit restée assez constante d'année en année, le coût des temps d'arrêt du système et des activités liés aux incidents de ransomware a presque doublé depuis 2019. En moyenne, ce chiffre est maintenant 50 fois plus élevé que la rançon elle-même. , passant de 46 800 $ à 274 200 $ au cours des deux dernières années. Et pour les petites entreprises, cela signifie qu'elles auraient du mal à survivre en cas d'attaque majeure de ransomware.

Comme le souligne le rapport Datto, les ransomwares restent la menace de cybersécurité la plus courante pour les PME. Cela est souligné par plus de 75 MSP répondants qui ont déclaré que leurs clients PME avaient été affectés par des ransomwares au cours des deux dernières années, 60 PC déclarant que leurs clients n'étaient concernés qu'au premier semestre 2020.

Au cours de la même période, les cybercriminels ont de plus en plus ciblé les MSP eux-mêmes, 95 MSP PC déclarant que leur propre entreprise est désormais plus vulnérable. MSP collabore de plus en plus avec des fournisseurs de services de sécurité gérés spécialisés pour l'assistance à la sécurité informatique, et la raison la plus probable est due à la sophistication et à la complexité croissantes des attaques de ransomware. Ces partenariats aident à protéger à la fois les clients et leurs propres entreprises.

Comme en témoigne la prise de conscience croissante de la menace de rançon, la moitié des MSP ont déclaré que leurs clients avaient augmenté leurs budgets de sécurité informatique d'ici 2020. Bien que les entreprises dépensent désormais plus en sécurité, les ransomwares continuent de contourner les solutions antivirus telles que la messagerie électronique, la mise en réseau et l'anti-malware en ligne. filtration. En outre, les MSP ont déclaré que de nombreuses entreprises n'avaient pas encore comblé les failles de sécurité de base qui continuent de laisser le réseau ouvert aux attaquants. C'est un fait connu que les utilisateurs sont toujours le maillon le plus faible de la position de sécurité d'une organisation. Les résultats de l'enquête ont révélé – le phishing (54pc), les mauvaises pratiques des utilisateurs ou la bonne foi (27pc), le manque de formation à la sécurité pour les utilisateurs finaux (26pc) et la faiblesse des mots de passe et de la gestion des accès (21pc) continuent d'être les principales raisons du succès du ransomware attaques.

Les vecteurs d'attaque

L'enquête Datto a également révélé les trois meilleures façons d'attaquer les entreprises par les ransomwares. Comme les années précédentes, l'e-mail de phishing est le point d'entrée le plus courant. Comme l'ont rapporté plus de la moitié des MSP interrogés, les e-mails malveillants sont la tactique la plus efficace pour diffuser des ransomwares. Ces e-mails continuent d'éviter la défense, car ils sont devenus plus difficiles à reconnaître, comme se faire passer pour des messages internes. En outre, les tactiques de technologie sociale utilisées par les attaquants sont devenues si sophistiquées que les e-mails de javelot ciblés sont presque impossibles à distinguer des e-mails légitimes.

Les cybercriminels utilisent diverses méthodes pour recueillir des informations sur leurs victimes, telles que des publications sur les réseaux sociaux, de faux appels téléphoniques sur des études de marché et d'autres ventes de données facilement disponibles. Une fois qu'ils ont reçu les informations personnelles, ils créent des adresses e-mail de spear-phishing personnalisées à l'aide de fausses pages de connexion et masquent les URL de phishing Unicode pour rendre leurs faux e-mails légitimes.

Applications cloud

Les campagnes de ransomware ciblant les applications Software-as-a-Service (SaaS) sont les suivantes sur la liste des types d'attaques courants. Parmi les MSP interrogés, près d'un sur quatre a signalé des attaques de ransomware sur les applications SaaS de leurs clients, Microsoft 365 étant le plus durement touché (64), suivi des attaques sur Dropbox (54) et Google Workspace (25). Pour contrer les attaques sur ces plateformes de collaboration, les entreprises doivent mettre en place des plans de reprise et de continuité appropriés.

Et enfin, en ce qui concerne les systèmes d'extrémité les plus ciblés contre les ransomwares, la majorité des attaques observées par MSP ont concerné les PC Windows (91 pc), suivis par Windows Server (76 pc). Alors que les ransomwares peuvent pénétrer dans un réseau via un e-mail de phishing, les logiciels malveillants peuvent rapidement se propager sur un réseau d'entreprise et infecter d'autres systèmes. Pour minimiser les perturbations commerciales après une attaque, les entreprises ont besoin d'une solution de continuité capable de récupérer les charges de serveur localement ou dans le cloud.

Mesures pour réduire le risque

Alors que l'adoption du cloud continue de s'accélérer, les cybercriminels affineront leurs méthodes, ce qui signifie que la menace de rançon ne fera que croître et se développer davantage. La menace persistante des ransomwares a été confirmée par les MSP interrogés qui ont prédit (92%) que les attaques se poursuivraient avec des prix actuels ou pires au cours des prochains mois.

Pour faire face à ces menaces, les professionnels de l'informatique doivent renforcer les contrôles de sécurité. De nombreuses entreprises travaillant toujours à distance, il est important que les organisations mettent tout en œuvre pour maintenir les plus hauts niveaux de normes de sécurité. Cela comprend la compréhension de la manière dont les employés se connectent au réseau de l'entreprise et la limitation de l'utilisation des appareils personnels, ainsi que l'utilisation des appareils professionnels pour les activités personnelles. En outre, les entreprises doivent examiner les bases de la sécurité de base et les pratiques de mise à jour logicielle sur tous les points de terminaison pour s'assurer qu'une défense adéquate est déployée sur toutes les stations de travail et tous les VPN. En outre, pour supprimer l'un des points d'entrée les plus courants, le service informatique doit encourager l'utilisation d'administrateurs de mots de passe sécurisés ou une authentification à deux facteurs.

Chaque employé doit comprendre sa responsabilité de prévenir les cyberattaques – y compris en suivant une bonne hygiène de mot de passe à tout moment, en n'ouvrant pas de liens ou de pièces jointes suspectes, en s'abstenant de publier des informations sensibles sur les réseaux sociaux et en signalant des signes d'activité malveillante au service informatique.

Une approche stratégique

Bien que les logiciels de sécurité et la formation soient essentiels pour prévenir les attaques avant qu’elles ne se produisent, une approche de sécurité à plusieurs niveaux doit inclure une stratégie de continuité d’activité en cas d’échec d’autres mesures de sécurité. Pour que les organisations reprennent rapidement leurs activités, la continuité des activités et la reprise après sinistre (BCDR) sont importantes.

Le MSP convient que le BCDR reste l'outil de lutte contre les rançons, 91% des MSP signalant que les clients disposant de telles solutions sont moins susceptibles de subir des temps d'arrêt prolongés lors d'une attaque. En outre, la restauration à partir des sauvegardes est devenue plus répandue au cours de l'année écoulée. Pour récupérer rapidement après une attaque, la majorité des MSP créent désormais une image d'une machine à partir d'une sauvegarde – au lieu de la reconstruire à partir de zéro.

Enfin, nous nous attendons à voir une augmentation des menaces internes – qu'elles soient intentionnelles ou accidentelles. Pour empêcher les employés de collaborer volontairement avec des pirates, les organisations doivent prendre des mesures pour identifier les employés les plus vulnérables. Si nécessaire, les entreprises doivent accroître la surveillance des points de terminaison des utilisateurs, abaisser le seuil de déclenchement des alertes de sécurité et surveiller de près le shadow IT pour comprendre où les données entrent et sortent de l'environnement.

Il est également recommandé aux organisations de définir des contrôles autour des outils auxquels les employés ont accès, tels que les plates-formes de chat qui ne sont pas autorisées à être utilisées. Avec la popularité croissante, les outils de collaboration posent désormais un nouveau risque car la plupart des utilisateurs supposeront que le contenu reçu et partagé sur ces plates-formes est sûr.

La pandémie a entraîné un certain nombre de changements dans les pratiques de travail, ce qui rend encore plus important pour les entreprises de comprendre les implications possibles pour leur propre position en matière de cybersécurité et le changement des modèles de menaces. Avec une stratégie de sécurité solide qui renforce toutes les couches de défense, les entreprises peuvent en fin de compte minimiser les dommages causés par les rançons et autres menaces.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.