Encore sous le choc, les médias laissent entendre qu'il n'y a pas grand-chose à faire contre les attaques de rançongiciels, comme nous l'avons vu chez Kaseya le week-end dernier. « Ce n'est pas tout à fait vrai », déclare Piet Kerkhofs, directeur technique chez Eye Security. « Si vous pouvez détecter un comportement suspect, vous pouvez également arrêter ce type d'attaques à temps. »
Le premier week-end de juillet, une grande partie du globe était en panique. Un groupe de pirates russes connu sous le nom de REvil a réussi à exploiter une faille dans le logiciel de Kaseya (une entreprise qui fournit un outil pour gérer les systèmes informatiques à distance) et a pu infecter des milliers de systèmes dans le monde entier avec un rançongiciel. Cette faille a été découverte accidentellement il y a quelque temps par des volontaires de l'Institut néerlandais pour la divulgation des vulnérabilités, une organisation bénévole qui scanne la toile à la recherche de vulnérabilités dans les systèmes numériques. Ils travaillaient déjà avec Kaseya pour corriger cette faille jusqu'alors inconnue (connue sous le nom de faille « zero-day »). Malheureusement, juste avant la ligne d'arrivée, ils ont été dépassés par les cybercriminels de REvil. L'attaque a visé des clients de Kaseya, principalement des prestataires de services informatiques qui gèrent les systèmes de leurs clients à distance. Cela a permis au rançongiciel de se répandre comme une marée noire dans le monde entier.
Mesures technologiques
« Dans les médias, on voit maintenant émerger l'idée selon laquelle, en tant qu'entreprise, vous êtes pratiquement impuissant face à ce type d'attaques », dit P. Kerkhofs. « Mais ce n'est pas tout à fait vrai ». Il explique que les systèmes de sécurité informatiques n'arrivent pas toujours reconnaître facilement les nouveaux logiciels malveillants. La plupart des systèmes recherchent du code informatique connu qui a déjà été utilisé lors d'attaques. Lorsque les cybercriminels continuent à développer et à envoyer de nouveaux logiciels malveillants, les systèmes de sécurité peuvent reconnaître ce code, s'il ressemble à un logiciel malveillant connu du système. Cela devient beaucoup plus difficile lorsque les cybercriminels ont écrit un nouveau code informatique pour mener à bien leur attaque, car ce dernier n'est pas encore connu des systèmes de sécurité.
Détecter les écarts de comportement
« Presque toujours, mais surtout dans des cas comme celui-ci, il est important de pouvoir détecter les écarts de comportement dans les systèmes des entreprises. Les cybercriminels sont très intelligents et leurs méthodologies sont de plus en plus sophistiquées, ce qui leur permet d'adapter leurs attaques aux mesures de sécurité informatique que vous avez prises. Par exemple, ils adaptent leurs logiciels malveillants aux solutions antivirus qui fonctionnent sous Windows. ”« Lorsque vous savez quel comportement est normal sur le réseau de votre entreprise, vous pouvez également détecter les écarts. Il est impossible de cartographier cela soi-même, c'est pourquoi il existe des systèmes qui peuvent le faire. « Imaginez qu'il est 17h30 et que l'un de vos employés vient de se déconnecter, mais le système voit que dans les 15 minutes qui suivent, il se reconnecte avec les mêmes données, mais depuis la Russie. C'est un écart de comportement. »
Interaction des mesures
Bien sûr, la sécurité à 100 % n'existe pas. P. Kerkhofs en est bien conscient, mais les entreprises ne sont pas aussi impuissantes qu'elles le pensent. « Oui, les cybercriminels peuvent adapter leurs attaques aux outils de sécurité connus, mais vous supposez alors que les entreprises ne doivent prendre que des mesures de sécurité technologiques. Votre approche de la sécurité ne doit pas se limiter à la technologie. Ainsi, vous pouvez vous armer considérablement contre ce type d'attaques. » Il a déjà été suggéré sur le marché que la manière de distribuer les mises à jour doit également changer et que chaque entreprise devrait vérifier scrupuleusement une mise à jour avant de l'effectuer. « Une agence de renseignement pourra sûrement réunir une équipe pour faire de l'ingénierie inverse sur une mise à jour ou l'exécuter dans une sandbox, mais pour le reste des entreprises, ce n'est pas possible. »
Limiter considérablement les dommages
P. Kerkhofs établit une comparaison avec la protection des jeunes enfants. « En tant que parent, vous voulez protéger votre enfant. Alors vous scotchez les coins des tables, vous mettez des dalles en caoutchouc sous le toboggan et vous l'empêchez de grimper trop haut. Mais en réalité, il est impossible d'empêcher l'enfant de se cogner ou de s'égratigner. L'astuce consiste à limiter les dégâts. Et il en va de même pour ce type d'attaques. La question n'est plus de savoir si vous serez touché par une attaque de cybercriminels, mais quand. Avec le bon état d'esprit, la bonne configuration, les meilleures mesures et une équipe solide, vous pouvez limiter considérablement les dommages. Assurez-vous donc de disposer d'une solution de sécurité qui combine des mesures techniques et des méthodes de détection des écarts de comportement sur votre réseau. »
Que fait Eye?
Nos clients sont protégés de jour comme de nuit contre les cyberattaques grâce à une solution technologique basée sur Crowdstrike Falcon. Ce dernier identifie et détecte les comportements associés aux rançongiciels. La plateforme empêche ensuite l'exécution d'actions suspectes. De cette façon, les attaques de rançongiciels sont arrêtées à un stade précoce. Découvrez comment Crowdstrike a bloqué à temps le rançongiciel utilisé dans l'attaque qui a touché Kaseya.
