Blog > Vulnérabilités critiques

Comment le CDS de Streamscan vous protège contre les ransomwares ?

Comment les ransomwares entrent dans les réseaux?

Selon une étude réalisée par Sophos en 2020 (the state of ransomware 2020), voici les moyens les plus utilisés par les ransomwares pour s’introduire dans les réseaux informatiques :

  • Un fichier téléchargé ou un courriel ayant un lien malicieux: 29%
  • Attaque frontale d’un serveur et intrusion: 21%
  • Courriel avec un fichier malicieux attaché: 16%
  • Mauvaise configuration d’instances cloud publiques: 9%
  • La solution d’accès à distance RDP (Remote Desktop): 9%
  • A travers un fournisseur (chaîne d’approvisionnement): 9%
  • USB ou média de stockage amovible: 7%

On constate qu’il existe une panoplie de moyens pour faire entrer un ransomware dans un réseau informatique. En effet, les moyens évoluent sans cesse et toute faiblesse peut être exploitée pour entrer dans votre réseau.


Quels moyens un pirate qui vous cible privilégiera t-il?

Chez Streamscan nous avons l’habitude de dire que pour combattre les hackers, il faut raisonner comme des hackers. Ainsi, pour bien comprendre quels sont les moyens qu’un hacker privilégiera pour vous attaquer, il faut retenir les principes suivants:

  • Engager le minimum d’effort possible : les hackers vont toujours privilégier au départ les moyens simples et peu coûteux. L’humain est le maillon faible de la cybersécurité (tout le monde le sait, y compris les hackers) et ça coûte très peu cher d’envoyer des courriels malicieux. Pour trouver vos courriels, les réseaux sociaux professionnels tels que Linkedin sont de bonnes sources: il suffira de concatener le prénom et le nom de vos employés pour constituer une bonne liste de vos courriels. Si vos employés ne sont pas sensibilisés, quelqu’un finira par cliquer.

Or le pirate ne cherche qu’un seul clic pour entrer dans votre réseau. Si ça ne fonctionne pas, les hackers chercheront d’autres options, et ce n’est pas ce qui manque.


  • Sauter les étapes et atteindre vite les objectifs: oubliez l’imaginaire du hacker fier et orgueilleux qui veut mener tout seul une attaque de grande ampleur et devenir une star; c’était dans les années 2000!.

Les hackers piratent aujourd’hui principalement pour l’argent, pas pour la célébrité. N'oubliez pas aussi que vos données corporatives (courriels et mots de passe, etc.) sont souvent en vente sur le Darkweb. Les pirates peuvent les acheter à peu de frais, accéder à vos boîtes de courriels ou à votre réseau, pour ensuite vous infecter par un ransomware. Méthode pas du tout élégante, direz vous? Les pirates n’en ont cure tant que vous payez. Après le paiement de la rançon, certains hackers ne seront d’ailleurs pas gênés de vous dévoiler qu’ils ont acheté vos données sur le Darkweb.

  • Engager des gros moyens quant on espère de gros gains: Les moyens d’attaque les plus complexes ne seront engagés que pour les plus grosses cibles pour lesquelles un gain espéré est très élevé (plusieurs millions de $ par exemple tel que ce fut le cas de Kaseya en juillet 2021). C’est aussi le cas pour les attaques ciblées lancées par des pays afin d’accéder à de l’information très sensible détenus par des gouvernements, l’armée, les firmes de recherche pharmaceutiques, etc.

  • Automatiser les attaques : pourquoi se donner la peine de passer des nuits entières à attaquer des cibles alors qu’on peut tout automatiser? Sachez que les hackers aussi adorent automatiser. Ainsi, selon ce que nous observons via des données d’attaques collectées par notre technologie CDS, 99% des attaques sont lancées par des robots/botnets qui fonctionnent 24/7. Ces botnets évoluent et s’améliorent constamment. Nous en voyons de plus en plus qui sont capables de rechercher une vulnérabilité, la trouver, l’exploiter et prendre le contrôle du serveur cible, exécuter un ransomware sans aucune intervention humaine.

  • Réutilisation de méthodes qui marchent: vous avez sûrement remarqué que presque tous les nouveaux ransomwares disent exfiltrer les données? Sachez que si tout le monde le fait c’est parce que ça marche. En effet, de plus en plus d’organisations sauvegardent leurs données et refusent de verser une rançon en cas de ransomware. Les pirates ont donc trouvé un moyen de mettre une pression supplémentaire en infiltrant les données et en menaçant les victimes de les divulguer, et ça marche!


Premières étapes pour se défendre contre les ransomwares

Commencez par vous focaliser sur les moyens d’attaque qui sont les moins coûteux pour les pirates. Ceci couvre les moyens suivants:

  • fichier téléchargé ou courriel ayant un lien malicieux (29%).

Pour mitiger ce risque: sensibiliser vos utilisateurs sur les risques de cybersécurité, déployer une solution de filtrage de la navigation internet, une solution de filtrage de courrier, déployer un système de détection d’intrusions ( IDS/IPS, NDR, etc.)

etc.

  • Attaque frontale d’un serveur et intrusion (21%).

Pour mitiger ce risque: déployer un système de détection d’intrusions ( IDS/IPS, NDR, etc.)

  • Courriel avec un fichier malicieux attaché (16%).

Pour mitiger ce risque: déployer une solution de filtrage de courriels, un IDS/IPS/NDR, antivirus/EDR, etc.

  • La solution d’accès à distance RDP (Remote Desktop, 9%).

Pour mitiger ce risque: déployer un déployer un système de détection d’intrusions ( IDS/IPS, NDR, etc.) ou un SIEM

Avec cela, vous aurez couverts 75% des moyens utilisés pour introduire un ransomware dans votre réseau:


Ensuite, attaquez vous aux points suivants:

  • Mauvaise configuration d’instances cloud publiques (9%).

Pour mitiger ce risque: balayages de vulnérabilités réguliers de vos environnements TI (internes et dans le Cloud), endurcir vos serveurs, appliquer les bonnes pratiques recommandées par les fournisseurs, déployer un IDS/IPS/NDR, un coupe-feu applicatif, etc.)

  • A travers un fournisseur (chaîne d’approvisionnement, 9%):

Pour mitiger ce risque: déployer un IDS/IPS/NDR, inclure des exigences de cybersécurité dans les contrats avec les partenaires, notamment le fait que le partenaire a l’obligation de vous informer s’il est victime d’un incident de sécurité. Ceci vous permet par exemple de déconnecter votre réseau au sien pour éviter une propagation de l'attaque.

  • USB ou média de stockage amovible (7%).

Pour mitiger ce risque: antivirus/EDR

Et évidemment, vous devez faire vos sauvegardes et les tests regulierements. Un MUST.

Comme vous l’aurez constaté, se protéger contre les ransomwares n’est pas uniquement une question de technologies. C’est une combinaison de personnes, de processus et de technologies.


Comment la technologie CDS de Streamscan protège contre les ransomwares?

Côté technologique, on voit le rôle central des IDS/IPS/NDR dans la protection contre les réseaux et les ransomwares. Ce sont des éléments incontournables aujourd’hui dans le dispositif de défense des réseaux, au même titre que le firewall et l’antivirus.

Pour rappel, un IDS/IPS (Intrusion Detection System / Intrusion Prevention System) ou un NDR (Network Detection and Response) est une technologie de sécurité qui protège le périmètre réseau d’une organisation. Elle capture tout le trafic qui entre et sort d’un réseau et l’analyse pour identifier et bloquer les cyberattaques (ex: attaque frontale, trafic de ransomware, exfiltration de données, etc.). La technologie CDS de Streamscan est un NDR.


UN SIEM n’est pas un IDS

Il est important de ne pas confondre les IDS/IPS/NDR avec les SIEM. En effet, la détection des intrusions n’est pas le rôle des SIEM. Ils agissent principalement comme des outils centralisés pour le stockage des événements de sécurité, avec des fonctions très basiques de détection d’intrusions. Ces événements peuvent ensuite être utilisés pour réaliser des investigations en cas de besoin. Pour vous protéger contre les attaques, vous avez besoin d’un IDS/IPS/NDR.

Comment Streamscan peut vous aider?

  • Notre technologie CDS permet de protéger votre réseau contre les cyberattaques et les outils malicieux incluant les ransomwares.
  • Rien ne sert de déployer des outils de sécurité si vous ne les gérez pas. En effet, dans plusieurs cas d’incidents que nous avons géré, les outils de sécurité en place ont généré des alertes qui ont été ignorées. Si vous êtes trop occupés ou si vous n’avez pas l’expertise requise, vous avez la possibilité d’externaliser la gestion de votre cybersécurité via le service de surveillance MDR de Streamscan. Nous agissons comme une extension de votre équipe TI interne et nous nous occupons de votre sécurité.
  • Nous sommes des experts en réponse aux incidents et nous avons géré plusieurs cas de ransomwares dont un en lien avec les autorités . Lorsque vous êtes victimes d’un ransomware, vous pouvez compter sur nous pour vous accompagner de bout en bout pour corriger le problème et revenir en production le plus rapidement possible. La cybersécurité absolue n’existe.
  • Pour se protéger contre les hackers, il faut raisonner comme les hackers et ceci est notre état d’esprit. Ainsi, lorsque nous protégeons les réseaux de nos partenaires, nous mettons de ce fait les efforts là où il faut, ce qui permet d’optimiser vos budgets de cybersécurité.



Que vous ayez besoin d'aide pour mener un audit de sécurité, élaborer un plan de sécurité ou mettre en œuvre une solution de Détection et Réponse Gérées (MDR), StreamScan dispose d'experts ayant des années d'expérience dans le secteur manufacturier qui peuvent vous aider. Contactez-nous à l'adresse securitepme@streamscan.ai ou appelez-nous au 1 877 208-9040.