Quelles leçons peut-on tirer de la dernière vague d'attaques de ransomwares?
Je ne suis pas sûr que ce soit le bon endroit, mais je pensais que les gens le trouveraient utile s'ils ne connaissaient pas trop les politiques de sécurité et les meilleures pratiques générales.
Il y a beaucoup d'informations, cependant, nous savons tous que vous ne pouvez pas verrouiller complètement un système parce que les gens ont besoin d'accéder à diverses sources externes.
Donc, en tant que forum sur la cybersécurité (en quelque sorte), quelles seraient vos recommandations pour lutter contre cette dernière attaque de ransomware Petya et NotPetya?
Edit: il serait également utile de savoir ce qui a permis d'infecter les systèmes des entreprises concernées.
Je pense que l'une des principales leçons apprises est que les services de sécurité ne devraient pas accumuler zéro jour et les outils pour les exploiter, (surtout) s'ils ne peuvent pas les sécuriser correctement.
La chose à retenir, cependant, est que WannaCrypt et Petya avaient tous les deux des correctifs disponibles avant qu'ils ne frappent et ont également profité d'une mauvaise configuration.
De plus, de nombreuses organisations qui ont été durement touchées auraient pu éviter certaines (voire toutes) la douleur si elles avaient mis en place des pratiques de sécurité standard pour les ceintures et les orthèses.
La principale leçon que les organisations doivent apprendre est qu'elles doivent avoir les bonnes bases .
Par exemple:
Gestion des vulnérabilités
Effectuez une analyse régulière des vulnérabilités, comprenez l'état de sécurité de tous les actifs et les vulnérabilités présentes, les menaces liées à ces vulnérabilités et les risques qu'elles représentent pour le parc informatique et l'entreprise qu'il dessert.
Cela inclut à la fois les correctifs manquants (c'est-à-dire MS17-010) et une mauvaise configuration (c'est-à-dire que SMBv1 est activé).
Tout cela devrait être soutenu par des processus appropriés qui permettent la découverte continue, la correction des vulnérabilités (via une action ou l'acceptation des risques) et la confirmation de la correction.
Idéalement, tous les risques de l'ensemble du parc informatique doivent être connus et gérés.
De plus, des rôles et des responsabilités doivent être attribués pour garantir que tout ce qui précède est fait correctement. Cela inclut les responsables de la sécurité, les analystes de la sécurité, les techniciens informatiques responsables de la vulnérabilité, etc.
Gestion des correctifs
Assurez-vous que les correctifs sont déployés en temps opportun. Cela ne signifie pas seulement de pousser les derniers correctifs Patch Tuesday. Cela comprend également la compréhension des logiciels dont vous disposez dans votre parc informatique et un inventaire complet des actifs pour vous assurer que tout est corrigé.
Contrôles des supports amovibles
Assurez-vous que les supports amovibles sont limités aux appareils sanctionnés uniquement. Idéalement, je mettrais sur liste noire tous les supports amovibles et mettrais sur liste blanche tout ce que vous approuvez. (Ce n'est que mon avis, cependant)
Prévention des logiciels malveillants
Assurez-vous d'avoir une sorte d'AV sur tous les points d'extrémité, au moins l'heuristique classique et l'AV basé sur la définition. (bien qu'il existe des solutions plus avancées disponibles) Assurez-vous qu'il est à jour et fonctionne.
Récupération après sinistre
Assurez-vous d'avoir des sauvegardes, y compris des sauvegardes hors site et hors ligne des données critiques.
Gestion des incidents
Assurez-vous d'avoir un plan pour réagir à un incident de sécurité majeur; assurez-vous d'avoir les bonnes personnes aux bons endroits, soutenues par les bons processus.
Contrôle des privilèges utilisateur
Celui-ci va sans dire vraiment: assurez-vous que tous les utilisateurs ont le moins de privilèges. Cela devrait être soutenu pour garantir qu'il est audité régulièrement.
Éducation et engagement des utilisateurs
Assurez-vous que tout le personnel comprend la politique de sécurité de votre organisation. Mener des exercices tels que des campagnes de phishing pour tester vos utilisateurs et fournir une formation pour leur permettre de comprendre les risques encourus et d'être mieux préparés à repérer les e-mails de poussée, les sites Web, l'engendrement social, etc. (Là encore, ce n'est qu'une vue, certaines personnes peuvent suggérer que la sécurité ne devrait pas être un problème utilisateur; elle devrait être un problème informatique)
Bonne hygiène de sécurité résea
Disposez des contrôles d'accès appropriés sur votre périmètre, assurez-vous que les pare-feu sont correctement configurés à tous les endroits appropriés de votre réseau (avec des audits et des révisions réguliers des règles) et assurez-vous que les VLANS sont correctement configurés avec autant de segmentation que nécessaire. Assurez-vous que tous les utilisateurs distants peuvent se connecter en toute sécurité et que tous les périphériques à partir desquels ils se connectent ont au moins des niveaux de patch 1 à 1 en tant que périphériques déjà sur le réseau. Assurez-vous également que vous disposez de contrôles BYOD robustes.
Une leçon qui a été soulevée auparavant est que les autorités ne devraient pas thésauriser les vulnérabilités à leurs propres fins. Grâce à la non-divulgation étendue, ils mettaient les entreprises et les individus en danger au lieu de les rendre plus sûrs. Même si l'exploit EternalBlue n'aurait pas été divulgué et utilisé par WannaCry et Petya, il y aurait un risque à ce que les fournisseurs ne corrigent pas la vulnérabilité au cas où d'autres personnes ou organisations l'auraient trouvée mais ne l'auraient pas révélée.
Installer également des correctifs, enseigner aux utilisateurs les dangers du spam et de la séparation du réseau pour les systèmes critiques.
Si vous faites référence aux épidémies WannaCry et Petya.A, les instructions sont simples: suivez les meilleures pratiques de sécurité de base, qui sont:
1) Installez les correctifs de sécurité à temps
2) Ne laissez pas les utilisateurs travailler avec des privilèges administratifs (administrateurs de domaine et administrateurs locaux)
3) N'installez pas d'applications suspectes provenant de sources inconnues
En suivant simplement ces 3 règles simples, vous pourrez protéger votre système contre ce type d'attaques.
Ce sont des attaques de masse de base, pas celles ciblées.
1- Gardez votre OS, vos programmes à jour.
2- Stockez vos fichiers sur un cloud ou un lecteur (hors ligne).
3- Protégez votre réseau d'entreprise.