Défendre contre les attaques par ransomware
Dans cette phase, vous faites en sorte qu’il soit plus difficile aux acteurs de menaces d’accéder à vos systèmes locaux ou cloud en supprimant progressivement les risques aux points d’entrée.
Même si la plupart de ces changements sont bien connus et faciles à implémenter, il est extrêmement important que le travail que vous fournissez sur cette partie de la stratégie ne ralentisse pas votre progression sur les autres parties importantes !
Voici les liens pour vous permettre de passer en revue le plan de prévention contre les ransomwares en trois parties :
Accès à distance
Accéder à l’intranet de votre organisation via une connexion d’accès à distance est un vecteur d’attaque des acteurs de menaces par ransomware.
Une fois qu’un compte d’utilisateur local est compromis, un acteur de menaces peut tirer profit d’un intranet pour recueillir des informations, élever des privilèges et installer un ransomware. La cyberattaque Colonial Pipeline en 2021 est un exemple de ce type.
Responsabilités des membres d'un programme et d'un projet pour l'accès à distance
Ce tableau décrit la protection globale de votre solution d'accès à distance contre les ransomwares sous l'angle d'une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.
| Lead | Implémenteurs | Responsabilité |
|---|---|---|
| Responsable de la sécurité des systèmes d'information (CISO) ou directeur informatique (CIO) | Parrainage de la direction | |
| Responsable de programme de l'équipe Réseau/Infrastructure de l'informatique centrale | Susciter des résultats et une collaboration entre les équipes | |
| Architectes informatiques et de la sécurité | Classer par ordre de priorité l'intégration de composants dans les architectures | |
| Équipe en charge des identités de l'informatique centrale | Configurer Microsoft Entra ID et les stratégies d'accès conditionnel | |
| Opérations de l'informatique centrale | Implémenter les modifications dans l'environnement | |
| Propriétaires de charge de travail | Apporter une assistance sur les autorisations RBAC pour la publication d'applications | |
| Stratégie et standards de sécurité | Mettre à jour les normes et les documents de stratégie | |
| Gestion de la conformité de la sécurité | Superviser pour garantir la conformité | |
| Équipe en charge de l'éducation des utilisateurs | Mettre à jour les recommandations concernant les changements de workflow et assurer l'éducation et la gestion des changements |
Implémentation de la liste de contrôle pour l'accès à distance
Appliquez ces meilleures pratiques pour protéger votre infrastructure d’accès à distance contre les acteurs de menaces par ransomware.
| Terminé | Tâche | Description |
|---|---|---|
| Assurer la maintenance des mises à jour des logiciels et des appliances. Éviter de faire l'impasse sur les protections des fabricants (mises à jour de sécurité, statut de prise en charge) ou de les négliger. | Les acteurs de menaces exploitent des vulnérabilités bien connues qui n’ont pas encore été patchées en tant que vecteurs d’attaque. | |
| Configurer Microsoft Entra ID pour l'accès à distance existant avec notamment l'application de la validation des utilisateurs et des appareils Confiance Zéro avec l'accès conditionnel. | Le modèle Confiance Zéro offre plusieurs niveaux de sécurisation d'accès à votre organisation. | |
| Configurer la sécurité pour les solutions VPN tierces existantes (Cisco AnyConnect, Palo Alto Networks GlobalProtect & Captive Portal, Fortinet FortiGate SSL VPN, Citrix NetScaler, Zscaler Private Access (ZPA) et bien plus encore). | Tirez parti de la sécurité intégrée de votre solution d'accès à distance. | |
| Déployer un VPN Azure point à site (P2S, Point-to-Site) pour fournir un accès à distance. | Tirez parti de l'intégration avec Microsoft Entra ID et de vos abonnements Azure existants. | |
| Publier des applications web locales avec le proxy d'application Microsoft Entra. | Les applications publiées avec le proxy d'application Microsoft Entra n'ont pas besoin d'une connexion d'accès à distance. | |
| Sécuriser l'accès aux ressources Azure avec Azure Bastion. | Connectez-vous de manière sécurisée et fluide à vos machines virtuelles Azure via SSL. | |
| Assurer un audit et une supervision pour détecter et corriger les écarts par rapport à la ligne de base et les attaques potentielles (voir Détection et réponse). | Réduisez les risques d'activités de ransomware qui sondent les fonctionnalités et les paramètres de sécurité de référence. |
Messagerie et collaboration
Implémentez les meilleures pratiques pour les solutions de messagerie et de collaboration afin de rendre plus difficile aux acteurs des menaces de les utiliser de manière abusive, tout en permettant à vos équipes d’accéder facilement et en toute sécurité au contenu externe.
Les acteurs de menaces pénètrent fréquemment un environnement en introduisant du contenu malveillant camouflé dans des outils de collaboration autorisés, comme les messages électroniques et le partage de fichiers, et en convaincant les utilisateurs d’exécuter le contenu. Microsoft s'est investi dans l'atténuation des risques en vue d'améliorer considérablement la protection contre ces vecteurs d'attaque.
Responsabilités des membres d'un programme et du projet pour l'e-mail et la collaboration
Ce tableau décrit la protection globale de vos solutions de messagerie et de collaboration contre les ransomwares sous l'angle d'une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.
| Lead | Implémenteurs | Responsabilité |
|---|---|---|
| Responsable de la sécurité des systèmes d'information (CISO), directeur informatique (CIO) ou responsable des identités | Parrainage de la direction | |
| Responsable de programme de l'équipe d'architecture de sécurité | Susciter des résultats et une collaboration entre les équipes | |
| Architectes informatiques | Classer par ordre de priorité l'intégration de composants dans les architectures | |
| Équipe en charge de la productivité cloud ou des utilisateurs finaux | Activer Defender pour Office 365, Azure Site Recovery et AMSI | |
| Architecture de la sécurité / Infrastructure + point de terminaison | Assistance de configuration | |
| Équipe en charge de l'éducation des utilisateurs | Mettre à jour les recommandations concernant les changements de workflow | |
| Stratégie et standards de sécurité | Mettre à jour les normes et les documents de stratégie | |
| Gestion de la conformité de la sécurité | Superviser pour garantir la conformité |
Mise en œuvre de la liste de contrôle pour les e-mails et la collaboration
Appliquez ces meilleures pratiques pour protéger vos solutions de messagerie et de collaboration contre les acteurs de menaces par ransomware
| Terminé | Tâche | Description |
|---|---|---|
| Activer AMSI pour VBA Office. | Détectez les attaques par macros Office à l'aide d'outils de point de terminaison comme Defender pour point de terminaison. | |
| Implémenter une sécurité de messagerie avancée à l'aide de Defender pour Office 365 ou une solution équivalente. | L’e-mail est un point d’entrée courant des acteurs de menaces. | |
| Déployer des règles de réduction de la surface d’attaque (Azure Site Recovery) pour bloquer les techniques d’attaque courantes, notamment : - L'utilisation abusive de points de terminaison (vol d'informations d'identification, activité de ransomware, utilisation suspecte de PsExec et WMI, etc.). - L'activité de documents Office utilisés pour nuire comme l'activité de macros avancées, le contenu exécutable, la création de processus et l'injection de processus initiés par des applications Office. Remarque : Commencez par déployer ces règles en mode audit, évaluez leur impact négatif éventuel, puis déployez-les en mode bloc. |
Azure Site Recovery propose des couches de protection supplémentaires spécifiquement destinées à atténuer les effets des méthodes d’attaques courantes. | |
| Assurer un audit et une supervision pour détecter et corriger les écarts par rapport à la ligne de base et les attaques potentielles (voir Détection et réponse). | Réduit les risques d'activités de ransomware qui sondent les fonctionnalités et les paramètres de sécurité de référence. |
Points de terminaison
Implémentez des fonctionnalités de sécurité pertinentes et respectez strictement les meilleures pratiques de maintenance logicielle pour les points de terminaison (appareils) et les applications, en classant par ordre de priorité les applications et les systèmes d'exploitation serveur/client directement exposés au contenu et trafic Internet.
Les points de terminaison exposés à Internet constituent un vecteur d’entrée courant, qui permet aux acteurs de menaces d’accéder aux ressources de l’organisation. Priorisez le blocage des vulnérabilités courantes des systèmes d’exploitation et des applications, avec des contrôles préventifs pour ralentir ou empêcher l’exécution des étapes suivantes.
Responsabilités des membres d’un programme et d’un projet pour les points de terminaison
Ce tableau décrit la protection globale de vos points de terminaison contre les ransomwares sous l'angle d'une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.
| Lead | Implémenteurs | Responsabilité |
|---|---|---|
| Responsabilité de la direction de l'entreprise vis-à-vis de l'impact sur l'activité des temps d'arrêt et des dommages causés par les attaques | Parrainage de la direction (maintenance) | |
| Opérations de l'équipe d'informatique centrale ou directeur informatique (CIO) | Parrainage de la direction (autres) | |
| Responsable de programme de l'équipe d'infrastructure de l'informatique centrale | Susciter des résultats et une collaboration entre les équipes | |
| Architectes informatiques et de la sécurité | Classer par ordre de priorité l'intégration de composants dans les architectures | |
| Opérations de l'informatique centrale | Implémenter les modifications dans l'environnement | |
| Équipe en charge de la productivité cloud ou des utilisateurs finaux | Permettre la réduction de la surface d'attaque | |
| Propriétaires de charge de travail/d'application | Identifier les fenêtres de maintenance pour les modifications | |
| Stratégie et standards de sécurité | Mettre à jour les normes et les documents de stratégie | |
| Gestion de la conformité de la sécurité | Superviser pour garantir la conformité |
Implémentation de la liste de contrôle pour les points de terminaison
Appliquez ces bonnes pratiques à tous les points de terminaison Windows, Linux, MacOS, Android, iOS et autres.
| Terminé | Tâche | Description |
|---|---|---|
| Bloquer les menaces connues avec des règles de réduction de la surface d’attaque, la protection contre les falsifications et le blocage à première vue. | Veillez à ce que l'intrusion d'un attaquant dans votre organisation ne soit pas causée par le défaut d'utilisation de ces fonctionnalités de sécurité intégrées. | |
| Appliquer les bases de référence de sécurité afin de renforcer la sécurité des serveurs et des clients Windows ayant accès à Internet et des applications Office. | Protégez votre organisation en partant du niveau de sécurité minimum et construisez à partir de là. | |
| Assurer la maintenance de vos logiciels afin qu'ils soient : - Mis à jour : déployez rapidement les mises à jour de sécurité critiques pour les systèmes d’exploitation, les navigateurs et les clients de messagerie – Prises en charge : mettez à niveau les systèmes d'exploitation et les logiciels pour les versions prises en charge par vos fournisseurs. |
Les attaquants comptent sur vous pour que vous fassiez l'impasse sur les mises à jour et les mises à niveau des fabricants ou que vous les négligiez. | |
| Isoler, désactiver ou mettre hors service les systèmes et les protocoles non sécurisés, notamment les systèmes d'exploitation non pris en charge et les protocoles hérités. | Les attaquants utilisent les vulnérabilités connues des appareils, des systèmes et des protocoles hérités comme points d'entrée dans votre organisation. | |
| Bloquer le trafic inattendu avec le pare-feu basé sur l'hôte et les défenses réseau. | Certaines attaques de programmes malveillants se basent sur du trafic entrant non sollicité à destination des hôtes comme un moyen d'établir une connexion pour une attaque. | |
| Assurer un audit et une supervision pour détecter et corriger les écarts par rapport à la ligne de base et les attaques potentielles (voir Détection et réponse). | Réduit les risques d'activités de ransomware qui sondent les fonctionnalités et les paramètres de sécurité de référence. |
Comptes
De la même façon que les anciens passe-partout ne protègent pas une maison contre un cambrioleur contemporain, les mots de passe ne peuvent pas protéger les comptes contre les attaques courantes que nous observons aujourd'hui. Si l’authentification multifacteur (MFA) constituait autrefois une étape contraignante additionnelle, l’authentification sans mot de passe améliore l’expérience de connexion en utilisant des méthodes biométriques qui n’obligent pas vos utilisateurs à retenir ou taper un mot de passe. Par ailleurs, une infrastructure Confiance Zéro enregistre des informations sur les appareils approuvés, ce qui réduit les actions MFA hors bande ennuyeuses.
En commençant par les comptes d'administrateur à privilèges élevés, suivez à la lettre ces bonnes pratiques pour la sécurité des comptes, notamment en utilisant des approches sans mot de passe ou MFA.
Responsabilités des membres d'un programme et d'un projet pour les comptes
Ce tableau décrit la protection globale de vos comptes contre les ransomwares sous l'angle d'une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.
| Lead | Implémenteurs | Responsabilité |
|---|---|---|
| Responsable de la sécurité des systèmes d'information (CISO), directeur informatique (CIO) ou responsable des identités | Parrainage de la direction | |
| Responsable de programme des équipes en charge de la gestion des identités et des clés ou de l'architecture de sécurité | Susciter des résultats et une collaboration entre les équipes | |
| Architectes informatiques et de la sécurité | Classer par ordre de priorité l'intégration de composants dans les architectures | |
| Gestion des identités et des clés ou des opérations informatiques centrales | Implémenter les modifications de configuration | |
| Stratégie et standards de sécurité | Mettre à jour les normes et les documents de stratégie | |
| Gestion de la conformité de la sécurité | Superviser pour garantir la conformité | |
| Équipe en charge de l'éducation des utilisateurs | Mettre à jour les recommandations concernant les mots de passe ou les connexions et assurer l'éducation et la gestion des changements |
Implémentation de la liste de contrôle pour les comptes
Appliquez ces bonnes pratiques pour protéger vos comptes contre les attaquants par ransomwares.
| Terminé | Tâche | Description |
|---|---|---|
| Appliquer une authentification MFA forte ou une connexion sans mot de passe pour tous les utilisateurs. Commencez par les comptes d'administrateur et prioritaires avec une ou plusieurs des méthodes suivantes : - Authentification sans mot de passe avec Windows Hello ou l'application Microsoft Authenticator. - Authentification multifacteur. - Solution MFA tierce. |
Rendez plus difficile la compromission des informations d'identification par un attaquant, en déterminant simplement un mot de passe de compte d'utilisateur. | |
| Renforcer la sécurité des mots de passe : - Pour les comptes Microsoft Entra, utilisez la protection par mot de passe Microsoft Entra pour détecter et bloquer les mots de passe faibles connus ainsi que d'autres termes faibles propres à votre organisation. - Pour les comptes Active Directory Domain Services (AD DS) locaux, élargissez la protection par mot de passe Microsoft Entra aux comptes AD DS. |
Veillez à ce que les attaquants ne puissent pas trouver les mots de passe communs ou les mots de passe basés sur le nom de votre organisation. | |
| Assurer un audit et une supervision pour détecter et corriger les écarts par rapport à la ligne de base et les attaques potentielles (voir Détection et réponse). | Réduit les risques d'activités de ransomware qui sondent les fonctionnalités et les paramètres de sécurité de référence. |
Résultats de l'implémentation et chronologie
Essayez d'obtenir ces résultats dans un délai de 30 jours :
100 % des employés qui utilisent activement MFA
Déploiement à 100 % d’un niveau de sécurité des mots de passe supérieur
Autres ressources de ransomware
Informations clés de Microsoft :
Moonstone Sleet est un nouvel acteur de la menace nord-coréenne doté d’une nouvelle panoplie d’astuces, Microsoft Blog, Mai 2024
Se protéger rapidement contre les rançongiciels et l'extorsion
Microsoft Digital Defense - Rapport 2023 (voir pages 17-26)
Rapport d’analyse des menaces Ransomware : une menace omniprésente et continue dans le portail Microsoft Defender
Approche et étude de cas de l’équipe de Réponse aux incidents Microsoft (anciennement équipe de détection et d’intervention de Microsoft DART) en matière de ransomware
Microsoft 365 :
- Déployer la protection contre les rançongiciels pour votre client Microsoft 365
- Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
- Récupération après une attaque par ransomware
- Protection contre les programmes malveillants et les ransomware
- Protégez votre PC Windows 10 contre les ransomware
- Gestion des ransomware dans SharePoint en ligne
- Rapports d’analyse des menaces pour les ransomware dans le portail Microsoft Defender
Microsoft Defender XDR :
Microsoft Azure :
- Azure Defenses for Ransomware Attack
- Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
- Plan de sauvegarde et restauration pour la protection contre les rançongiciels
- Protégez vos applications contre les ransomware avec la Sauvegarde Microsoft Azure (vidéo de 26 minutes)
- Récupération après une compromission de l'identité système
- Détection avancée des attaques multiphases dans Microsoft Sentinel
- Détection de fusion des rançongiciels dans Microsoft Sentinel
Microsoft Defender for Cloud Apps :
Billets de blog de l'équipe de sécurité Microsoft :
3 steps to prevent and recover from ransomware (septembre 2021)
Guide de lutte contre les rançongiciels d'origine humaine : partie 1 (septembre 2021)
Étapes clés sur la façon dont l'équipe de détection et d'intervention de Microsoft (DART) effectue des enquêtes sur les incidents de rançongiciels.
Guide de lutte contre les rançongiciels d'origine humaine : partie 2 (septembre 2021)
Recommandations et meilleures pratiques.
-
Cf. section Ransomware.
Human-operated ransomware attacks: A preventable disaster (Attaques par ransomware dirigées par une main humaine : un incident évitable) (mars 2020)
Inclut des analyses de chaîne d'attaque des attaques courantes.
Réponse aux rançongiciels : payer ou ne pas payer ? (Décembre 2019)
Norsk Hydro responds to ransomware attack with transparency (Norsk Hydro répond avec transparence à une attaque par ransomware) (décembre 2019)