Ransomware: État actuel ou déjà trop tard?

Patrik Honegger travaille dans le secteur informatique depuis les années 1990 et s'est spécialisé dans le domaine de la sécurité informatique depuis 2000. Il a rejoint Check Point en 2001. Depuis qu'il a rejoint Check Point, il a été impliqué dans l'ensemble des solutions de l'entreprise et des secteurs clients et maintient une compréhension technologique approfondie des produits et des besoins des clients. Patrik a rempli avec succès des rôles d'Ingénieur en sécurité, de Consultant principal et de Responsable de la Sécurité et de l'Ingénierie des Systèmes pour Alps. Il est Responsable de la défense des clients pour l'Europe Centrale, Membre du Bureau du Directeur technique et détient diverses certifications techniques.

Dans cette interview, Patrik Honegger, Responsable de la défense des clients chez Check Point, se penche en profondeur sur l'état des ransomwares et les tendances récentes. Découvrez les étapes pratiques pour mettre à niveau vos programmes de prévention et de défense contre les ransomwares afin de vous protéger contre les menaces graves et en constante évolution. Accédez à des connaissances spécialisées et améliorez les mesures de sécurité de votre organisation.

Dans l'ensemble, les entreprises de sécurité font évoluer en permanence leurs outils de prévention des ransomwares pour suivre le rythme de l'évolution du paysage des menaces. Par conséquent, les entreprises peuvent bénéficier d'une collaboration avec leur fournisseur de sécurité de confiance pour rester à l'affût des dernières menaces et protéger leurs systèmes contre les attaques de ransomware.

Pourriez-vous nous en dire un peu plus sur l'état actuel des ransomwares?

L'état actuel des ransomwares constitue une menace très grave pour les particuliers, les entreprises et les infrastructures critiques. Il est essentiel de prendre des mesures pour se protéger contre les ransomwares, comme ceux dont nous parlerons un peu plus loin dans cet article.

Certaines tendances dynamiques récentes incluent:

• Attaques à triple extorsion: C'est là que les attaquants non seulement chiffrent les fichiers de la victime, mais menacent également de divulguer des informations sensibles, y compris des données sensibles qui pourraient avoir un impact négatif sur des tiers, à moins que la rançon ne soit payée. Cette tactique a été particulièrement efficace pour cibler les entreprises et les organisations disposant de données précieuses ou sensibles.
• Ransomware-as-a-service (RaaS): C'est là que les attaquants louent leurs outils de ransomware à d'autres cybercriminels, qui les utilisent ensuite pour lancer des attaques. Cela a abaissé la barrière à l'entrée pour les attaques de ransomware, ce qui permet aux pirates moins expérimentés de s'impliquer plus facilement.
• Attaques ciblées: Les attaquants ciblent de plus en plus des organisations ou des industries spécifiques avec des attaques bien planifiées et exécutées à l'aide de plusieurs techniques qui peuvent contourner les défenses existantes.

Pour n'en nommer que quelques-uns.

Comment les organisations peuvent-elles obtenir plus de sécurité des outils dont elles disposent déjà, voire pas du tout?

La meilleure approche consistera à optimiser davantage et à intégrer les outils de sécurité existants dans une stratégie de sécurité globale. Ils devraient se concentrer sur les efforts de consolidation de la sécurité pour mieux se protéger contre les attaques par ransomware.

• Assurez-vous que vos outils de sécurité existants sont utilisés au maximum de leur potentiel en suivant les meilleures pratiques et les directives fournies par votre fournisseur de confiance.
• Intégrez vos outils de sécurité existants et automatisez leurs fonctions pour réduire les interventions manuelles et améliorer l'efficacité globale.
• De nombreux outils de sécurité proposent des API qui peuvent être utilisées pour automatiser et orchestrer les flux de travail de sécurité sur différents produits. En utilisant des API, vous pouvez intégrer des outils de sécurité existants à d'autres outils de sécurité ou, mieux encore, alimenter votre système SIEM existant.
• Effectuez des évaluations régulières de vos produits de sécurité existants pour vous assurer qu'ils répondent aux besoins de sécurité de votre organisation. Identifiez les lacunes ou les inefficacités qui doivent être corrigées. Vérifiez si l'aspect prévention est entièrement couvert ou s'il ne repose toujours que sur la détection uniquement. Concentrez-vous sur les technologies de prévention.
• Envisagez de travailler avec un fournisseur de services de sécurité gérés pour optimiser et gérer vos outils de sécurité existants. Un MSSP peut fournir des conseils et un soutien d'experts, s'assurer que les outils sont utilisés au maximum de leur potentiel et aider à identifier et à combler les lacunes de sécurité en temps réel.
• Offrez une formation sur les services professionnels à vos équipes de sécurité pour vous assurer qu'elles connaissent leurs outils existants, leurs versions à jour et savent comment les utiliser efficacement.

Par où les RSSI devraient-ils commencer pour mettre à niveau les programmes de prévention et de défense contre les ransomwares?

En tant que RSSI, vous pouvez commencer par mettre à niveau vos programmes de prévention et de défense contre les ransomwares en:

• Effectuer une évaluation détaillée des risques: Cela vous aidera à identifier les actifs les plus critiques pour votre organisation et l'impact potentiel d'une attaque par ransomware sur ces actifs. Cela vous aidera à hiérarchiser vos efforts et à allouer efficacement les ressources.
• Assurez-vous que votre organisation dispose d'une stratégie de sauvegarde robuste qui comprend des sauvegardes régulières des données critiques, des sauvegardes hors ligne et des tests réguliers en direct du processus de récupération pour garantir son efficacité et son bon fonctionnement. Certaines organisations peuvent séparer leurs informations d'identification d'utilisateur administrateur vers un domaine différent pour s'assurer que, si l'organisation principale est compromise, les sauvegardes sont toujours intactes.
• Développez et mettez en œuvre un programme de formation de sensibilisation à la sécurité: Sensibilisez vos employés à l'importance des mots de passe forts, des pratiques de navigation sécurisées et des dangers des attaques de phishing. Assurez-vous qu'ils sont au courant des dernières menaces de ransomware et comprennent comment signaler eux-mêmes les activités suspectes.
• Mettre en œuvre une approche de sécurité en couches: Mettre en œuvre plusieurs couches de contrôles de sécurité tels que des pare-feu, des logiciels ANTIVIRUS/anti-logiciels malveillants, des systèmes de prévention des intrusions, etc., et utilisez une segmentation appropriée du réseau. Cela aidera à atténuer l'impact d'une attaque de ransomware et à empêcher les mouvements latéraux.
• Surveiller les activités suspectes: Mettez en œuvre des mécanismes de surveillance et d'alerte pour détecter les activités suspectes, telles que les modèles d'accès aux fichiers inhabituels ou les tentatives de désactivation des contrôles de sécurité.
• Assurez-vous que vos systèmes et logiciels sont à jour avec les derniers correctifs et mises à jour de sécurité. Les vulnérabilités des logiciels peuvent être exploitées par des attaquants ransomware pour accéder à vos systèmes.
• Élaborez un plan qui décrit les étapes à suivre en cas d'attaque par ransomware, y compris qui contacter et comment isoler les systèmes infectés. Assurez-vous que le plan est régulièrement testé et mis à jour. Dans un plan de réponse aux incidents robuste, il est crucial de valider son efficacité et de l'exercer avec différentes parties internes, telles que les équipes informatiques et de sécurité, la direction générale et même les équipes d'applications, pour l'adapter à la culture d'entreprise de chaque département.
• Assurez une posture de sécurité des points finaux solide, y compris les points finaux, les serveurs et autres points d'entrée organisationnels. Vous devez non seulement vous concentrer uniquement sur les systèmes d'exploitation Microsoft, mais il est également important de couvrir macOS et Linux.
• Enfin, la conformité est essentielle: atteindre une conformité à 100% est délicat. Une bonne méthode peut être d'utiliser un accès conditionnel. Si les points finaux ou les utilisateurs ne sont pas conformes ou dans un état à haut risque, il n'y a plus d'accès aux actifs internes (comme le domaine, les bases de données, les centres de données, etc.).

Dans l'ensemble, la prévention et la défense contre les ransomwares nécessitent une approche multicouche et globale qui implique les personnes, les processus et enfin la technologie. En tant que RSSI, il est essentiel de rester informé des dernières menaces et tendances en matière d'attaques par ransomware et de prendre des mesures proactives pour protéger votre organisation.

Que font les entreprises de cybersécurité, comme Check Point, pour améliorer les outils de prévention des ransomwares?

Nous travaillons continuellement à l'amélioration de nos outils de prévention pour rester en avance sur les dernières menaces. Entrer dans les détails prolongerait beaucoup cette interview, mais nous nous concentrons sur différents angles comme:

• Renseignements sur les menaces
• Apprentissage automatique et IA
• Analyse du comportement
• Réponses automatisées
• Sécurité du cloud
• Chasse aux menaces et bien sûr se concentrer sur aspects de recherche purs

Quels sont les plus grands angles morts organisationnels en matière de ransomware?

• Manque de sensibilisation et de formation des employés: Les employés sont souvent le maillon faible dans la prévention des attaques par ransomware. De nombreuses organisations ne fournissent pas une formation adéquate à leurs employés sur la façon de détecter, de prévenir ou de signaler les attaques de ransomware.
• Mauvaise hygiène en matière de cybersécurité: Les organisations échouent souvent à mettre en œuvre des mesures de cybersécurité de base, telles que des mises à jour logicielles régulières, des mots de passe forts et une authentification multifacteur pour n'en nommer que quelques-unes, laissant ainsi leurs systèmes vulnérables aux attaques de ransomware.
• Dépendance excessive à l'égard des systèmes hérités: De nombreuses organisations continuent de s'appuyer sur des technologies obsolètes et des systèmes hérités qui sont plus vulnérables aux attaques par ransomware; surtout sans mettre en œuvre des mesures de sécurité appropriées pour les protéger.
• Systèmes de sauvegarde et de récupération de données inadéquats: Les organisations échouent souvent à sauvegarder régulièrement leurs données ou à tester leurs systèmes de sauvegarde et de récupération, ce qui rend difficile la récupération complète d'une attaque de ransomware ou pas du tout.
• Défaut de procéder à des évaluations régulières des risques: Il est important de procéder régulièrement à des évaluations des risques pour identifier les vulnérabilités et hiérarchiser les mesures de cybersécurité et se préparer à une attaque par ransomware.
• Plans de réponse aux incidents insuffisants: Les organisations n'ont souvent pas de plan clair en place pour répondre à une attaque de ransomware, ce qui peut entraîner une réponse plus lente et moins efficace.
• Manque de collaboration et de communication: Les départements d'une organisation travaillent souvent encore dans leurs propres silos, ce qui peut entraîner un manque de collaboration et de communication, ce qui rend difficile la prévention et la réponse efficaces aux attaques par ransomware.

La communication est également essentielle ici. Il est important de remédier à ces angles morts en mettant en œuvre des politiques complètes de cybersécurité, en formant régulièrement les employés aux meilleures pratiques de sécurité, en évaluant et en mettant à jour les mesures de sécurité et en élaborant des plans clairs de réponse aux incidents.

Quels types de questions les clients se posent-ils actuellement sur les ransomwares?

Les questions varient généralement un peu en fonction de l'industrie, de la taille de l'organisation et de leur niveau de savoir-faire en matière de cybersécurité en général. Les questions que je reçois habituellement incluent:

• Qu'est-ce qu'un ransomware et comment fonctionne-t-il?
• Quels sont les signes que mon organisation peut être infectée par un ransomware?
• Quelles sont les chaînes d'infection typiques des ransomwares?
• Comment puis-je prévenir et pas seulement détecter les attaques de ransomware en temps réel?
• Comment puis-je protéger mon organisation contre une attaque de ransomware?

Il est essentiel pour les organisations de se tenir au courant des dernières menaces et tendances en matière de ransomware d'un point de vue technologique et informationnel et d'adopter une approche proactive pour prévenir les attaques et y répondre.

Y a-t-il autre chose que vous aimeriez partager avec le CyberTalk.org public?

Tout d'abord, merci beaucoup de m'avoir donné à nouveau l'opportunité de partager mes réflexions avec vous. La cybersécurité, en particulier le domaine des ransomwares, est un défi constant. Personnellement, je fais maintenant partie du parcours de prévention de la cybersécurité de Check Point depuis 22 ans. Si vous êtes intéressé par ce secteur spécifique, je vous suggère fortement de visiter la page d'informations spécialisées sur les ransomwares de Check Point: https://www.checkpoint.com/ransomware-hub/

De plus, comme je l'ai mentionné dans le passé dans d'autres articles, la sécurité de l'information est un voyage sans fin. Votre point de départ est peut-être bien défini, mais votre arrivée est retardée, ce qui signifie que vous devez constamment réévaluer et améliorer vos mesures de sécurité, et cela est particulièrement vrai en ce qui concerne les contre-mesures contre les ransomwares.

Pour plus d'informations exceptionnelles de Patrik Honegger, veuillez consulter CyberTalk.org couverture passée de. Vous voulez vous tenir au courant des tendances technologiques? Découvrez le CyberTalk.org bulletin d'information. Inscrivez-vous dès aujourd'hui pour recevoir des articles de presse, des meilleures pratiques et des analyses d'experts de premier ordre; livrés directement dans votre boîte de réception.

La poste Ransomware: État actuel ou déjà trop tard? apparu en premier sur CyberTalk.