Comprendre l’ampleur de la menace

Les incidents liés à des ransomwares ont explosé ces dernières années. Sans surprise, les projets de transformation digitale, avec déploiements dans le cloud et utilisation accrue des accès à distance, ont grandement augmenté la surface d’attaque.

Avant de lancer une attaque de ransomware, les hackers recherchent des ports ouverts et mal sécurisés. Les endpoints Remote Desktop Protocol (RDP) avec accès à Internet demeurent le point d’entrée n°1 des ransomwares, que l’on retrouve dans 50% environ des attaques fructueuses.

D’autres technologies d’accès à distance, comme le VPN, sont utilisées autrement que dans un cadre sécurisé et réglementé. Il est ainsi simple pour les hackers de trouver des failles, d’obtenir un accès et de propager des programmes, comme des ransomwares. Les e-mails de phishing avec pièces jointes

infectées ou liens malveillants sont en nette hausse également.

La plupart des attaques de ransomware nécessitent des privilèges

Quel que soit son mode de transmission, un ransomware aura quasiment toujours besoin de privilèges pour s’exécuter (installer des fichiers ou pilotes, accéder aux clés de registre, etc.), chiffrer des données et pouvoir progresser latéralement pour se propager. Les attaques de ransomware intègrent de plus en plus de techniques sans fichier pour avancer sur le réseau et dans les systèmes sans se faire repérer.

Des kits de ransomware prêts à l’emploi sont en vente sur le dark net. Ainsi, un hacker novice peut simplement déclencher des attaques en plusieurs étapes avec un haut degré de sophistication.

Privileged Access Management de BeyondTrust rompt la chaîne d’une attaque de ransomware en plusieurs points par des contrôles des privilèges, des applications et des chemins d’accès à distance et la mise en place de principes de sécurité zero trust.

Le PAM de BeyondTrust vs. Le ransomware DarkSide

Découvrez comment les solutions BeyondTrust démantèlent une attaque de ransomware DarkSide.

Renforcer l’immunité contre les ransomwares avec BeyondTrust

Se défendre contre les menaces côté client et côté serveur

La plateforme Privileged Access Management (PAM) de BeyondTrust se compose de quatre solutions intégrées: Secure Remote Access, Endpoint Privilege Management, Privileged Password Management et Cloud Security Management.

Ces solutions BeyondTrust permettent de se protéger des attaques de ransomware et de malware les plus courantes, y compris les chemins d’accès à distance mal sécurisés et les accès privilégiés. Nos solutions protègent également contre les attaques plus sophistiquées conjuguant ingénierie sociale, macros et autres vulnérabilités.

« Un ransomware n’a rien de magique, il a absolument besoin des privilèges de l’utilisateur ou de l’application qui l’exécute. C’est là sa faiblesse et notre chance de pouvoir le neutraliser avant qu’il s’exécute. »

G. Mark Hardy, CISSP, Président de la CISA, National Security Corporation.

Sécuriser les accès à distance

Supprimer les risques liés aux accès RDP, VNC, SSH et VPN

Les méthodes traditionnelles d’accès à distance, de type RDP, VPN et autres outils connus, n’ont pas les contrôles de gestion des accès indissociables du moindre privilège. De plus les vulnérabilités et problèmes de configuration de RDP et VPN sont fréquemment en cause dans les attaques. Les autorisations d’accès à distance des fournisseurs aggravent encore les choses.

Secure Remote Access de BeyondTrust bloque les accès à distance par la mise en place du moindre privilège et des audits de contrôle des accès des employés, des fournisseurs et des services de support.

  • Courtage de toutes les connexions via un chemin d’accès unique, limitant le nombre de ports d’accès à Internet, comme RDP, point d’accès le plus courant des ransomwares
  • Accès granulaires basés sur le rôle à des systèmes spécifiques avec des sessions paramétrées, de façon à éliminer les accès privilégiés illégitimes.
  • Sécurité et audit des accès privilégiés à distance, internes et de fournisseurs, sans utiliser de VPN.
  • Gestion des identifiants de démarrage des sessions d’accès à distance, jamais rendus visibles pour l’utilisateur.
  • Visibilité totale de toutes les sessions à distance, avec possibilité d’identifier des sessions suspectes et de les suspendre ou de les arrêter en temps réel.

Bloquer les mouvements latéraux et empêcher la propagation d’un ransomware

Protéger les postes, serveurs, dispositifs IoT et autres

Selon les analystes, Endpoint Privilege Management de BeyondTrust est la meilleure solution pour l’élévation et la délégation de privilèges ainsi que le contrôle d’application. La solution gère et sécurise les privilèges sur tous types de endpoints : Windows, Mac, Unix, Linux, PC, serveurs et IoT.

  • Empêchement des attaques de ransomware, malware, phishing et autres par la suppression des droits admin dont un ransomware a besoin. Et instauration du moindre privilège pour les utilisateurs IT et non-IT.
  • Autorisation d’accès juste à temps, réduisant le nombre des privilèges actifs et la fenêtre d’utilisation possible d’un privilège. Les privilèges ne sont jamais révélés à l’utilisateur. Ils dépendent du contexte de sécurité de l’exécutable.
  • Extension des règles d’application des privilèges aux navigateurs web, applications office et de lecture de documents pour bloquer les points d’entrée et le risque d’exécution de macros et de code embarqué.

Sécuriser et contrôler les applications

Reprendre le contrôle sur le Shadow IT

Si les ransomwares sont le plus souvent des malwares indépendants, certains exploitent des applications et des macros existantes, comme Microsoft Office, Adobe et PowerShell. Endpoint Privilege Management de BeyondTrust bloque les attaques de ransomware et sans fichier (« living of the land ») à la source en empêchant toute exécution abusive de ces applications.

  • Contrôle d’application avancé au-delà des listes d’autorisation et d’interdiction de sorte que seules les applications autorisées puissent démarrer ou invoquer d’autres applications.
  • Blocage de code malveillant. Empêcher que les pièces jointes aux e-mails, les liens de phishing, les sites web compromis et les charges DLL suspectes puissent charger un ransomware.
  • Défense contre les malwares sans fichier avec Trusted Application Protection et l’application intelligente du contexte pour restreindre les applications à haut risque (Wscript, CSript, PowerShell, etc.) couramment employées dans les chaînes d’attaque.

Sécuriser les identifiants privilégiés

Eliminer les tentatives de piratage de mot de passe, de réutilisation, « pass-the-hash » et autres attaques

Des identifiants compromis se retrouvent dans quasiment tous les incidents de sécurité IT, ransomwares compris. D’où l’importance d’adopter une solution de gestion des mots de passe privilégiés.

Privileged Password Management de BeyondTrust :

  • Découverte, intégration, gestion et audit des comptes et identifiants privilégiés (mots de passe, secrets, etc.) humains et machines.
  • Suppression des identifiants embarqués et par défaut dans les scripts et les applications d’automatisation ainsi que ceux associés à des identités machines.
  • Application de règles systématiques pour des mots de passe robustes et éviter les attaques de réutilisation et piratage de mot de passe.
  • Fonctions complètes de gestion, surveillance et audit de session par l’enregistrement de sessions interactives pour une lecture ultérieure, une formation ou l'identification d'activités inappropriées. Autorisation d’accès juste à temps au comptes privilégiés pour éliminer les privilèges permanents et ceux systématiquement actifs.

Simplifier la gestion des droits en multicloud

Bien comprendre et gérer les risques liés au cloud

Plus l’environnement est complexe, plus un ransomware a de chances d’aboutir et de rester indétecté. La plupart des entreprises utilisent plusieurs environnements de cloud computing (AWS, Azure, etc.), mais ne disposent pas d'une gestion et d'une visibilité centralisées sur l'ensemble des plateformes, ce qui entraîne de dangereuses lacunes.

BeyondTrust propose une solution avec des fonctionnalités de sécurité cloud-natives, permettant de centraliser la gestion des environnements multicloud.

Cloud Security Management de BeyondTrust:

  • Visibilité immédiate sur les droits et les autorisations à l’échelle d’une infrastructure multicloud.
  • Limitation du nombre des privilèges excessifs, ceux-ci étant identifiés et redimensionnés.
  • Evaluation du risque de sur-provision d’identités et de droits avec une même échelle de risque.
  • Suivi des efforts d’atténuation des risques au fil du temps.