Limiter la portée et l’impact des attaques de ransomware
La prochaine étape pour prévenir les attaques de ransomwares consiste à protéger les rôles privilégiés -- c’est-à-dire le type d’emplois dans lesquels les personnes manipulent de nombreuses informations privilégiées au sein d’une organisation.
Cette phase de prévention contre les ransomwares vise à empêcher les cybercriminels d’accéder à vos systèmes.
Plus un cybercriminel a accès à votre organisation et à vos appareils, plus les dommages potentiels à vos données et systèmes sont élevés.
Important
Lisez la série sur la prévention des ransomwares et faites en sorte que les cyberattaques soient difficiles à mener contre votre organisation.
Créer une « stratégie d'accès privilégié » contre les ransomwares
Vous devez appliquer une stratégie approfondie et globale pour réduire le risque de compromission des accès privilégiés.
Tout autre contrôle de sécurité que vous appliquez peut facilement être invalidé par un attaquant disposant d'un accès privilégié à votre environnement. Les attaquants par ransomwares se servent de l'accès privilégié pour contrôler rapidement toutes les ressources critiques de l'organisation afin de les attaquer à des fins d'extorsion.
Qui est responsable dans le programme ou le projet
Ce tableau décrit une stratégie d’accès privilégié pour prévenir les ransomwares en termes de hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et générer des résultats.
| Lead | Implémenteurs | Responsabilité |
|---|---|---|
| Responsable de la sécurité des systèmes d'information (CISO) ou directeur informatique (CIO) | Parrainage de la direction | |
| Responsable de programme | Susciter des résultats et une collaboration entre les équipes | |
| Architectes informatiques et de la sécurité | Classer par ordre de priorité les composants à intégrer dans les architectures | |
| Gestion des identités et des clés | Implémenter des changements d'identités | |
| Équipe en charge de la productivité de l'informatique centrale et/ou des utilisateurs finaux | Implémenter des changements sur les appareils et le locataire Office 365 | |
| Stratégie et standards de sécurité | Mettre à jour les normes et les documents de stratégie | |
| Gestion de la conformité de la sécurité | Superviser pour garantir la conformité | |
| Équipe en charge de l'éducation des utilisateurs | Mettre à jour les recommandations concernant les mots de passe | |
Liste de contrôle de la « stratégie d'accès privilégié » des ransomwares
Créez une stratégie en plusieurs parties en suivant les recommandations de l'article https://aka.ms/SPA qui comprend cette check-list.
| Terminé | Tâche | Description |
|---|---|---|
| Appliquer une sécurité de session de bout en bout. | Valide explicitement la confiance des utilisateurs et des appareils avant d'autoriser l'accès aux interfaces d'administration (en utilisant l'accès conditionnel de Microsoft Entra). | |
| Protéger et superviser les systèmes d'identité. | Empêche les attaques par élévation des privilèges incluant les répertoires, la gestion des identités, les comptes et groupes d'administrateurs et la configuration de l'octroi de consentement. | |
| Atténuer les effets du parcours latéral. | Garantit que la compromission d'un seul appareil ne débouche pas immédiatement sur le contrôle d'un grand nombre voire de l'ensemble des appareils à partir de mots de passe de comptes locaux, de mots de passe de comptes de service ou d'autres secrets. | |
| Assurer une réponse rapide face aux menaces. | Limite l'accès d'un adversaire et le temps qu'il passe dans l'environnement. Pour plus d'informations, consultez Détection et réponse. | |
Résultats de l'implémentation et chronologie
Essayez d'obtenir ces résultats dans un délai de 30 à 90 jours :
- 100 % des administrateurs doivent utiliser des stations de travail sécurisées
- 100 % des mots de passe des stations de travail/serveurs locaux sont randomisés
- Des atténuations de la réaffectation de privilèges de 100 % sont déployées
Détection et réponse aux ransomwares
Votre organisation doit pouvoir détecter et corriger de façon réactive les attaques courantes ciblant les points de terminaison, la messagerie et les identités. Il s'agit d'une course contre la montre.
Vous devez rapidement remédier aux points d’entrée d’attaques courants pour limiter le temps nécessaire à l’attaquant pour traverser latéralement votre organisation.
Qui est responsable dans le programme ou le projet
Ce tableau décrit l'amélioration de votre capacité de détection et de réponse face aux attaques par ransomwares sous l'angle d'une hiérarchie de parrainage/gestion de programme/gestion de projet pour déterminer et susciter des résultats.
| Lead | Implémenteurs | Responsabilité |
|---|---|---|
| Responsable de la sécurité des systèmes d'information (CISO) ou directeur informatique (CIO) | Parrainage de la direction | |
| Responsable de programme des opérations de sécurité | Susciter des résultats et une collaboration entre les équipes | |
| Équipe en charge de l'infrastructure informatique centrale | Implémenter des fonctionnalités/agents client et serveur | |
| Opérations de sécurité | Intégrer de nouveaux outils dans les processus d'opérations de sécurité | |
| Équipe en charge de la productivité de l'informatique centrale et/ou des utilisateurs finaux | Activer les fonctionnalités pour Defender for Endpoint, Defender for Office 365, Defender pour Identity et Defender for Cloud Apps | |
| Équipe en charge des identités de l'informatique centrale | Implémenter la sécurité Microsoft Entra et Microsoft Defender pour Identity | |
| Architectes de sécurité | Fournir des conseils pour la configuration, les standards et les outils | |
| Stratégie et standards de sécurité | Mettre à jour les normes et les documents de stratégie | |
| Gestion de la conformité de la sécurité | Superviser pour garantir la conformité | |
Liste de contrôle de détection et de réponse aux ransomwares
Appliquez ces bonnes pratiques pour améliorer vos capacités de détection et de réponse.
| Terminé | Tâche | Description |
|---|---|---|
| Classer par ordre de priorité les points d'entrée courants : - Utilisez les outils intégrés de détection et de réponse étendues (XDR) tels que Microsoft Defender XDR pour fournir des alertes de haute qualité et minimiser les frictions et les étapes manuelles pendant la réponse. - Être attentif aux tentatives d'attaque par force brute comme la pulvérisation de mots de passe. |
Les opérateurs (et autres) de ransomwares favorisent les points de terminaison, la messagerie, les identités et le protocole RDP comme points d'entrée. | |
| Être attentif à la désactivation de la sécurité par un adversaire (cela fait souvent partie d'une chaîne d'attaque), par exemple : - Effacement du journal des événements, en particulier le journal des événements de sécurité et les journaux des opérations PowerShell. – Désactivation des outils et des contrôles de sécurité. |
Les attaquants ciblent des fonctionnalités de détection de sécurité pour poursuivre leur attaque sans risque. | |
| Ne pas ignorer les logiciels malveillants standard. | Il est fréquent que les attaquants par ransomwares achètent leur accès aux organisations cibles sur des marchés parallèles. | |
| Intégrer des experts externes aux processus pour bénéficier de compétences supplémentaires comme l'équipe de détection et de réponse Microsoft (DART). | L'expérience compte en matière de détection et de récupération. | |
| Isoler rapidement les ordinateurs compromis à l'aide de Defender pour point de terminaison. | L'intégration de Windows 11 et 10 facilite cette tâche. | |
Étape suivante
Passez à la phase 3 pour compliquer la tâche d'un attaquant qui cherche à s'introduire dans votre environnement en éliminant les risques de manière incrémentielle.
Autres ressources de ransomware
Informations clés de Microsoft :
- The growing threat of ransomware, billet du blog Microsoft On the Issues, publié le 20 juillet 2021
- Rançongiciels d'origine humaine
- Se protéger rapidement contre les rançongiciels et l'extorsion
- Microsoft Digital Defense - Rapport 2021 (voir pages 10-19)
- Rapport d’analyse des menaces Ransomware : une menace omniprésente et continue dans le portail Microsoft Defender
- Approche et étude de cas de l'équipe de détection et d'intervention de Microsoft (DART) en matière de rançongiciel
Microsoft 365 :
- Déployer la protection contre les rançongiciels pour votre client Microsoft 365
- Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
- Récupération après une attaque par ransomware
- Protection contre les programmes malveillants et les ransomware
- Protégez votre PC Windows 10 contre les ransomware
- Gestion des ransomware dans SharePoint en ligne
- Rapports d’analyse des menaces pour les ransomware dans le portail Microsoft Defender
Microsoft Defender XDR :
Microsoft Azure :
- Azure Defenses for Ransomware Attack
- Optimiser la résilience contre les ransomwares avec Azure et Microsoft 365
- Plan de sauvegarde et restauration pour la protection contre les rançongiciels
- Protégez vos applications contre les ransomware avec la Sauvegarde Microsoft Azure (vidéo de 26 minutes)
- Récupération après une compromission de l'identité système
- Détection avancée des attaques multiphases dans Microsoft Sentinel
- Détection de fusion des rançongiciels dans Microsoft Sentinel
Microsoft Defender for Cloud Apps :
Billets de blog de l'équipe de sécurité Microsoft :
3 steps to prevent and recover from ransomware (septembre 2021)
Guide de lutte contre les rançongiciels d'origine humaine : partie 1 (septembre 2021)
Étapes clés sur la façon dont l'équipe de détection et d'intervention de Microsoft (DART) effectue des enquêtes sur les incidents de rançongiciels.
Guide de lutte contre les rançongiciels d'origine humaine : partie 2 (septembre 2021)
Recommandations et meilleures pratiques.
-
Cf. section Ransomware.
Human-operated ransomware attacks: A preventable disaster (Attaques par ransomware dirigées par une main humaine : un incident évitable) (mars 2020)
Inclut des analyses de chaîne d'attaque des attaques courantes.
Réponse aux rançongiciels : payer ou ne pas payer ? (Décembre 2019)
Norsk Hydro responds to ransomware attack with transparency (Norsk Hydro répond avec transparence à une attaque par ransomware) (décembre 2019)
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour