Un mois à peine après le début de la nouvelle année, les wiperwares font de nouveau parler d'eux. Le DevPro Journal note une « augmentation drastique » à partir de l'année dernière, probablement due à des conflits géopolitiques. Qu'est-ce qu'un wiperware et comment pouvez-vous protéger votre entreprise ?
Qu'est-ce qu'un wiperware ?
Les wiperwares sont souvent utilisés dans le cadre d'une attaque de type APT (advanced persistent threat) contre des infrastructures critiques. Contrairement aux attaques visant à obtenir un gain financier par l'extorsion ou le vol de données, les wiperwares ont pour seul objectif de détruire ou de causer des dégâts. Cette tactique est populaire auprès des acteurs étatiques ou des terroristes, de sorte que les attaques de ce type augmentent généralement pendant les périodes de conflit géopolitique.
Comment lutter contre les wiperware ?
Une bonne solution de détection et de réponse aux menaces des systèmes d'identité (ITDR) est comparable à un oignon, offrant plusieurs couches de protection. Les couches extérieures comprennent des stratégies telles que la formation des utilisateurs à la détection des courriels d'hameçonnage et le déploiement d'un système de détection et de gestion des postes de travail (EDR).
Mais les cyberattaquants sont de plus en plus habiles et trouvent des moyens de franchir ces couches externes. Et lorsque les attaquants parviennent à pénétrer dans votre réseau, leur prochaine cible est généralement l'infrastructure d'identité. Pour 90 % des organisations aujourd'hui, cela signifie Active Directory (AD) et Azure AD.
L'accès à votre infrastructure d'identité hybride peut permettre aux acteurs de la menace de prendre le contrôle d'actifs encore plus critiques dans votre environnement. C'est pourquoi la sécurité de l'infrastructure d'identité doit être au cœur de votre stratégie de cyber-résilience.
En gardant ce concept à l'esprit, voici trois choses que vous pouvez faire dès aujourd'hui pour renforcer la sécurité basée sur l'identité et repousser les wiperwares ainsi que d'autres formes de cyberattaques.
Étape 1 : Mise en place d'une défense à plusieurs niveaux
Les systèmes d'identité sont des cibles privilégiées pour les acteurs de la menace, et l'utilisation abusive des informations d'identification est la voie la plus populaire vers les failles de sécurité. Gartner souligne la nécessité d'une « défense en profondeur », en mettant l'accent sur l'identité.
L'EDR est un outil de sécurité important, mais il ne peut tout simplement pas être utilisé comme seul moyen de défense. La meilleure défense est une défense à plusieurs niveaux.
Aussi attrayante que puisse paraître la consolidation des fournisseurs, mettre tous ses œufs dans le même panier de sécurité présente d'importants inconvénients. La cyber-résilience exige un certain niveau de redondance afin d'éviter un point de défaillance unique, en particulier lorsqu'il s'agit de l'ITDR.
Gartner note: « Une approche stratifiée impliquant l'ITDR est le meilleur moyen d'améliorer la préparation aux cyberattaques... Combler les lacunes de l'ITDR en évaluant l'ensemble des vecteurs d'attaque et des données télémétriques couvertes. Prévoyez d'utiliser une mosaïque d'outils qui se complètent et peuvent se chevaucher pour répondre aux exigences d'une initiative ITDR complète. »
La meilleure façon de protéger le système d'identité ? Rechercher une solution ITDR qui se concentre spécifiquement sur la protection du système d'identité. Pour 90 % des entreprises, il s'agit d'Active Directory (AD) et d'Azure AD.
Étape 2. Surveillez votre AD hybride
Lorsqu'il s'agit de surveiller votre infrastructure d'identité sur site ou hybride, une surveillance régulière de la surface d'attaque de l'identité est vitale. La surveillance peut vous aider à identifier les vulnérabilités potentielles avant les attaquants.
Une stratégie de surveillance efficace doit être spécifique à AD. Les attaquants sont de plus en plus habiles et trouvent des moyens de contourner l'authentification multifacteur (MFA), l'EDR et même les solutions de gestion des informations et des événements de sécurité (SIEM) et d'orchestration, d'automatisation et de réponse en matière de sécurité (SOAR). C'est pourquoi la sécurité fondée sur l'identité exige une solution de surveillance qui fournit des informations en temps réel et des conseils exploitables.
Pour commencer, il est facile d'explorer les outils communautaires gratuits, tels que Purple Knight et Forest Druid. Purple Knight examine les indicateurs de sécurité, qu'il s'agisse d'indicateurs de compromission (IOC) ou d'exposition (IOE). Forest Druid fournit une cartographie et une gestion du chemin d'attaque du Tier 0. Des solutions payantes comme Semperis Directory Services Protector (DSP) offrent une surveillance des IOC et des IOE ainsi qu'un retour en arrière automatisé des modifications suspectes et une réponse étendue aux incidents.
Étape 3. Se préparer à la récupération
Être la cible de cyberattaques n'est plus une question de « si » mais de « quand ». Des sauvegardes testées et exemptes de logiciels malveillants de vos principaux systèmes d'identité sont indispensables. Malheureusement, notre récente enquête auprès de plus de 50 organisations montre que 77 % des personnes interrogées subiraient un impact grave ou catastrophique dans le cas d'une cyberattaque qui mettrait hors service AD.
Comment pouvez-vous améliorer vos chances de vous remettre d'une telle attaque ?
- Mettez en œuvre une sauvegarde centrée sur AD. Les sauvegardes de l'état du système et de la restauration à chaud (BMR) ne sont pas suffisantes pour défendre AD. Une sauvegarde spécifique à AD permet une restauration plus rapide de votre environnement et a une empreinte de sauvegarde plus petite. Par exemple, Semperis Active Directory Forest Recovery (ADFR) protège contre la réintroduction de logiciels malveillants et peut être automatisée pour éviter les erreurs humaines et réduire les temps d'arrêt de plusieurs heures, jours ou semaines à quelques minutes seulement.
- Incluez dans votre plan de reprise après sinistre des étapes spécifiques pour la mise en œuvre et le test des sauvegardes, de la récupération et de la maintenance critique d'AD.
- Testez vos sauvegardes et entraînez-vous régulièrement aux processus de récupération de la forêt AD afin d'être parfaitement préparé si vous devez restaurer AD.
Éliminer les menaces des wiperwares
Une stratégie de cybersécurité qui protège à la fois les terminaux et votre base d'identité centrale tout en évitant les points de défaillance uniques est votre meilleure défense contre tout ce que les cyberattaquants vous lancent, y compris les wiperwares. Inscrivez la sécurité de l'identité sur votre liste de priorités pour 2023 et vous aurez un souci de moins à vous faire.
