Les attaques ransomware sont devenues une menace de sécurité majeure. On dirait qu’une nouvelle variante est annoncée chaque semaine : Ransom32, 7ev3n. Ce malware pourrait même se trouver impliqué dans un prochain vol de données. De nouvelles variantes telles que Chimera menacent non seulement de vous faire payer une rançon pour récupérer vos données, mais aussi de les publier en ligne si vous ne payez pas.
Ces cyber extorqueurs ne sont pas des modèles de moralité. Ainsi, qui peut assurer qu’ils ne vendront pas vos données même si vous payez la rançon demandée ?
Voyons les choses en face : ils disposent d’un bon modèle commercial.
Quelle est la signature ?
Certains se sont tournés vers les solutions de sécurité des terminaux dans l’espoir que celles-ci puissent détecter et arrêter les cryptomalware. Cependant, comme le souligne un observateur, « les antivirus basés sur les signatures que la plupart des entreprises utilisent encore pour se défendre, ne peuvent pas faire face aux attaques modernes. »
Ainsi, les solutions de sécurité des postes de travail ne peuvent pas bloquer les variantes inconnues de ransomware – en mettant par exemple sur liste noire les connexions à une liste de serveurs C&C existante (mais périmée). Elles sont également liées à un périphérique, utilisateur ou processus, et ne fournissent donc pas de techniques anti heuristiques ou de débogage.
Une prévention des ransomware qui fonctionne
Si les outils de sécurité des postes de travail ne permettent pas d’arrêter les ransomware, quelle solution peut le faire ?
Le dernier rapport de recherche sur les ransomware de la Northeastern University’s a analysé 1 359 échantillons de ransomware et a révélé qu’un « examen approfondi des activités de nombreux ransomware sur le système de fichiers suggère […] qu’en protégeant la table de fichiers maître (MFT) d’un système NTFS, il est possible de détecter et de prévenir un nombre important d’attaques ransomware zero-day. »
Existe-t-il une technologie qui protégera les systèmes de fichiers selon cette idée ?
Réponse : l’analyse du comportement des utilisateurs (User Behavior Analytics, UBA). Elle constitue une mesure de prévention essentielle des ransomware.
Ainsi, l’analyse du comportement des utilisateurs (UBA) s’appuie sur l’idée que vous pouvez comparer ce que les utilisateurs d’un système font normalement (leurs activités et modèles d’accès aux fichiers) aux activités anormales d’un attaquant ayant volé des informations d’identification. D’abord, le moteur UBA analyse les comportements normaux en journalisant les actions de chaque utilisateur individuel : accès aux fichiers, ouvertures de sessions et activités réseau. Ultérieurement, l’UBA crée un profil qui décrit ce que cela signifie d’être cet utilisateur.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.
