CASB : Les solutions de sécurité en nuage permettent d’arrêter les rançongiciels dans leur sillage

Le volume et la sophistication des rançongiciels n’ont cessé d’augmenter. Le FBI a constaté que le coût des attaques par rançongiciels a augmenté de plus de 200 % pour atteindre environ 29,1 millions de dollars entre 2019 et 2020, selon le rapport sur la criminalité par Internet du FBI 2020. Entretemps, le rapport sur le facteur humain 2021 de Proofpoint a révélé que les attaquants de rançongiciels ont changé leurs méthodes. Ces derniers ciblent désormais les organisations plus importantes qui ont plus à perdre et qui sont plus incitées à payer. En d’autres termes, c’est « la chasse au gros gibier ».

La pandémie de la COVID-19 a souligné l’importance de la collaboration et de la facilité de faire des affaires. De nos jours, de nombreuses organisations exploitent principalement des applications en nuage et mènent leurs affaires à l’extérieur des bureaux de l’entreprise. Les employés ne sont pas les seuls à utiliser des applications nuagiques. Dans une étude des données de 2020 avec plus de 20 millions d’utilisateurs du nuage, la recherche de Proofpoint a confirmé que les attaquants nous ont suivis dans le nuage :

• 52 % de toutes les organisations ont eu au moins un compte (ou utilisateur) en nuage compromis dans leur organisation
• 32 % de ces organisations compromises ont admis avoir eu des activités après l’accès, comme la manipulation de fichiers, le transfert de courriels et l’activité d’applications OAuth

Plus tard, vous verrez comment ces deux statistiques démontrent la prévalence du nuage à l’étape d’accès initial (pensez à : la compromission du compte en nuage) et l’étape de consolidation (pensez au : mouvement latéral entre les applications et les comptes en nuage).

La prévention, la détection et la résolution des attaques par rançongiciels en nuage nécessitent une stratégie complète. Nos partenaires de Proofpoint offrent une solution complète pour compléter votre stratégie, y compris la protection contre les menaces, la sensibilisation à la sécurité et la sécurité en nuage. De nombreuses organisations ont découvert qu’une solution CASB moderne, intégrée et centrée sur les personnes peut jouer un rôle essentiel dans la réduction des attaques par rançongiciels en nuage, en particulier avec la technologie d’isolement.

CASB (ou « cas-bee ») est un acronyme désignant une passerelle sécurisée d’accès au nuage. C’est un intermédiaire entre les utilisateurs et les plateformes infonuagiques qui protègent les données dans le nuage tout en répondant aux préoccupations d’autorisation et de visibilité des entreprises qui tirent parti des services en nuage. Le terme CASB a été inventé par Gartner en 2010. Comme l’explique Gartner, les solutions CASB comblent les lacunes en matière de sécurité associées aux services et plateformes en nuage de tiers, qui ne sont pas sous votre contrôle, mais qui traitent et stockent vos données.

Les CASB modernes sont infonuagiques et peuvent être déployées en plusieurs modes. La valeur temps la plus rapide est atteinte grâce à l’API du nuage sans agent. Pour une inspection renforcée du trafic en temps réel, vous pouvez choisir une approche sans agent pour un proxy inverse ou un contrôle d’accès adaptatif qui fonctionne parfaitement pour les applications et les appareils non gérés, approuvés par les services informatiques. L’autre option est le « forward proxy » qui exécute un petit client de point de terminaison pour inspecter et contrôler le trafic sur les appareils gérés et toute application en nuage approuvée et tolérée par les services informatiques.

Lorsque vous traitez avec des attaquants de rançongiciels, vous traitez avec des appareils non gérés qui ont compromis les comptes de votre utilisateur. L’architecture CASB appropriée reposera sur un proxy inverse ou un contrôle d’accès adaptatif.

Ce qui est surprenant, c’est que le courriel et Internet demeurent les principaux vecteurs d’attaque pour les rançongiciels. De plus, la plupart des attaques par rançongiciels se produisent sur plusieurs étapes. Le chiffrement réel des données est l’une des dernières étapes de l’attaque par rançongiciel.

Les équipes de recherche sur la sécurité infonuagique de Proofpoint fournissent aux clients des renseignements détaillés sur les menaces et les campagnes qui ciblent les applications et les comptes sur le Web et en nuage. Selon les recherches de Proofpoint, les attaques par rançongiciels peuvent être classées en quatre vecteurs d’attaque uniques, mais intégrés :

Au cours de la phase d’accès initial, un attaquant cherche un moyen de s’immiscer dans l’organisation. Bien que cela puisse être initié à partir d’une vulnérabilité logicielle ou d’un accès à un protocole de bureau à distance, la majorité des violations proviennent du piratage social par courriel et sur Internet.

Dans le contexte du nuage, nous voyons des attaquants envoyer des leurres d’hameçonnage dans le but de voler le domaine de l’utilisateur, ou des identifiants de compte à connexion unique. Au début des années 2021, Proofpoint a été témoin d’une escroquerie au vaccin dans laquelle des acteurs malveillants ont ciblé des dizaines de secteurs aux États-Unis et au Canada. Les auteurs de cette menace ont demandé aux utilisateurs de confirmer de toute urgence leurs identifiants de courriel pour recevoir un vaccin contre la COVID-19. Les résultats ont alors été utilisés pour voler les identifiants d’accès aux courriels afin de les transformer en accès initial pour prendre le contrôle de leurs comptes.

Après avoir réussi à récolter ces identifiants d’authentification, les auteurs de cette menace ont voulu établir plusieurs comptes infonuagiques compromis. Ils ont ensuite utilisé le nouveau compte compromis pour leurrer quelques collègues de l’utilisateur compromis. En effet, les employés sont plus susceptibles de faire confiance aux courriels de leurs pairs qu’à ceux d’étrangers.  

Comment Proofpoint vous protège à l’étape d’accès initial :

• Les courriels sont protégés contre les fichiers malveillants et autres messages suspects transmis par voie électronique
• La solution CASB de Proofpoint peut détecter les connexions suspectes dans les applications approuvées par les services informatiques
• Cette détection éprouvée combine le contexte centré sur les personnes de Very Attacked People™ (à savoir : les plus exposés aux attaques), les renseignements sur les menaces par courriel, les couches Web et infonuagiques, et l’analyse du comportement des utilisateurs en apprentissage machine (à savoir : changements dans les modèles de connexion)
• La solution CASB peut bloquer ou acheminer des connexions extrêmement suspectes pour accéder aux applications dans des environnements isolés et hors réseau, le tout en temps réel
• En arrière-plan, Proofpoint peut corriger les connexions suspectes dans les applications en nuage fédérées par Microsoft Active Directory, Okta et Google. Plus de 7000 applications ultra courantes en nuage sont couvertes pour les entreprises

Grâce à la solution CASB, vous pouvez empêcher les attaquants d’exploiter les identifiants recueillis et de poursuivre au-delà de l’étape d’accès initial.

Au cours de la phase de consolidation, l’attaquant tente d’accéder à des renseignements sensibles aux points de terminaison. Poursuivons l’exemple d’utilisateurs qui recueillent des identifiants de compte en nuage. Les acteurs de menaces tentent généralement de découvrir les contacts récents, les données sensibles et les applications en nuage auxquelles ils peuvent accéder en fonction des identifiants volés. Après cette étape, ils souhaiteront répandre le rançongiciel latéralement pour infecter plus d’appareils et maximiser leur rançon. Ainsi, les pirates peuvent charger des fichiers malveillants dans les applications de stockage en nuage pour les partager plus largement. En partageant le rançongiciel par l’entremise des applications de clavardage, de courriel et de stockage en nuage dans l’organisation, les attaquants sont plus susceptibles d’hameçonner et d’infecter d’autres utilisateurs.

Dans un deuxième temps, au cours de la phase de préparation, les sauvegardes sont généralement détruites, les données sensibles et la propriété intellectuelle sont détruites. Pour finir, les acteurs des rançongiciels adoptent ces tactiques à double extorsion, en menaçant de divulguer les renseignements si la rançon n’est pas payée.

Comment Proofpoint vous protège dans les étapes de consolidation et de préparation :

• La solution CASB vous donne une excellente visibilité pour illustrer la propagation latérale ou le risque pour vos données en raison d’un compte compromis. Proofpoint établit une corrélation entre les connexions suspectes et les activités associées après l’accès, comme le mouvement latéral et la confirmation d’un accès persistant, dans une vue centrée sur les personnes de la plateforme
• CASB surveille vos applications en nuage pour détecter tout chargement de fichiers malveillants et tout partage excessif de fichiers ou de données sensibles
• La solution CASB peut automatiser des mesures correctives et d’autres actions d’atténuation pour contenir le mouvement latéral des attaquants
• La solution CASB peut isoler le trafic compromis dans les applications approuvées par les services informatiques en temps réel pour contenir intelligemment les téléchargements, les chargements et le partage de fichiers potentiellement infectés
• La solution CASB peut empêcher l’exfiltration de données de fichiers sensibles ou de propriété intellectuelle à partir d’applications approuvées par les services informatiques en temps réel

À l’aide de la solution CASB, nous pouvons limiter les déplacements latéraux des attaquants et leur capacité à voler des données pour ses tactiques à double extorsion. Les solutions CASB clés peuvent s’intégrer aux solutions de sécurité des points de terminaison afin de mieux se protéger contre les rançongiciels sur les courriels, le nuage et les points de terminaison.

Une fois que tous les systèmes ont été identifiés et infectés et que les informations ont été recueillies, l’auteur de la menace envoie la charge utile du rançongiciel. Généralement, cela se produit par le même canal que celui utilisé pour exfiltrer des données. Les appareils et les serveurs précédemment infectés disposent de la charge utile du rançongiciel téléchargé, qui chiffre alors les lecteurs pour les rendre inutilisables. Étant donné que les attaquants tentent normalement de désactiver les sauvegardes pendant la phase de consolidation et de préparation, la plupart des organisations infectées ne peuvent pas se fier à leurs sauvegardes pour rétablir le service. Après le chiffrement des données, les attaquants passent à la phase finale.

Proofpoint se concentre sur l’arrêt des attaquants à chacune des étapes précédentes afin que vous puissiez au moins stopper l’exfiltration de données sensibles, protéger les fichiers exposés et empêcher le partage de fichiers, ou encore les piratages de comptes à l’étape initiale.

Au cours de cette dernière phase, l’attaquant ayant volé et chiffré les données exige une rançon en contrepartie du déchiffrement des systèmes. N’oubliez pas que l’auteur de la menace détient la clé de déchiffrement nécessaire pour restaurer les systèmes. Si l’organisation de la victime ne veut pas payer pour que les fichiers soient déchiffrés, les attaquants disposent de trois moyens principaux pour forcer le paiement des rançons.

La première menace consiste à divulguer des données en ligne, ce qui causerait probablement des dommages irréparables à l’entreprise, à ses employés et à ses clients en raison de la confidentialité des renseignements volés. La deuxième menace consiste à vendre les données exfiltrées au meilleur offrant, normalement sur le Web clandestin (ou Dark Web). La vente de données revient à donner un accès aux données à plusieurs attaquants. La troisième menace consiste à envoyer des courriels aux clients et aux partenaires de l’organisation dans le but de divulguer leurs données. L’organisation serait exposée à une énorme pression pour payer la rançon pour éviter tout dommage à sa réputation, toute perte de revenus futurs, toute perte de clients ou de chiffre d’affaires à venir.

Enfin, toute panne de son environnement pendant une période prolongée risque d’être catastrophique dans la mesure où l’organisation peinera à maintenir ses activités. Dans certains cas, les organisations attaquées par rançongiciels n’ont pas réussi à se remettre de ce temps d’indisponibilité opérationnelle dans un délai raisonnable pour assurer la continuité de leurs activités. C’est pourquoi, il est essentiel d’investir dans des solutions de sécurité infonuagiques capables d’atténuer toute attaque par rançongiciel avant d’en arriver à cette ultime étape désastreuse.

La solution CASB de Proofpoint protège les utilisateurs d’applications d’entreprise contre les menaces, la perte de données et les risques de conformité grâce à cinq piliers :

• Visibilité centrée sur les personnes : elle associe la sensibilisation aux menaces, le contexte comportemental des utilisateurs et la surveillance du contenu pour simplifier la détection et accélérer l’intervention des équipes de sécurité et de services informatiques. Cela comprend la visibilité des points d’accès vidéo avec l’intégration à Proofpoint Threat Protection.
• Protection avancée éprouvée contre les menaces : elle protège vos utilisateurs et vos applications en nuage contre la prise de contrôle de compte, les fichiers malveillants, l’exfiltration de données malveillantes et le partage excessif de renseignements sensibles. Proofpoint intègre l’intelligence du courriel, des applications en nuage, des URL et du Web dans Proofpoint Nexus Threat Graph.
• Sécurité des données sensibles aux risques : elle intègre la prévention des pertes des données dans le nuage, le courriel, les points de terminaison et les canaux Web via Proofpoint Information Protection. Cela permet un accès conscient des risques aux données sensibles et protège le contenu confidentiel contre les fuites et l’exfiltration par les utilisateurs.
• Gouvernance des applications en nuage : elle découvre les applications en nuage, vérifie les risques de sécurité et de conformité et permet de juguler les TI fantômes, y compris des applications OAuth tierces qui accèdent aux données Microsoft 365 et Google Workspace.
• Valeur temps rapide : elle commence par l’intégration de l’API CASB sans agent à vos applications infonuagiques et autres produits Proofpoint pour bénéficier d’une visibilité immédiate avant de configurer des règles. Ajoutez à cela la solution CASB de Proofpoint en mode Forward Proxy et Proxy inverse pour une meilleure protection contre les menaces en temps réel et contre les pertes de données.

CDW pense que la solution CASB est un moyen excellent pour combler l’écart entre la stratégie de sécurité infonuagique et l’adoption. L’équipe des solutions CDW peut vous aider à sélectionner et à évaluer la solution CASB adaptée en fonction de vos besoins et de votre budget. Si vous choisissez les services professionnels, notre équipe vous aidera aussi à concevoir et mettre en œuvre la solution choisie.

CDW peut évaluer et examiner les contrôles généraux des TI qui nécessitent une mise en œuvre à divers degrés d’implication, libérant ainsi le personnel qui travaillera alors sur des livrables commerciaux stratégiques, tout en allégeant le fardeau lié à la gestion des vérifications stressantes, des exigences législatives et réglementaires complexes. Notre expertise est appuyée par une gamme de certifications de l’industrie et de partenaires.