Comment protéger vos données contre les ransomwares et la double extorsion

Depuis des années, les programmes malveillants sont l’ennemi juré des entreprises, les ransomwares constituant une menace extrêmement redoutable. Bloquer les fichiers des victimes en les chiffrant et exiger une rançon pour les déchiffrer s’est révélé être une tactique très efficace pour les cybercriminels, comme le rappelle le flux constant des attaques récentes. Cependant, ces hackers perfectionnent sans cesse leurs tactiques et se sont récemment tournés vers la double extorsion, qui consiste à menacer de divulguer les fichiers sensibles des victimes afin d’augmenter leurs chances d’obtenir le paiement d’une rançon. Les attaques de la chaîne d’approvisionnement de type Kaseya sont un autre exemple de la sophistication croissante des ransomwares. Dans tous les cas, une attaque peut perturber les activités de l’entreprise, nuire à la réputation de la marque, entraîner des coûts financiers importants, etc.

Les pirates sont constamment à la recherche de cibles faciles à attaquer pour contourner les défenses des entreprises. Ces dernières années, les applications SaaS sont devenues des proies particulièrement attirantes. Les applications SaaS sont conçues pour permettre un partage rapide des fichiers et favoriser la collaboration et l'automatisation. Par conséquent, une fois installé, le ransomware peut facilement se propager aux applications connectées et aux appareils des utilisateurs. Par ailleurs, les applications SaaS renferment un grand nombre de fichiers susceptibles d'être dérobés et exploités à des fins de double extorsion. Une mauvaise configuration des applications SaaS, riches en données, peut engendrer des failles dangereuses susceptibles de faciliter l'accès d'acteurs malveillants aux données de l'entreprise. La plupart des applications SaaS n'offrent malheureusement aucune protection native contre les menaces, et les quelques applications qui en sont dotées ne disposent pas de la sophistication technologique nécessaire pour identifier les menaces de type « zero-day », et se limitent à la détection des menaces connues. Pire encore, les technologies de sécurité traditionnelles (sous la forme d'appliances matérielles sur site peu évolutives) ne sont pas conçues pour lutter contre les logiciels malveillants ni pour protéger les données dans notre monde où le cloud est omniprésent et où le travail à distance est privilégié.

Comblez les failles

Les entreprises ont besoin d'une défense complète contre la prolifération des programmes malveillants et des ransomwares à la fois au sein de leurs applications SaaS et entre elles. Cela exige une solution de sécurité conçue pour le monde moderne du cloud computing et capable de défendre contre les programmes malveillants pour n'importe quel utilisateur, n'importe quel appareil et n'importe quelle application sur n'importe quel réseau (sans qu'il soit nécessaire d'effectuer le backhaul du trafic vers une appliance sur site). Une telle solution doit être capable de prévenir le téléchargement de fichiers infectés vers des applications en cloud, mais elle doit également être capable d'identifier les menaces qui ont déjà pénétré le cloud. Les entreprises doivent également avoir la certitude que la solution qu'elles ont choisie est en mesure de les protéger contre toutes les menaces, y compris les ransomwares de type « zero-day », et pas uniquement contre des programmes malveillants connus. En cas d'attaques de double extorsion (de plus en plus courantes), les entreprises doivent également être en mesure d'empêcher l'exfiltration de leurs données par le biais des SaaS.

Contrôler la kill chain avec Cloud DLP
En général, lorsqu'un ransomware parvient à infiltrer une entreprise, les cybercriminels commencent rapidement à s'approprier les données. Comme mentionné précédemment, le vol de données avec la menace de les divulguer constitue une stratégie courante pour augmenter les chances de paiement d'une rançon. Même si les sociétés ne se sentent pas obligées de payer pour le déchiffrement, la menace de divulgation de leurs données peut s'avérer une incitation suffisante. Toutefois, pour que la double extorsion se révèle efficace, les acteurs malveillants doivent réussir à exfiltrer les données de l'entreprise. C'est là que la prévention des pertes de données (DLP) dans le cloud se révèle particulièrement précieuse. Les principales solutions DLP examinent le contenu et le contexte des fichiers sortants et le cas échéant, empêchent leur déplacement pour éviter toute fuite. Cela perturbe la chaîne d'attaque en empêchant les acteurs malveillants de dérober les données des applications SaaS grâce auxquelles ils pourraient se livrer à une double extorsion.

Comment le CASB contribue à lutter contre les ransomwares

Les Cloud Access Security Brokers (CASB), qui servent de points de visibilité et de contrôle dans le cloud, peuvent également contribuer à relever le défi posé par les ransomwares. Plus particulièrement, un CASB multimode achemine le trafic par proxy pour sécuriser les données en mouvement en temps réel, et s'intègre aux interfaces de programmation d'applications (API) pour sécuriser les données au repos dans le cloud. Il peut par conséquent empêcher le téléchargement de fichiers malveillants dans les applications SaaS et réagir aux programmes malveillants et aux ransomwares déjà installés dans les applications cloud de l'entreprise. Les principaux CASB offrent une protection avancée contre les menaces (ATP) capable d'identifier n'importe quelle menace, même les ransomwares zero-day, grâce à des intégrations solides avec le cloud sandboxing. En tant que solutions cloud-native, les principaux CASB ne nécessitent aucune appliance matérielle dans les data centers et offrent des protections évolutives et omniprésentes.

Corriger les erreurs de configuration avec le CSPM

Le déploiement et la gestion d'une application SaaS ou d'une instance IaaS impliquent une configuration adéquate de nombreux paramètres afin de garantir le bon fonctionnement et la sécurité de l'application. En cas de mauvaise configuration, des acteurs malveillants peuvent accéder aux systèmes de l'entreprise, par exemple pour placer un payload de ransomware ou pour exfiltrer des données à des fins de double extorsion. Le Cloud security posture management (CSPM) peut remédier à ces vulnérabilités en identifiant les mauvaises configurations susceptibles d'être exploitées par des hackers. À titre d'exemple, si des référentiels de données sensibles (tels que les compartiments de stockage AWS S3) peuvent être librement consultés depuis Internet en raison d'une mauvaise configuration, le CSPM permet de rapidement localiser le problème et d'y remédier.

Choisir la bonne approche de protection

Une approche intégrée permet de stopper les ransomwares tout au long de la kill chain, sans la complexité inhérente au déploiement et à la gestion de plusieurs produits ponctuels. Zscaler Cloud DLP, le CASB, et le CSPM sont des composants essentiels de Zero Trust Exchange intégré tout comme les technologies de pointe SWG et ZTNA. En d'autres termes, Zscaler dispose de tout ce qui est indispensable aux sociétés pour se défendre de manière exhaustive contre les programmes malveillants et les ransomwares (ainsi que pour répondre à leurs exigences en matière de secure access service edge [SASE]).

Le DLP de l'entreprise apporte l'étendue et la profondeur des fonctionnalités nécessaires pour empêcher l'exfiltration des données et déjouer la double extorsion, de dictionnaires prédéfinis et personnalisables à l'Exact Data Match (EDM) et à l'Indexed Document Matching (IDM). Le CASB multimode de Zscaler protège les applications SaaS des entreprises contre les infections par des programmes malveillants et des ransomwares ; les menaces en transit sont détectées et bloquées via un proxy en temps réel, tandis que les fichiers malveillants au repos peuvent être identifiés et mis en quarantaine ou supprimés par le biais de l'API. La technologie de pointe de protection avancée contre les menaces (ATP) est optimisée par 160 milliards de transactions quotidiennes sur la plateforme et 100 millions de menaces détectées chaque jour. Zscaler Cloud Sandbox, optimisé par l'apprentissage automatique, identifie et bloque en toute sécurité les menaces de type zero-day tant au chargement qu'au repos. Le CSPM de la plateforme analyse les instances SaaS et IaaS à la recherche d'erreurs de configuration potentiellement fatales susceptibles de permettre des attaques, hiérarchise les risques détectés et permet aux organisations de réagir avant que les acteurs malveillants ne puissent agir. 

Vous souhaitez en savoir plus sur la protection contre les ransomwares et sur la façon dont Zscaler peut vous aider ? En savoir plus ici. 

Pour en savoir plus sur la façon dont Zscaler peut vous aider à sécuriser vos données sensibles, téléchargez notre e-book.