Il est temps de protéger vos serveurs contre la nouvelle vague de ransomware

Server roomNous poursuivons nos réflexions et posts sur le ransomware, cette véritable plaie pour les équipes de sécurité informatique. Lorsque la menace se propage au sein de votre environnement informatique, elle peut mettre à l’arrêt vos activités métier, mais aussi bloquer tout accès à des données critiques pendant des jours, si ce n’est indéfiniment. A la clé, une indisponibilité de services, une perte de productivité et un impact particulièrement délétère en matière de réputation corporate et de rentabilité. D’aucuns estiment qu’il faut neutraliser le ransomware au niveau des passerelles email et Web, et aussi mieux sensibiliser les utilisateurs pour les aider à identifier un fichier suspect. Efficace certes, mais pas suffisant. En effet, les cybercriminels utilisent également un vecteur d’attaque qui cible directement vos serveurs : les vulnérabilités non patchées et les systèmes/applications obsolètes (ne bénéficiant plus de support).

C’est la raison pour laquelle la sécurité des serveurs devient une pièce maîtresse des couches de défense des organisations pour maîtriser efficacement le risque d’une attaque par ransomware.

Le patching : trop long, trop fastidieux ?

Les serveurs hébergent vos données de valeur, et il est tout naturel que les criminels s’en prennent à eux, via, par exemple, de nouvelles menaces comme SAMSAM, un ransomware qui exploite directement les vulnérabilités non-patchées sur les serveurs. Cette menace a ainsi lourdement pesé sur l’activité de 10 hôpitaux aux Etats-Unis faisant parti du réseau MedStar.

Le patching est considéré comme essentiel par tous les professionnels de l’informatique. Mais cette opération n’est pas toujours simple au sein d’environnements IT complexes et hétérogènes, qui impliquent de devoir gérer des mécanismes de patching multiples. Pour les systèmes critiques, le déploiement de patchs est parfois retardé par des organisations qui n’ont tout simplement pas le temps de tester ces patchs avant de généraliser leur déploiement. Selon certaines estimations, une entreprise prendrait en moyenne de 100 à 120 jours pour généraliser le déploiement d’un patch après découverte d’une vulnérabilité ou d’un bug. Mais un seul jour suffit pour tirer parti d’une vulnérabilité identifiée par les cybercriminels… De plus, pour des raisons opérationnelles ou financières, de nombreuses organisations continuent à utiliser des systèmes ne bénéficiant plus de support comme Windows 2003 : sans patch de sécurité, ces systèmes sont plus vulnérables aux infections.

Associer les bonnes fonctionnalités de sécurité

Pour pallier cette problématique, il s’agit d’activer des solutions de sécurité serveur comme Trend Micro Deep Security, conçues pour sécuriser les serveurs en environnement physique, virtuel ou cloud. Cette sécurité est un véritable bouclier qui protège les serveurs contre de nombreuses menaces, et notamment le ransomware. Cette solution unifie différentes fonctionnalités et constitue un bon moyen de renforcer sa sécurité et d’alléger les coûts d’administration. Parmi ces fonctionnalités essentielles proposées par Deep Security :

  • Analyse antimalware et réputation Web, qui tire parti des données de Smart Protection Network, pour stopper les logiciels malveillants ciblant les serveurs et cloque communication sortante vers des domaines malveillants.
  • Sécurité réseau, avec prévention des intrusions qui empêche toute exploitation de vulnérabilité ( et notamment pour les applications en fin de support comme Windows 2003) et l’installation potentielle de logiciels malveillants (ransomware notamment). La solution détecte et prévient également les mouvements internes des ransomware qui cherchent à passer d’un serveur à un autre.
  • Sécurité système, avec notamment un monitoring de l’intégrité qui offre une visibilité sur les modifications systèmes sur les fichiers, ports, et davantage (suspicion d’activité malveillante).

Deep Security offre également ces fonctions spécifiques aux ransomware:

  • Détection des communications Command and Control (C&C) et alertes, ce qui apporte à votre organisation une visibilité sur l’éventuelle présence d’un ransomware au sein de votre réseau.
  • Détection et prévention des activités : Deep Security identifie, neutralise et alerte lorsqu’un ransomware tente de s’infiltrer dans un data center via un utilisateur pirate qui se connecte à un serveur Windows ou Linux.

Les cybercriminels ont trouvé dans le ransomware un vrai moyen de se faire de l’argent et ils continueront à adapter leurs attaques pour contourner les outils de défense en place. D’où la nécessité pour chaque organisation d’adapter également son arsenal de sécurité pour maîtriser les risques sur tous les vecteurs d’infection. Trend Micro recommande la sécurité des serveurs en tant que nouveau module qui vient renforcer une stratégie de défense multicouche, et englobant la protection au niveau de la passerelle email et Web, mais aussi des endpoints et du réseau.

Leave a Reply

Your email address will not be published. Required fields are marked *