D’ailleurs récemment, les ransomwares ont fait la Une de l’actualité de nouveau.
Ces attaques commencent de différentes manières : certaines commencent par un email d’hameçonnage (phishing), d’autres par des pirates exploitant les vulnérabilités des piles réseau pour pouvoir mettre un pied dans un système et passer rapidement à d’autres systèmes sur le réseau. La vulnérabilité de réseau la plus célèbre exploitée dans une attaque de ransomware a été EternalBlue il y a quelques années. Mais depuis lors, de nouvelles vulnérabilités telles que BlueKeep ont été découvertes (et des correctifs ont été mis à disposition), mais de nombreux réseaux restent vulnérables.
Malheureusement, nombre de ces vulnérabilités de pile réseau sont de type “ver” (worm), signifiant ainsi que les pirates et les malwares peuvent exploiter ces failles de manière automatisée et sans interaction avec l’utilisateur, permettant ainsi à l’infection de se propager rapidement et facilement à un vaste groupe de systèmes.
Le déploiement d’une solution de protection des systèmes endpoint anti-ransomware de dernière génération, tel que Sophos Intercept X, et la mise en place d’une stratégie de gestion des correctifs stricte sont sans aucun doute les bonnes pratiques à adopter. Mais il existe également d’autres pratiques recommandées que vous devriez prendre en compte pour éviter les ransomwares, les pirates et les attaques hors de votre réseau.
Votre pare-feu fournit une protection essentielle contre les exploits tels que EternalBlue et BlueKeep en fermant ou en protégeant les ports vulnérables, ainsi qu’en bloquant les attaques à l’aide d’un système IPS (Intrusion Prevention System). Le système IPS examine le trafic réseau à la recherche de vulnérabilités, puis exploite et bloque toute tentative des attaquants qui aurait pour objectif de traverser votre périmètre réseau, voire de dépasser les limites ou les segments de votre réseau interne.
Bien que nous ayons un guide complet sur la façon de protéger votre réseau, voici les bonnes pratiques essentielles en matière de pare-feu pour empêcher les attaques de ransomware de pénétrer et de se déplacer latéralement sur votre réseau :
- Réduisez la surface d’attaque : Passez en revue et réexaminez toutes les règles de redirection de port afin d’éliminer les ports ouverts non essentiels. Dans la mesure du possible, utilisez un réseau privé virtuel (VPN) pour accéder aux ressources du réseau interne depuis l’extérieur plutôt que la redirection de port. Concernant le RDP, assurez-vous que le port 3389 ne soit pas ouvert au niveau de votre pare-feu.
- Utilisez la protection IPS : Mettez en place une protection IPS appropriée aux règles régissant le trafic à destination/en provenance des hôtes Windows de votre réseau.
- Minimisez les risques de mouvements latéraux : Utilisez XG Firewall et Synchronized Security pour vous protéger contre les menaces se déplaçant latéralement sur votre réseau et envisagez de segmenter vos LAN en sous-réseaux plus petits, en les affectant à des zones séparées sécurisées par le pare-feu. Appliquez des règles IPS appropriées aux règles régissant le trafic traversant ces zones afin d’empêcher les vers (worms) et les bots de se propager entre les segments du LAN.
XG Firewall et Synchronized Security constituent votre meilleure protection contre les menaces les plus récentes grâce à une protection et des performances de dernière génération. Arrêtez les dernières attaques avant même qu’elles n’aient été lancées.
Téléchargez notre guide pour en savoir plus.
Billet inspiré de Firewall best practices to protect against ransomware, sur Sophos nakedsecurity.