Les attaques de ransomware évoluent plus vite que jamais. Pour les équipes IT et de sécurité déjà surchargées, garder une longueur d’avance peut sembler impossible, mais ce n’est pas une fatalité.
La combinaison adéquate d’un pare-feu et d’une sécurité des systèmes endpoint permet de stopper les ransomwares avant qu’ils ne se propagent et de rétablir la confiance en périphérie de votre réseau.
Pour aider les organisations à s’orienter dans ce paysage de menaces en constante évolution, Chris McCormack, Sophos Network Security Specialist chez Sophos, a présenté comment les défenses intégrées et basées sur Sophos Firewall et Sophos Endpoint pouvaient réduire les risques et rétablir la confiance. Voici cinq points clés à retenir suite à notre récent webinaire intitulé “Rebuilding Trust at the Edge : A Smarter Approach to Firewall Security”.
Réduisez votre surface d’attaque
Chaque système exposé constitue un point d’entrée potentiel. Consolider et sécuriser l’infrastructure limite les opportunités d’attaque et rend vos défenses plus simples et plus efficaces.
“Les bonnes pratiques pour éviter d’être attaqué ou ciblé sont peut-être les plus importantes”, a déclaré McCormack lors du webinaire. “Ces mesures réduisent votre surface d’attaque ou le risque d’être attaqué, consistant ainsi principalement à minimiser l’infrastructure exposée et à s’assurer que ce qui est exposé est bien protégé afin que ce ne soit pas une cible attrayante, ou du moins pas aussi attrayante que celle d’une autre organisation”.
Commencez par identifier tout ce qui est exposé à Internet, supprimez ce qui est inutile et renforcez la sécurité de ce qui doit absolument rester connecté. Moins vous offrirez de cibles potentielles, plus il sera difficile pour les attaquants de s’infiltrer, et plus il sera facile pour votre équipe de se défendre.
Concevoir des systèmes sécurisés dès le départ
La sécurité ne doit pas être un composant ajouté après-coup, elle doit être intégrée dès la conception. Les systèmes exposés à Internet doivent être correctement configurés, mis à jour en permanence et protégés contre les attaques.
“Assurez-vous de choisir un éditeur capable de fournir des mises à jour automatiques over-the-air ou des correctifs critiques qui ne nécessitent aucune intervention de votre part”, a déclaré McCormack. “Vous ne devriez pas avoir à programmer une mise à jour du firmware ou à redémarrer votre réseau à chaque fois qu’une nouvelle vulnérabilité est découverte”.
Les correctifs automatisés, les politiques robustes par défaut et la configuration gérée depuis le Cloud via Sophos Central simplifient les opérations de sécurité, même pour les petites équipes IT. L’utilisation de mots de passe robustes, l’activation de l’authentification multifacteur et l’application des principes de Confiance Zéro (Zero-Trust) constituent des contrôles de base permettant d’empêcher de potentiels attaquants de pénétrer au sein de vos systèmes.
Adoptez l’approche ZTNA (Zero Trust Network Access)
Les VPN traditionnels partent du principe que la connexion est établie. L’approche ZTNA renverse ce modèle : aucun utilisateur ni appareil n’est considéré comme fiable par défaut.
Sophos ZTNA vérifie l’identité et l’état de sécurité de l’appareil avant d’accorder l’accès, réduisant ainsi considérablement le risque de mouvement latéral si un attaquant devait s’emparer d’identifiants.
“Je ne saurais trop insister sur l’importance d’utiliser l’approche [ZTNA], qui consiste à ne croire en rien et à tout vérifier”, a déclaré McCormack. “Le vol d’identifiants [est] une cause principale des attaques de ransomware. Car de nombreux pare-feu, de nombreuses organisations et systèmes de sécurité réseau partent du principe que si vous possédez ces identifiants, nous vous faisons confiance. L’approche ZTNA résout ce problème”.
Intégré à la plateforme Sophos Central, Sophos ZTNA (Zero Trust Network Access) offre une visibilité et un contrôle unifiés sur les utilisateurs, les appareils et les applications, à partir d’une interface unique. C’est une méthode plus intelligente et plus sûre pour connecter les utilisateurs distants et garantir la légitimité de chaque interaction avec votre réseau.
Ne laissez pas le trafic chiffré dissimuler des menaces
La majeure partie du trafic internet étant désormais chiffrée, les attaquants l’utilisent pour masquer leurs mouvements.
Sophos Firewall utilise une inspection TLS intelligente et des analystes assistés par l’IA pour révéler les menaces cachées, sans compromettre les performances.
“Il existe aujourd’hui des technologies qui exploitent l’IA pour découvrir les communications et le trafic réseau chiffrés et générés par les menaces sans avoir à effectuer le travail fastidieux de déchiffrement de ce trafic”, a-t-il déclaré.
En combinant l’inspection approfondie des paquets avec les renseignements sur les menaces (Threat-Intelligence) de Sophos X-ops, Sophos Firewall détecte et bloque les malwares, le trafic command & control et les exploits au sein même des sessions chiffrées, garantissant ainsi que les attaquants ne puissent pas se cacher à la vue de tous.
Détecter et contrer rapidement les menaces actives
Même avec des défenses solides, des incidents peuvent toujours se produire, et la rapidité est alors primordiale.
Segmentez votre réseau pour contenir les menaces, surveillez le trafic est-ouest avec Sophos Network Detection and Response (NDR) et unifiez la réponse grâce à Sophos XDR (Extended Detection and Response).
“Les technologies comme le NDR sont généralement réservées aux grands réseaux professionnels, mais nous les mettons à la disposition de tous et ce gratuitement”, a déclaré McCormack. “Ainsi, si une menace est détectée par l’un de nos produits ou par un analyste, cette information est immédiatement partagée avec tous les autres logiciels et la réponse se déclenche automatiquement”.
Sophos XDR et NDR fonctionnent ensemble pour offrir une visibilité complète sur les systèmes endpoint, les pare-feu et les emails en corrélant les données afin de repérer les comportements suspects, d’isoler les appareils compromis et de stopper les attaquants dans leur élan. Cette défense synchronisée, alimentée par des renseignements (intelligence) en temps réel, offre aux équipes de sécurité une rapidité et une confiance de niveau professionnel.
Ces stratégies constituent des étapes essentielles pour protéger votre organisation contre les ransomwares. Vous souhaitez en savoir plus sur la manière avec laquelle Sophos peut vous aider ? Contactez un expert dès aujourd’hui.
Billet inspiré de 5 ways to strengthen your firewall and endpoint’s defenses against ransomware, sur le Blog Sophos.
