Les attaques ransomware sont devenues une menace de sécurité majeure. On dirait qu’une nouvelle variante est annoncée chaque semaine : Ransom32, 7ev3n. Ce malware pourrait même se trouver impliqué dans un prochain vol de données. De nouvelles variantes telles que Chimera menacent non seulement de vous faire payer une rançon pour récupérer vos données, mais aussi de les publier en ligne si vous ne payez pas.
Ces cyber extorqueurs ne sont pas des modèles de moralité. Ainsi, qui peut assurer qu’ils ne vendront pas vos données même si vous payez la rançon demandée ?
Voyons les choses en face : ils disposent d’un bon modèle commercial.
Quelle est la signature ?
Certains se sont tournés vers les solutions de sécurité des terminaux dans l’espoir que celles-ci puissent détecter et arrêter les cryptomalware. Cependant, comme le souligne un observateur, « les antivirus basés sur les signatures que la plupart des entreprises utilisent encore pour se défendre, ne peuvent pas faire face aux attaques modernes. »
Ainsi, les solutions de sécurité des postes de travail ne peuvent pas bloquer les variantes inconnues de ransomware – en mettant par exemple sur liste noire les connexions à une liste de serveurs C&C existante (mais périmée). Elles sont également liées à un périphérique, utilisateur ou processus, et ne fournissent donc pas de techniques anti heuristiques ou de débogage.
Une prévention des ransomware qui fonctionne
Si les outils de sécurité des postes de travail ne permettent pas d’arrêter les ransomware, quelle solution peut le faire ?
Le dernier rapport de recherche sur les ransomware de la Northeastern University’s a analysé 1 359 échantillons de ransomware et a révélé qu’un « examen approfondi des activités de nombreux ransomware sur le système de fichiers suggère […] qu’en protégeant la table de fichiers maître (MFT) d’un système NTFS, il est possible de détecter et de prévenir un nombre important d’attaques ransomware zero-day. »
Existe-t-il une technologie qui protégera les systèmes de fichiers selon cette idée ?
Réponse : l’analyse du comportement des utilisateurs (User Behavior Analytics, UBA). Elle constitue une mesure de prévention essentielle des ransomware.
Ainsi, l’analyse du comportement des utilisateurs (UBA) s’appuie sur l’idée que vous pouvez comparer ce que les utilisateurs d’un système font normalement (leurs activités et modèles d’accès aux fichiers) aux activités anormales d’un attaquant ayant volé des informations d’identification. D’abord, le moteur UBA analyse les comportements normaux en journalisant les actions de chaque utilisateur individuel : accès aux fichiers, ouvertures de sessions et activités réseau. Ultérieurement, l’UBA crée un profil qui décrit ce que cela signifie d’être cet utilisateur.
What you should do now
Below are three ways we can help you begin your journey to reducing data risk at your company:
- Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
- Download our free report and learn the risks associated with SaaS data exposure.
- Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Kieran Laffan
Irlandais de naissance, Kieran a rejoint Varonis en tant qu'architecte de solutions pour l'ouest du Canada avant de partir en Californie pour diriger notre équipe d'architecture de sécurité. Hélas, l'appel de l'île d'émeraude est devenu trop fort et Kieran est rentré en Irlande. Après quelques années en tant que responsable de la sécurité informatique, risque et conformité d'un groupe européen, il a rejoint Varonis où il dirige aujourd'hui l'équipe d'ingénierie des ventes qui assiste nos clients PME européens, depuis notre siège européen, à Cork, en Irlande.
