Les experts en cybersécurité exhortent les gouvernements et les entreprises à considérer les attaques de ransomware comme une menace sérieuse. Des entreprises comme Amazon, Google et Microsoft ont exhorté le gouvernement américain à désigner les attaques de ransomware comme une menace pour la sécurité nationale et à introduire des changements radicaux de politique afin de les combattre. Pendant la pandémie, le nombre d'attaques de ransomware a considérablement augmenté. Selon KPMG, il existe des preuves que les chances de réussite d'une attaque de ransomware sont nettement plus élevées en télétravail. Cela est en partie dû à la faiblesse des consoles informatiques à domicile ainsi qu'au fait que les attaquants utilisent des leurres sur le thème du Covid-19 pour encourager les utilisateurs à cliquer sur des liens et capitalisent sur les niveaux d'anxiété accrus pendant la pandémie, certains de ces leurres incluent des informations sur les vaccins, les masques et les désinfectants pour les mains. Il ne suffit pas aux entreprises d'éduquer leurs employés à se prémunir contre de telles attaques, la sophistication croissante des attaques de ransomware a rendu essentiel pour les entreprises de créer un SOC (centre d'opérations de sécurité) de nouvelle génération.
Attaques de ransomware importantes et récentes
1. Le piratage du pipeline colonial
Considérée comme la plus grande attaque contre les infrastructures énergétiques américaines, l’attaque par ransomware de Colonial Pipeline est la plus importante de 2021 à ce jour. Elle sert de signal d’alarme pour les gouvernements du monde entier quant aux dangers de ce type d’attaques et aux conséquences réelles qu’elles peuvent avoir. Le pipeline Colonial fournit 40 % du carburant de la côte est et du sud des États-Unis. Des pirates informatiques ont compromis les systèmes de Colonial Pipelines, ce qui a entraîné la fermeture du pipeline pendant 5 jours. Selon les rapports, la Colonial Pipeline Company a versé 5 millions de dollars aux pirates. L’attaque a été menée par le groupe connu sous le nom de DarkSide, qui a utilisé le ransomware comme modèle de service. L’attaque a clairement montré que des infrastructures clés peuvent être compromises par ces attaques.
Voir aussi : « Groupe de travail sur les ransomwares » formé pour faire face aux attaques croissantes
2. L'attaque de Channel Nine
En mars dernier, la chaîne australienne Channel Nine a été victime d'une cyberattaque. Cette attaque a rendu impossible la diffusion du journal télévisé du dimanche et d'autres programmes. Le siège de la chaîne à Sydney n'a pas pu accéder à Internet, ce qui a perturbé les activités éditoriales du réseau. La chaîne a d'abord affirmé que les problèmes étaient dus à des difficultés techniques, mais a ensuite admis qu'il s'agissait d'une cyberattaque.
3. Acer et la rançon de 50 millions de dollars
Le fabricant mondial d'ordinateurs Acer a été victime d'une attaque de ransomware en début d'année. Les pirates ont exigé une rançon de 50 millions de dollars, la plus élevée jamais vue à ce jour. Le groupe de cybercriminels REvil est considéré comme responsable de l'attaque. Les pirates ont non seulement annoncé la brèche sur leur site Web, mais ils ont également partagé des images des données qu'ils avaient volées.
4. Le constructeur aéronautique Bombardier
Bombardier est un fabricant d’avions canadien bien connu. En février 2021, l’entreprise a subi une violation de données. Les données confidentielles de clients, de fournisseurs et de 130 employés travaillant au Costa Rica ont été compromises. Des acteurs malveillants ont pu accéder aux données via une vulnérabilité dans une application de transfert de fichiers tierce utilisée par l’entreprise. Les données compromises ont été divulguées sur le site exploité par le gang de ransomware connu sous le nom de Clop. Aucune information n’est disponible si une rançon a été demandée.
Une tendance inquiétante des attaques de ransomware en 2021 est la divulgation d'informations sensibles d'organisations qui refusent de payer la rançon. Ces types d'attaques peuvent être très lucratives et les cybercriminels ont donc tout intérêt à s'y engager. Une attaque réussie peut permettre aux groupes de ransomware de gagner des millions de dollars. Il ressort clairement de ces attaques qu'elles ne sont pas spécifiques à un secteur. Des infrastructures critiques aux fabricants d'ordinateurs. Les attaquants de ransomware s'en prendront à toutes les entreprises. Le paiement d'une rançon ne garantit pas que les données seront restituées et ne seront pas divulguées. La position officielle du FBI est de décourager les entreprises de payer la rançon, car cela peut également encourager les criminels à continuer d'attaquer les autres. Cependant, payer la rançon n'est pas illégal et de nombreuses entreprises estiment que c'est la meilleure solution pour sortir de leur situation difficile.
La meilleure solution pour les entreprises est donc de prévenir toute attaque. Les organisations doivent disposer d'un centre d'opérations de sécurité (SOC) moderne, capable de se défendre contre de telles attaques.
Qu’est-ce qu’un centre d’opérations de sécurité de nouvelle génération ?
Un centre d'opérations de sécurité est composé d'analystes, d'ingénieurs et de gestionnaires de sécurité qui supervisent les opérations de sécurité d'une organisation. L'objectif de l'équipe SOC est d'identifier, d'analyser et de répondre à toutes les menaces et incidents de cybersécurité. Pour ce faire, l'équipe utilise une combinaison de processus de sécurité, de protocoles et de solutions technologiques telles que des logiciels de sécurité. Le SOC est chargé de surveiller et d'analyser en permanence la cybersécurité d'une organisation. Si et quand un incident de sécurité est détecté, il appartient au SOC de gérer la situation et de déterminer la meilleure réponse. Ces équipes surveillent l'activité qui se déroule sur les réseaux, les serveurs, les bases de données, les applications, les points de terminaison, les sites Web et tout autre système utilisé par une entreprise.
Dans un SOC de nouvelle génération, l'équipe mettra en œuvre une méthodologie qui s'intègre nativement aux systèmes d'information d'une organisation. Elle s'appuiera sur des points d'application de sécurité et des outils de recherche de menaces afin de surveiller, d'évaluer et de se défendre contre les cyberattaques. L'objectif est d'être aussi proactif que possible en matière de détection des menaces et de s'assurer que tous les points de terminaison sont sécurisés.
Conseils pour créer un SOC de nouvelle génération
Les organisations doivent garder à l’esprit certaines choses lorsqu’elles créent un centre d’opérations de sécurité de nouvelle génération.
Chasse aux menaces améliorée
Les SOC doivent être capables de détecter et d'identifier rapidement les menaces. Il existe sur le marché des solutions qui facilitent cette tâche. Supposons, par exemple, qu'une nouvelle menace ait été identifiée et fasse la une des journaux. Sans les bons outils en place, les analystes de sécurité peuvent mettre beaucoup de temps à parcourir les systèmes d'information de l'organisation et à déterminer si la même menace a eu un impact sur leur organisation. Souvent, pour les nouvelles menaces, les analystes ne savent pas exactement ce qu'ils doivent rechercher. Par conséquent, investir dans des outils comme AutoFocus ou Active Track peut faciliter la détection des menaces.
Rapports et journalisation robustes
Des rapports et des journaux appropriés peuvent aider votre SOC à identifier les tendances et à détecter les menaces à un stade précoce. Un SOC de nouvelle génération doit disposer d'une politique complète pour que toutes les anomalies et tous les incidents soient signalés et consignés.
Les meilleures personnes et la meilleure technologie
Les entreprises font parfois l’erreur de se concentrer uniquement sur un aspect de la sécurité : la technologie ou le personnel. Pourtant, un centre d’opérations de sécurité de nouvelle génération disposera à la fois de personnes compétentes et de la meilleure technologie. Les SOC doivent disposer des renseignements, des outils et des solutions les plus récents pour se défendre contre les cyberattaques. La composante humaine est également tout aussi importante : même les meilleurs outils qui fournissent les meilleures informations échoueront si les bons experts en sécurité ne sont pas présents pour agir sur la base des informations.
Avec le nombre croissant d'acteurs malveillants et d'attaques de ransomware, il est désormais temps pour les entreprises d'investir dans la technologie et les ressources humaines pour garantir leur sécurité opérationnelle. Abonnez-vous à whitepapers.online et apprenez-en plus sur la création d'un SOC de nouvelle génération ainsi que sur d'autres mises à jour technologiques.
Image en vedette : Photo d'entreprise créée par rawpixel.com - www.freepik.com