Nouvelles approches de la protection contre les ransomwares

Il est clair que les approches de sécurité traditionnelles basées sur l'utilisation de logiciels antivirus ou de scanners de logiciels malveillants sont insuffisantes pour se défendre contre les ransomwares.

De telles solutions tentent de détecter les attaques à l'aide de signatures. Si un parasite est détecté, le logiciel de protection le bloque et empêche ainsi l'accès aux ressources du système.

C'est précisément à ce stade que le grave inconvénient de ces solutions apparaît : Comme elles dépendent de la détection de logiciels malveillants, elles ne peuvent souvent pas offrir une sécurité fiable contre le nombre croissant de nouveaux ransomwares encore inconnus.

Les entreprises doivent prendre des mesures supplémentaires, telles que le blacklistage des applications, le whitelistage des applications, le greylistage des applications et le contrôle du moindre privilège.

Le blacklistage permet aux entreprises d'empêcher l'exécution de logiciels malveillants dans leur environnement. Cette méthode n'a guère de sens pour la protection contre les ransomwares.

Par nature, le whitelisting des applications est efficace à 100 % dans la lutte contre les ransomwares, car cette procédure bloque toutes les applications qui ne sont pas explicitement fiables.

Bien que cette stratégie de confinement soit extrêmement efficace pour prévenir les attaques de ransomware, elle est également difficile à mettre en œuvre dans la pratique.

Contrairement à la liste noire, la création et la gestion d'une liste blanche prennent beaucoup de temps, car il faut non seulement tenir compte de toutes les applications utilisées, mais aussi et surtout des mises à jour des applications.

Enfin, la mise à jour peut modifier la valeur de contrôle - par exemple un hachage - de l'application autorisée de telle sorte qu'elle diffère de l'entrée dans la liste blanche et que, par conséquent, le programme ne démarre plus.

Le greylisting des applications offre une autre possibilité. Il permet aux entreprises d'empêcher l'exécution de logiciels malveillants connus sur des listes noires dans leurs environnements tout en limitant les autorisations pour toutes les applications qui ne sont pas explicitement de confiance ou inconnues.

Cette classification peut se faire à l'aide de différents paramètres qu'un administrateur centralise. La procédure de greylisting offre donc plus de flexibilité que le whitelisting et peut servir à empêcher les actions d'applications inconnues telles que l'établissement d'une connexion Internet, l'accès au réseau ou la lecture, l'écriture et la modification de fichiers.

En limitant les autorisations, les ransomwares ne sont généralement pas non plus en mesure d'accéder aux fichiers et de les crypter. Enfin, il convient de mentionner le contrôle du moindre privilège, qui n'est pas seulement une routine de sécurité, mais aussi l'une des "Dix lois immuables sur la sécurité" de Microsoft.

Les ransomwares se présentent actuellement pour les pirates comme une méthode très fiable et appropriée pour placer les entreprises devant le dilemme suivant : copier les données détournées ou - dans l'espoir de les récupérer - effectuer un paiement.

Les solutions de sécurité classiques comme les logiciels antivirus ne sont pas efficaces pour lutter contre les ransomwares, c'est pourquoi il faut prendre des mesures de sécurité supplémentaires. L'analyse de différentes options montre que même le blacklisting et le whitelisting ne sont pas des moyens appropriés à eux seuls, ce sont surtout l'approche du moindre privilège et le contrôle des applications qui s'avèrent efficaces.

Une première étape consiste à retirer les droits d'administrateur local, car les recherches menées par CyberArk ont montré qu'un grand nombre de logiciels malveillants modernes nécessitent de tels droits pour fonctionner correctement.

Toutefois, cette mesure n'est pas suffisante. Le contrôle des applications avec le greylisting est tout aussi important. En combinant l'approche du moindre privilège et le contrôle des applications, on dispose d'un bouclier efficace contre le chiffrement par des logiciels malveillants, et ce sans nuire à la productivité des utilisateurs.