De bonnes sauvegardes ne sont pas une panacée pour les attaques de ransomwares, disent les pros d’Infosec

  • FrançaisFrançais


  • À l’intérieur d’un centre de données hautement sécurisé. (Photo: MediaNews Group / The Mercury News via Getty Images / Contributeur)

    Dans un webinaire parrainé par KnowBe4 plus tôt ce mois-ci, 78% des participants interrogés ont déclaré que les sauvegardes ne sauveraient pas les entreprises des conséquences d’une attaque de ransomware.

    Le webinaire, 5 principaux mythes en matière de sécurité informatique que votre RSSI croit vrais, a été animé par Erich Kron, le défenseur de la sécurité de l’entreprise, et Roger Grimes, l’évangéliste de la défense basée sur les données de KnowBe4.

    Kron et Grimes ont pesé les mérites de chaque mythe et ont ensuite demandé au public d’enregistrer ses propres opinions lors d’un vote. Voici un résumé de chaque mythe abordé par le duo:

    De bonnes sauvegardes de données vous éviteront une attaque de ransomware. Vote du public: Oui 22%. Non: 78%.

    Roger Grimes, KnowBe4

    Le public avait tendance à être d’accord avec Grimes, qui a déclaré que les sauvegardes ne protégeaient pas vraiment les organisations contre la destruction des ransomwares. La plupart des gens n’ont pas de bonnes sauvegardes et n’ont jamais effectué de restauration de systèmes critiques, a déclaré Grimes.

    Depuis que le groupe de ransomwares Maze a commencé à exfiltrer des données et à les détenir contre rançon dans ce qui est maintenant connu comme une double attaque d’extorsion, le jeu a totalement changé, a déclaré Grimes. De nombreux groupes de ransomwares ont maintenant des pages de relations publiques raffinées qui annoncent aux entreprises victimes et au grand public qu’ils ont réussi à réussir une attaque et prévoient de divulguer publiquement les données volées si une rançon n’est pas payée, a déclaré Grimes. Dans de tels cas, les sauvegardes n’aideront pas.

    D’un autre côté, Kron a déclaré que dans le cas d’une petite entreprise comme une boulangerie locale ou un cabinet médical, les sauvegardes pourraient être essentielles pour remettre rapidement les systèmes en ligne. Pourtant, Kron a déclaré que les entreprises avaient des problèmes lorsqu’elles ne testaient pas les sauvegardes. Par exemple, une entreprise qu’il connaît a déjà transporté des bandes de sauvegarde dans un endroit hors site, et les bandes ont été effacées sans le savoir par un champ magnétique dans l’installation. Bien que ce soit un cas inhabituel, les entreprises doivent s’assurer de tester les sauvegardes afin qu’elles soient prêtes en cas d’urgence.

    Chaque organisation a besoin d’un antivirus et de pare-feu sur les terminaux. Vote du public: Oui 85,1%. Non: 14,9%.

    Grimes soutient que les antivirus et les pare-feu sont sans valeur, notant qu’après 30 ans, l’industrie est confrontée à plus de menaces que jamais. Grimes pense que la plupart des gens font attention aux journaux du pare-feu lorsqu’ils entrent pour la première fois dans le domaine de la sécurité, mais après les premières années, ils deviennent un bruit de fond.

    Erich Kron, KnowBe4

    Cependant, Kron n’était pas convaincu, suggérant que les SIEM aidaient en fait les gens à gérer plus efficacement les journaux de pare-feu lorsqu’ils sont arrivés sur les lieux. Il dit également que si l’efficacité de l’AV a diminué, au moins ils fournissent encore une autre couche d’alertes utiles. Par exemple, sur l’un de ses derniers travaux, l’AV a envoyé des alertes de plug-ins malveillants en cours de téléchargement. Il a pu les trouver sur un scan à temps, mais s’il n’avait pas été alerté en premier lieu, il aurait essuyé plusieurs machines.

    Les mots de passe longs sont plus sûrs que les mots de passe courts. Vote du public: Oui 71,4%. Non 28,6%.

    Grimes a déclaré que le NIST, l’Institut national des normes et de la technologie, a fait volte-face ces derniers temps: après des années de plaidoyer pour des mots de passe forts et complexes, l’agence dit maintenant que les gens peuvent utiliser des mots de passe plus courts qui n’ont pas besoin d’être mis à jour aussi fréquemment.

    Grimes et Kron ont tous deux convenu qu’un problème plus troublant que l’utilisation d’un mot de passe long ou court est lorsque les individus réutilisent fréquemment les mots de passe.

    En fin de compte, Grimes a recommandé d’utiliser une phrase longue et unique pour un mot de passe. Il a dit que les utilisateurs pourraient même utiliser quelque chose de stupide comme «rogerjumpedoverthedogandcat» et ensuite ajouter une phrase-étiquette pour tout ce pour quoi il est utilisé – services bancaires, actualités ou musique, par exemple.

    En outre, Grimes et Kron conviennent que les gens devraient utiliser l’authentification multifacteur dans la mesure du possible, ainsi que les gestionnaires de mots de passe, car ils définissent un mot de passe complexe pour chaque compte Web. Grimes a déclaré qu’une personne moyenne avait sept à 19 mots de passe et gérait environ 170 comptes Web.

    L’exécution d’un système d’exploitation obscur protège votre réseau. Vote du public: Oui 25,2%. Non 74,8%.

    Grimes et Kron étaient avec la minorité sur celui-ci. Grimes a reconnu les entreprises qui peuvent éviter les attaques en fonctionnant sur des Chromebooks, mais elles doivent rester vigilantes. Il y a des années, l’axiome était que les Mac étaient plus sûrs, mais la réalité était que les attaquants se concentraient davantage sur les machines Windows. Cela a changé au fur et à mesure que les Mac sont devenus plus populaires et pourraient à nouveau changer si davantage d’organisations déployaient des Chromebooks, a déclaré Grimes.

    Kron a noté qu’il avait vu des systèmes d’exploitation obscurs dans le domaine médical qui seraient difficiles à attaquer pour les pirates. Et il a vu que de nombreux appareils IoT basés sur le système d’exploitation Arduino sont également difficiles à craquer.

    Les utilisateurs finaux ne peuvent pas être formés; la technologie est votre seule défense. Vote du public: Oui: 4,8%. Non: 95,2%.

    Un axiome à suivre: ne laissez pas le pirate informatique être la seule personne à tester vos employés. Sur ce point, Grimes, Kron et une écrasante majorité du public étaient d’accord: il est possible et nécessaire de former les utilisateurs finaux.

    Kron a déclaré que la formation doit être pertinente et adaptée au groupe concerné. Par exemple, il forme une équipe de démarrage de la Silicon Valley très différemment d’une banque ou d’une entreprise manufacturière où les gens ne sont pas aussi experts en technologie.

    Si les organisations pensent qu’elles ne peuvent pas former les gens, cela devient une prophétie auto-réalisatrice qui paralyse la formation, a déclaré Kron. Et même si la formation de sensibilisation ne résoudra pas tous les problèmes, Grimes a affirmé que le fait de tenir les membres du personnel au courant des leurres de phishing courants permet à l’entreprise d’en arrêter beaucoup.

    Source

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *