Vue d’ensemble
- Un logiciel malveillant destructeur est un code malveillant conçu pour détruire des données. Les malwares destructeurs ont un impact sur la disponibilité des biens et des données critiques, ce qui représente une menace directe pour les opérations quotidiennes d’une organisation.
- Cette publication se concentre sur la menace que représentent les méthodes de propagation distribuées à l’échelle de l’entreprise pour les logiciels malveillants destructeurs et fournit des conseils et des considérations recommandés qu’une organisation doit prendre en compte dans le cadre de son architecture réseau, de sa base de sécurité, de sa surveillance continue et de ses pratiques de réponse aux incidents.
- Les organisations devraient accroître leur vigilance et évaluer leurs capacités en matière de planification, de préparation, de détection et de réponse à un tel événement. Bien que les indicateurs et les modules spécifiques liés aux logiciels malveillants destructeurs puissent évoluer au fil du temps, il est essentiel qu’une organisation évalue sa capacité à se préparer et à réagir activement à un tel événement.
Vecteurs de distribution potentiels
- Les logiciels malveillants destructeurs peuvent utiliser les outils de communication les plus courants pour se propager, notamment les vers envoyés par courrier électronique et les messages instantanés, les chevaux de Troie déposés sur des sites Web et les fichiers infectés par des virus téléchargés à partir de connexions peer-to-peer. Les logiciels malveillants cherchent à exploiter les vulnérabilités existantes des systèmes pour y accéder discrètement et facilement.
- Les logiciels malveillants ont la capacité de cibler un large éventail de systèmes et peuvent s’exécuter sur plusieurs systèmes d’un réseau. Par conséquent, il est important pour les organisations d’évaluer leur environnement afin de détecter les canaux atypiques de diffusion et/ou de propagation des logiciels malveillants dans leurs systèmes. Les systèmes à évaluer sont les suivants
- Les applications d’entreprise – en particulier celles qui ont la capacité de s’interfacer directement avec et d’avoir un impact sur plusieurs hôtes et points de terminaison. Voici quelques exemples courants
- Les systèmes de gestion des correctifs,
- les systèmes de gestion des actifs
- Les logiciels d’assistance à distance (généralement utilisés par le service d’assistance de l’entreprise),
- les logiciels antivirus (AV),
- les systèmes affectés au personnel d’administration des systèmes et des réseaux
- les serveurs de sauvegarde centralisés,
- les partages de fichiers centralisés.
- Bien que cela ne s’applique pas spécifiquement aux logiciels malveillants, les acteurs de la menace pourraient compromettre d’autres ressources afin d’affecter la disponibilité des données et des applications critiques. Voici quelques exemples courants :
- Les dispositifs de stockage centralisés.
- Risque potentiel – accès direct aux partitions et aux entrepôts de données.
- Dispositifs de réseau
- Risque potentiel – capacité à injecter de fausses routes dans la table de routage, à supprimer des routes spécifiques de la table de routage ou à supprimer/modifier les attributs de configuration – ce qui pourrait isoler ou dégrader la disponibilité des ressources réseau critiques.
Meilleures pratiques et stratégies de planification
Des stratégies communes peuvent être suivies pour renforcer la résilience d’une organisation face aux logiciels malveillants destructeurs. Une évaluation ciblée et l’application des meilleures pratiques doivent être employées pour les composants de l’entreprise susceptibles d’être victimes de logiciels malveillants destructeurs.
Flux de communication
- Assurez une segmentation appropriée du réseau.
- Veillez à ce que les listes de contrôle d’accès (ACL) basées sur le réseau soient configurées de manière à autoriser la connectivité serveur-hôte et hôte-hôte via le nombre minimal de ports et de protocoles et à ce que les flux directionnels de connectivité soient représentés de manière appropriée.
- Les flux de communication doivent être entièrement définis, documentés et autorisés.
- Sensibiliser aux systèmes qui peuvent être utilisés comme passerelle pour pivoter (mouvement latéral) ou se connecter directement à des points d’extrémité supplémentaires dans l’entreprise.
- Assurez-vous que ces systèmes sont contenus dans des réseaux locaux virtuels (VLAN) restrictifs, avec une segmentation supplémentaire et des contrôles d’accès au réseau.
- Veillez à ce que les interfaces de gestion du réseau centralisé et des dispositifs de stockage se trouvent sur des VLAN restrictifs.
- Contrôle d’accès en couches, et Application du contrôle d’accès au niveau des périphériques –
- restriction de l’accès à partir de VLAN prédéfinis et de plages de protocole Internet (IP) fiables.
Contrôle d’accès
- Pour les systèmes d’entreprise qui peuvent s’interfacer directement avec plusieurs points d’extrémité :
- Exiger une authentification multifactorielle pour les connexions interactives.
- Assurez-vous que les utilisateurs autorisés sont associés à un sous-ensemble spécifique du personnel de l’entreprise.
- Si possible, les groupes “Tout le monde”, “Utilisateurs du domaine” ou “Utilisateurs authentifiés” ne doivent pas avoir la possibilité d’accéder directement à ces systèmes ou de s’y authentifier.
- Assurez-vous que des comptes de domaine uniques sont utilisés et documentés pour chaque service d’application d’entreprise.
- Le contexte des autorisations attribuées à ces comptes doit être entièrement documenté et configuré sur la base du concept de moindre privilège.
- Fournir à l’entreprise la capacité de suivre et de surveiller des actions spécifiques en corrélation avec le compte de service attribué à une application.
- Dans la mesure du possible, n’accordez pas à un compte de service des autorisations de connexion locale ou interactive.
- Les comptes de service doivent se voir refuser explicitement les autorisations d’accès aux partages de réseau et aux emplacements de données critiques.
- Les comptes utilisés pour s’authentifier auprès de serveurs ou de dispositifs d’applications d’entreprise centralisés ne doivent pas disposer de droits élevés sur les systèmes et ressources en aval dans l’ensemble de l’entreprise.
- Passez continuellement en revue les ACL des partages de fichiers centralisés et les autorisations attribuées.
- Limitez les autorisations d’écriture, de modification et de contrôle total lorsque cela est possible.
Surveillance
- Auditez et examinez les journaux de sécurité pour détecter les références anormales aux comptes administratifs (privilégiés) et de service de niveau entreprise.
- Tentatives d’ouverture de session échouées,
- Accès au partage de fichiers,
- les ouvertures de session interactives via une session à distance.
- Examinez les données de flux du réseau pour détecter les signes d’activité anormale, notamment :
- Des connexions utilisant des ports qui ne correspondent pas au flux de communication standard associé à une application,
- Activité en corrélation avec le balayage ou l’énumération des ports, et des connexions
- Répétées utilisant des ports qui peuvent être utilisés à des fins de commande et de contrôle.
- Assurez-vous que les périphériques réseau enregistrent et vérifient tous les changements de configuration.
- Examinez continuellement les configurations des dispositifs du réseau et les ensembles de règles pour vous assurer que les flux de communication sont limités au sous-ensemble de règles autorisé.
Distribution de fichiers
- Lorsque vous déployez des correctifs ou des signatures AV dans une entreprise, organisez les distributions de manière à inclure un groupe spécifique de systèmes (échelonné sur une période prédéfinie).
- Cette action peut minimiser l’impact global dans le cas où un système de gestion des correctifs ou un système antivirus de l’entreprise serait utilisé comme vecteur de distribution d’une charge utile malveillante.
- Surveillez et évaluez l’intégrité des correctifs et des signatures AV qui sont distribués dans l’entreprise.
- S’assurer que les mises à jour ne sont reçues que de sources fiables,
- Effectuer des contrôles d’intégrité des fichiers et des données, et
- Surveiller et auditer les données distribuées à partir d’une application d’entreprise.
Durcissement des systèmes et des applications
- S’assurer que le système d’exploitation (OS) sous-jacent et les dépendances (par exemple, Internet Information Services [IIS], Apache, Structured Query Language [SQL]) prenant en charge une application sont configurés et renforcés sur la base des recommandations des meilleures pratiques de l’industrie. Mettre en œuvre des contrôles de sécurité au niveau de l’application en se basant sur les recommandations de meilleures pratiques fournies par le fournisseur. Les recommandations les plus courantes sont les suivantes
- Utiliser un contrôle d’accès basé sur les rôles,
- Empêcher les capacités de l’utilisateur final de contourner les contrôles de sécurité au niveau de l’application,
- Par exemple, ne pas permettre aux utilisateurs de désactiver l’AV sur les postes de travail locaux.
- Désactiver les fonctionnalités ou les paquets inutiles ou non utilisés, et
- Mettre en œuvre une journalisation et un audit robustes des applications.
- Testez minutieusement et mettez en œuvre les correctifs des fournisseurs en temps voulu.
Planification de la récupération et de la reconstitution
Une analyse de l’impact sur les activités est un élément clé de la planification et de la préparation des mesures d’urgence. Le résultat global d’une BIA fournira à l’organisation deux éléments clés (en rapport avec les opérations critiques de la mission/de l’entreprise) :
- La caractérisation et la classification des composants du système, et
- les interdépendances.
Sur la base de l’identification des actifs critiques d’une organisation (et de leurs interdépendances associées), dans le cas où une organisation est touchée par un malware destructeur, des efforts de récupération et de reconstitution doivent être envisagés. Pour planifier ce scénario, l’organisation doit s’assurer de la disponibilité et de l’accessibilité des ressources suivantes (et inclure la portée de ces éléments dans les exercices et scénarios de réponse aux incidents) :
- Inventaire complet de tous les systèmes et applications essentiels à la mission :
- Informations sur les versions,
- Dépendances des systèmes/applications,
- Configuration et connectivité du partitionnement/stockage du système, et
- propriétaires des actifs/points de contact.
- Inventaire complet de tous les systèmes et applications essentiels à la mission :
- Informations sur les versions,
- Dépendances des systèmes/applications,
- Configuration et connectivité du partitionnement/stockage du système, et
- Propriétaires des actifs/points de contact.
- Les coordonnées de tout le personnel essentiel au sein de l’organisation,
- Canal de communication sécurisé pour les équipes de récupération,
- Coordonnées des ressources externes dépendantes de l’organisation :
- Les fournisseurs de communication,
- Fournisseurs (matériel/logiciels), et
- Partenaires de proximité/intervenants externes
- Numéros des contrats de service – pour obtenir l’aide des fournisseurs,
- Points de contact pour l’approvisionnement de l’organisation,
- Fichiers ISO/image pour la restauration de base des systèmes et applications critiques :
- Supports d’installation du système d’exploitation,
- Service packs/patchs, Firmware, et
- paquets d’installation de logiciels d’application.
- Clés de licence/activation pour le système d’exploitation et les applications dépendantes,
- Diagrammes de topologie et d’architecture du réseau d’entreprise,
- Documentation du système et des applications,
- Copies papier des listes de contrôle et des manuels d’utilisation opérationnels,
- Fichiers de sauvegarde de la configuration du système et des applications,
- Fichiers de sauvegarde des données (complets/différents),
- les listes de contrôle et les directives relatives à la base de sécurité et au renforcement de la sécurité des systèmes et des applications, et
- Listes de contrôle des tests d’intégrité et d’acceptation des systèmes et des applications.
Réponse aux incidents
Dans le cas où une organisation observe une épidémie à grande échelle qui peut être le reflet d’une attaque de logiciels malveillants destructeurs, conformément aux meilleures pratiques de réponse aux incidents, l’objectif immédiat doit être le confinement afin de réduire l’étendue des systèmes affectés.
Les stratégies de confinement comprennent
- Déterminer un vecteur commun à tous les systèmes présentant un comportement anormal (ou ayant été rendus indisponibles) – à partir duquel une charge utile malveillante aurait pu être délivrée :
- Application d’entreprise centralisée,
- Partage de fichiers centralisé (pour lequel les systèmes identifiés étaient mappés ou avaient un accès),
- Compte d’utilisateur privilégié commun aux systèmes identifiés,
- segment ou frontière du réseau, et
- serveur DNS (Domain Name System) commun pour la résolution des noms.
- En fonction de la détermination d’un vecteur de distribution probable, des contrôles d’atténuation supplémentaires peuvent être appliqués pour minimiser davantage l’impact :
- Mettre en place des listes de contrôle d’accès (ACL) basées sur le réseau pour empêcher la ou les applications identifiées de communiquer directement avec d’autres systèmes,
- Fournit une capacité immédiate d’isoler et de mettre en bac à sable des systèmes ou des ressources spécifiques.
- Mettre en place des routes réseau nulles pour des adresses IP spécifiques (ou des plages d’adresses IP) à partir desquelles la charge utile peut être distribuée,
- Le DNS interne d’une organisation peut également être utilisé pour cette tâche, car un enregistrement de pointeur nul peut être ajouté dans une zone DNS pour un serveur ou une application identifié.
- Désactiver rapidement l’accès au(x) compte(s) d’utilisateur ou de service suspect(s), et
- Pour les partages de fichiers suspects (qui peuvent héberger le vecteur d’infection), supprimez l’accès ou désactivez le chemin du partage pour empêcher d’autres systèmes d’y accéder.
- Mettre en place des listes de contrôle d’accès (ACL) basées sur le réseau pour empêcher la ou les applications identifiées de communiquer directement avec d’autres systèmes,