Crédit : Dreamstime
Les ransomwares affectent les entreprises du monde entier. Mandiant a indiqué que les ransomwares sont en hausse et ne semblent pas diminuer d’un iota. Voici les neuf tâches sur lesquelles les PME doivent se concentrer pour atténuer les risques d’attaques de ransomwares.
1. Ayez une stratégie de sauvegarde et un processus de récupération vérifié
Certains peuvent prétendre que l’authentification multifacteur (MFA) est la meilleure méthode pour protéger une entreprise, mais je dirais qu’avoir en fait une vérification le processus de sauvegarde et de guérison serait bien meilleur.
Fréquemment, les entreprises ignorent avoir une sauvegarde et une procédure de récupération évaluée. Spécifiquement pour les entreprises disposant de serveurs et de contrôleurs de domaine sur site, ayez un processus dans lequel quelqu’un – dans l’entreprise ou un spécialiste ou un fournisseur de services géré – effectue un essai à blanc d’un véritable processus de guérison.
Lorsque j’ai effectué un test, je découvre généralement que je dois effectuer une étape que j’ai oublié de restaurer à partir d’une procédure bare metal. Vous découvrirez peut-être qu’une mère et un père HyperV ont besoin d’actions supplémentaires ou vous devez vous approprier l’image de réparation pour restaurer totalement un serveur Active V ou un fabricant virtuel en parfait état de fonctionnement.
Assurez-vous d’avoir un script ou un manuel de guérison en place afin que le personnel chargé de récupérer connaisse les étapes. Les étapes documentées aideront à réduire le stress de l’événement.
2. Aucune connexion de bureau à distance publique
N’exposez pas les serveurs à des connexions de bureau à distance publiques. De nombreuses attaques de rançongiciels commencent par des agresseurs qui devinent les mots de passe ou trouvent des référentiels de mots de passe administratifs laissés dans des bases de données en ligne et des référentiels GitHub.
Nous sommes généralement nos pires adversaires en matière d’informations d’identification, alors n’utilisez jamais la procédure de bureau à distance (RDP) publique dans les réseaux de production.
3. Limiter les qualifications d’administrateur et d’administrateur de domaine
Vérifiez votre réseau pour utiliser les informations d’identification d’administrateur régional ainsi que les qualifications d’administrateur de domaine. J’ai souvent des PME qui prennent la route facile et permettent aux utilisateurs d’être des administrateurs locaux sans aucune restriction. Pire encore, lorsqu’un réseau est configuré en fournissant aux utilisateurs des droits d’administrateur de domaine.
Il n’y a aucun facteur pour qu’un utilisateur du réseau ait des fonctions ou des droits d’administrateur de domaine pendant qu’il est un utilisateur.
Pendant de nombreuses années, les fournisseurs attribuaient généralement des droits d’administration de domaine car il s’agissait d’une solution simple pour faire fonctionner correctement une application.
Les fournisseurs ont cessé de donner des droits d’administrateur à la nécessité d’une installation dans le profil de l’utilisateur, mais j’entends toujours des rapports de consultants découvrant des réseaux où les utilisateurs sont des administrateurs de domaine. Sur votre contrôleur de domaine, exécutez la commande get-adgroupmember « Domain Admins ». Aucun utilisateur de votre organisation ne doit être un administrateur de domaine.
4. Ayez une politique de validation des transactions financières
Pour garantir que votre organisation ne sera pas prise par des attaques de compromission des e-mails professionnels (BEC), assurez-vous d’avoir une procédure convenue pour gérer les transactions financières, les virements et les virements.
Ne faites jamais confiance à un e-mail pour vous fournir les détails du compte pour les transferts de fonds. Les attaquants comprendront souvent que vous avez des travaux en cours et enverront des e-mails pour vous inciter à transférer des fonds sur un compte qu’ils possèdent.
Vérifiez constamment auprès de l’organisation destinataire que les informations de compte sont correctes. Si des modifications sont apportées à la procédure, il doit y avoir une procédure d’approbation enregistrée sur place pour s’assurer que la modification est appropriée.
5. Serveurs publics séparés
Pour tout serveur public, pensez à positionner ce serveur dans une position isolée ou même à le placer dans un scénario hébergé. Les serveurs Web publics ne doivent pas pouvoir se connecter aux systèmes internes si vous êtes une PME, car les ressources nécessaires pour les sécuriser et les conserver correctement sont généralement trop élevées. Recherchez des services qui positionnent les limites et les divisions entre les ressources Web externes et les besoins du domaine interne.
6. Retirer les serveurs obsolètes
Vérifiez si vous pouvez retirer les serveurs obsolètes. Microsoft a récemment publié une boîte à outils pour permettre aux consommateurs de se débarrasser peut-être du dernier problème d’Exchange Server.
Pendant des années, la seule méthode pour administrer efficacement les boîtes aux lettres dans Exchange Online où le domaine utilise Active Directory (AD) pour la gestion des identités était d’avoir un serveur Exchange en cours d’exécution dans l’environnement pour effectuer des activités de gestion des destinataires.
Les outils de gestion Exchange ont été lancés avec Exchange Server 2019 CU12 et consistent en une fonction d’outils de gestion Exchange mise à niveau conçue pour résoudre la situation où un Exchange Le serveur est exécuté uniquement en raison des exigences de gestion des destinataires.
Le rôle élimine la nécessité d’avoir un serveur Exchange en cours d’exécution pour la gestion des destinataires. Dans cette situation, vous pouvez configurer les outils mis à niveau sur un poste de travail joint à un domaine, fermer votre dernier serveur Exchange et gérer les récepteurs à l’aide de Windows PowerShell.
7. Accès expert en évaluation
Examinez les experts et leur accès. Les attaquants recherchent le maillon faible et il s’agit souvent d’un expert extérieur. Assurez-vous constamment que leurs outils d’accès à distance sont corrigés et à jour.
Garantissez qu’ils comprennent qu’ils sont souvent le point d’entrée dans une entreprise dont leurs actions et leurs faiblesses sont également introduites dans l’entreprise. Passez en revue avec vos spécialistes quels sont leurs processus.
8. Concentrez-vous sur l’utilisation reconnue des vulnérabilités
Concentrez-vous sur l’utilisation reconnue des vulnérabilités. Alors que les experts en sécurité exhortent les grandes et petites entreprises à activer les mises à jour automatisées, les petites entreprises ne disposent généralement pas de beaucoup de ressources pour vérifier les spots. Ils se retiennent généralement pour garantir qu’il n’y a pas d’effets secondaires avec les mises à jour. La surveillance de la liste dans le lien vous permet de vous concentrer sur les éléments qui font l’objet d’attaques actives.
9. Déployez ou mettez à jour la détection et la réaction des points de terminaison
La détection et la réponse aux points de terminaison (EDR) deviennent de plus en plus économiques pour les PME. Microsoft 365 Company Premium a activé EDR sous la forme de Microsoft Protector for Organization.
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
