Pour s’assurer que les clients qui utilisent Azure sont protégés contre les attaques par ransomware, Microsoft a beaucoup investi dans la sécurité Azure et a fourni aux clients les contrôles de sécurité nécessaires pour protéger leurs charges de travail cloud Azure.
Vous trouverez une vue d’ensemble complète des meilleures pratiques et recommandations dans l’e-book sur les défenses Azure contre les attaques par ransomware.
Ici, nous aimerions mettre l’accent sur la sécurité réseau et comprendre comment le Pare-feu Azure peut vous aider à vous protéger contre les ransomware.
Le ransomware est fondamentalement un type de logiciel malveillant conçu pour bloquer l’accès à votre système informatique jusqu’à ce qu’une somme d’argent soit payée. L’attaquant exploite généralement une vulnérabilité existante de votre système pour pénétrer dans votre réseau et exécuter le logiciel malveillant sur l’ordinateur hôte cible.
Les ransomware sont souvent déployés via des e-mails de hameçonnage qui contiennent des pièces jointes malveillantes ou via un téléchargement furtif. Le téléchargement furtif se produit lorsqu’un utilisateur visite un site web infecté sans le savoir, puis télécharge et installe des logiciels malveillants sans la connaissance de l’utilisateur.
C’est dans ce type de situation que le Pare-feu Azure Premium est utile. Avec sa fonction de détection et de prévention des intrusions (FAI), chaque paquet est inspecté minutieusement, y compris tous ses en-têtes et charges utiles, afin d’identifier toute activité malveillante et de l’empêcher de pénétrer dans votre réseau. Un système de détection et de prévention des intrusions vous permet de surveiller les activités malveillantes, de consigner des informations sur ces activités, de les signaler, voire de les bloquer.
Les signatures du système de détection et de prévention des intrusions sont applicables pour le trafic au niveau de l’application et du réseau (Couches 4-7), elles sont complètement managées et contiennent plus de 65 000 signatures dans plus de 50 catégories différentes pour les maintenir à jour avec le paysage d’attaque dynamique en perpétuelle évolution :
- Le Pare-feu Azure accède très tôt aux informations sur les vulnérabilités à partir du Microsoft Active Protections Program et du Centre de réponse aux problèmes de sécurité Microsoft (MSRC).
- Le Pare-feu Azure diffuse 30 à 50 nouvelles signatures chaque jour.
De nos jours, le chiffrement moderne, tel que SSL (Secure Sockets Layer) ou TLS (Transport Layer Security), est utilisé globalement pour sécuriser le trafic Internet. Les attaquants utilisent le chiffrement pour transporter leurs logiciels malveillants sur le réseau victime. Par conséquent, les clients doivent inspecter leur trafic chiffré comme tout autre trafic.
Le système de détection et de prévention des intrusions du Pare-feu Azure Premium vous permet de détecter les attaques dans tous les ports et protocoles pour le trafic non chiffré. Cela étant, lorsque le trafic HTTPS doit être inspecté, le Pare-feu Azure peut utiliser sa fonction d’inspection TLS pour déchiffrer le trafic et détecter précisément les activités malveillantes.
Une fois le ransomware installé sur l’ordinateur cible, il peut tenter de chiffrer les données de l’ordinateur. Par conséquent, il requiert l’utilisation d’une clé de chiffrement et peut utiliser l’infrastructure Commande et contrôle (C&C) pour récupérer la clé de chiffrement à partir du serveur C&C hébergé par l’attaquant. CryptoLocker, WannaCry, TeslaCrypt, Cerber et Locky sont certains des ransomware utilisant C&C pour récupérer les clés de chiffrement requises.
Le Pare-feu Azure Premium a des centaines de signatures conçues pour détecter la connectivité C&C et la bloquer pour empêcher l’attaquant de chiffrer les données des clients.
Figure 1 : Protection par pare-feu contre les attaques par ransomware à l’aide d’un canal de commande et de contrôle
Une approche complète pour contrer les attaques par ransomware
Il est recommandé d’adopter une approche holistique pour contrer les attaques par ransomware. Le Pare-feu Azure fonctionne en mode de refus par défaut et bloque l’accès sauf s’il est explicitement autorisé par l’administrateur. L’activation de la fonctionnalité Threat Intelligence (TI) en mode alerte/refus bloquera l’accès aux domaines et adresses IP malveillantes connus. Le flux Microsoft Threat Intel est mis à jour en permanence en fonction des menaces nouvelles et émergentes.
La stratégie de pare-feu peut être utilisée pour la configuration centralisée des pare-feu. Cela permet de répondre rapidement aux menaces. Les clients peuvent activer Threat Intel et les systèmes de détection et de prévention des intrusions sur plusieurs pare-feu en seulement quelques clics. Les catégories web permettent aux administrateurs d’autoriser ou de refuser aux utilisateurs l’accès aux catégories web telles que les sites web de jeux d’argent, les sites web de réseaux sociaux, etc. Le filtrage d’URL fournit un accès étendu aux sites externes et peut réduire encore davantage les risques. En d’autres termes, le Pare-feu Azure a tout ce qui est nécessaire pour que les entreprises se protègent de façon complète contre les programmes malveillants et les ransomware.
La détection est tout aussi importante que la prévention. La solution Pare-feu Azure pour Microsoft Sentinel vous permet de détecter et de prévenir à la fois sous la forme d’une solution facile à déployer. La combinaison de la prévention et de la détection vous permet de vous assurer que vous empêchez les menaces sophistiquées quand vous le pouvez, tout en conservant une « mentalité assumant la violation » pour détecter rapidement les cyberattaques et y répondre.
En savoir plus sur le Pare-feu Azure Premium et la protection contre les ransomware
- Pour en savoir plus sur les fonctionnalités du Pare-feu Azure Premium, consultez la documentation Microsoft.
- Téléchargez notre e-book Défenses Azure contre les attaques par ransomware.
- Découvrez comment optimiser la sécurité avec la solution Pare-feu Azure pour Microsoft Sentinel.