Le « guide ransomware » de l'ANSSI américaine mis à jour
Publié par Clément Bohic le - mis à jour à
Quasiment trois ans après sa publication, le « guide ransomware » de la CISA évolue. Aperçu des changements.
Pas moins de 15 caractères pour les mots de passe VPN ? La CISA (homologue américaine de notre ANSSI) le recommande... si implémenter le MFA n'est pas possible. Elle en fait part dans la nouvelle version de son « guide du ransomware ».
C'est la première mise à jour de ce document initialement publié en septembre 2020. Si la structure change peu, les ajouts sont nombreux. Y compris au niveau terminologique. Avec, par exemple, la notion de « double extorsion », qui n'était précédemment pas désignée comme telle.
En matière de prévention, l'essentiel des bases étaient déjà posées. À commencer par la nécessité de conserver des sauvegardes hors ligne. À la faveur de cette mise à jour, la CISA a inclus, à ce chapitre, les templates IaC. Tout en conseillant d'envisager des stratégies de backup multicloud. Et, éventuellement, d'utiliser les solutions de stockage immuable des CSP... en prenant garde à bien les configurer. Le zero trust fait aussi son apparition au rang des technologies suggérées pour se prémunir.
Concernant les vulnérabilités logicielles, la plupart des lignes directrices figuraient là aussi déjà dans le document initial. On parle là, entre autres, de maintenir OS et applications à jour ou de sécuriser les protocoles particulièrement exposés comme RDP. Sur ce dernier point, la CISA invitait jusqu'alors à « employer les bonnes pratiques ». Elle a resserré l'étau, appelant désormais à « limiter l'usage » des services de bureau à distance.
Autre protocole critique : SMB. Le message principal n'a pas changé : ne surtout pas utiliser la v1 et la v2. L'ANSSI américaine y a ajouté quelques conseils pour protéger la v3, entre signature SMB et chiffrement UNC. Tout en incitant plus globalement les PME à aller vers des offres cloud managées si elles ont « du mal à maintenir à jour leurs serveurs exposés au réseau Internet ».
Sysmon et Credential Guard dans la toolbox anti-ransomware
Le « guide ransomware » version 2023 comporte une nouvelle section consacrée à la compromission d'authentifiants. On y retrouve la recommandation « au moins 15 caractères pour les mots de passe ». On y parle aussi de MFA, à activer sur un maximum de services et si possible sans mot de passe. L'implémentation d'un IAM est également sur la liste, comme l'activation de Credential Guard sur Windows et l'interdiction de sauvegarder les mots de passe dans les navigateurs.
En termes de lutte contre le phishing, l'éducation des utilisateurs finaux reste au coeur de la check-list. Parmi les nouveautés du guide 2023, il y a l'activation du filtrage des pièces jointes pour restreindre certains types de fichiers. La CISA conseille de réviser la liste au moins deux fois par an. En parallèle, elle se montre plus stricte sur le cas des macros Office. Exit la formulation « envisagez de les désactiver », remplacée par un « assurez-vous de les désactiver ». Un traitement qu'on réservera aussi, au possible, à l'hôte de script Windows.
Pour ce qui est d'éviter les souches malveillantes pouvant conduire à l'infiltration de ransomwares, le premier conseil reste de maintenir à jour son antivirus. Le deuxième et le troisième, respectivement, d'établir une liste blanche d'applications et d'envisager l'usage d'un IDS. Entre autres nouveautés, la recommandation d'utiliser Sysmon pour empêcher la création malveillante de fichiers (option FileBlockExecutable disponible à partir de la version 14).
Pas de grandes évolutions sur la question des tierces parties, MSP en tête. La CISA exprime toutefois plus clairement la nécessité de s'assurer, d'une part, de l'application du principe du moindre privilège. Et de l'autre, de la séparation des rôles.
Sur la phase de réponse aux incidents, les éléments suivants font leur apparition dans le « guide ransomware » (liste non exhaustive) :
Capturer un instantané des ressources cloud dans l'optique d'une investigation ultérieure
Examiner les systèmes de détection et de prévention des intrusions, qui peuvent révéler des systèmes et/ou des malwares impliqués en amont
Effectuer une réinitialisation des mots de passe sur tous les systèmes touchés
Photo d'illustration © blackboard - Adobe Stock