Le secteur de l’enseignement est devenu sans préavis la deuxième cible la plus prisée des ransomwares. En 2020, au moins 1 681 écoles, collèges et universités de toutes tailles et de toute renommée ont été infectés. Les établissements sont confrontés au défi de préserver la liberté académique, un accès facile à l’information et une collaboration ouverte tout en se défendant contre les acteurs malveillants qui exploitent ces mêmes caractéristiques. L’adoption du cloud public, des logiciels en tant que service et de l’Internet des objets ajoute des couches supplémentaires de complexité aux architectures informatiques qui n’ont pas été conçues pour prendre en charge ces applications.
Les architectures de réseau au sein de l’enseignement supérieur sont en grande partie conçues comme des réseaux en étoile, reflétant la topographie physique des campus. Bien que cela permette de privilégier la liberté académique et l’accès à l’information, les contrôles de sécurité existants conçus pour cette architecture perdent de leur efficacité à mesure que les charges de travail se déplacent vers le cloud public et les services SaaS.
L’essor de l’apprentissage à distance a également constitué une formidable opportunité pour les acteurs malveillants. Cela a créé une surface d’attaque incroyablement large, offrant des points d’entrée apparemment infinis au réseau. De plus, la disponibilité numérique est désormais primordiale pour les cours et le travail, ce qui incite les établissements à payer rapidement des rançons plus élevées pour simplement revenir en ligne.
Enfin, la diversité des utilisateurs présente un dernier défi, celui des missions, des chartes et des personnalités concurrentes. Les politiques et technologies de sécurité doivent fonctionner pour une base d’utilisateurs qui comprend des étudiants, des professeurs, des chercheurs, du personnel médical, des partenaires du secteur privé, etc. Les relations entre les utilisateurs (qui peuvent avoir plusieurs profils) et l’institution compliquent encore davantage les directives et la structure de la sécurité. Par exemple, lorsque j’étais à l’UC Davis, j’ai dû remplir simultanément la mission d’une université, d’un hôpital et d’une entreprise de recherche qui collaborait avec d’autres institutions et agences gouvernementales.
Transformer l’héritage
La sécurité traditionnelle repose sur le fait que le data center constitue le centre qui contient toutes les applications et tous les services. Le data center était le cœur des réseaux en étoile. Les utilisateurs se connectaient via un VPN et les réseaux étaient segmentés par des pare-feu. Cela fonctionnait parfaitement lorsque le nombre de personnes connectées était relativement faible et que les applications étaient assez simples. Mais à mesure que le nombre de personnes connectées augmentait et que les données consultées s’accroissaient, la latence et la complexité augmentaient également. Frustrés par les changements complexes et la lenteur des délais d’exécution des opérations informatiques, les utilisateurs professionnels ont trouvé des moyens de contourner les obstacles causés par la complexité. Pour ajouter aux problèmes, les universités ont adopté le cloud, la mobilité et l’IoT/OT au sein de leur pile technologique pour répondre aux besoins des utilisateurs, compliquant et diversifiant encore davantage la surface informatique déjà vaste.
Comment les ransomwares battent le système
Le ransomware relève souvent moins de la sophistication technologique que de l’exploitation de l’élément humain. Les points d’accès initiaux du malware qui déclenchent une attaque de ransomware sont notamment :
- E-mails de phishing
- Exploitation des vulnérabilités des sites Web légitimes et des applications cloud fiables telles que DropBox, Google Drive, etc.
- Achat de l’accès ou achat d’informations d’identification sur le darknet ou en utilisant des informations d’identification ayant déjà fait l’objet d’une fuite par le biais d’attaques par credential stuffing ou par force brute.
La violation commence souvent par une simple compromission, qui conduit au déploiement ultérieur d’outils de piratage éthique commerciaux et Open Source mis à disposition par le biais d’un chargeur de malware. Le ransomware est conçu pour maximiser son impact sur les opérations commerciales en chiffrant autant de fichiers que possible. Le malware dépose une note de rançon indiquant à la victime comment contacter l’acteur malveillant pour négocier et payer une rançon.
Si vous ne pouvez pas le contrôler, contenez-le
Les entreprises doivent se concentrer sur l’arrêt des déplacements latéraux. L’objectif principal du déplacement latéral d’une cyberattaque est de compromettre d’autres systèmes, d’élever leur niveau d’accès et de dérober des secrets. Le contrôleur de domaine, ou infrastructure d’identité, permet à l’acteur malveillant d’accéder à presque tous les systèmes. Ceux-ci sont utilisés pour organiser les prochaines phases de l’attaque, qui consistent à effectuer une reconnaissance pour identifier les données à exfiltrer, identifier les systèmes de sauvegarde de la société (pour empêcher la récupération des fichiers), et fouiller dans les systèmes financiers et de ressources humaines pour identifier les documents importants (tels que la propriété intellectuelle et les secrets commerciaux), les employés clés, et les soldes des comptes de l’entreprise pour déterminer le montant de liquidités dont ils disposent. Après la phase de reconnaissance et d’exfiltration, le ransomware est déployé dans toute l’entreprise.
La meilleure façon de contenir une menace est de ne jamais la laisser s’introduire dans votre réseau.
C’est précisément ce que Zscaler Zero Trust Exchange propose aux entreprises. Avec Zscaler, les utilisateurs peuvent accéder à n’importe quelle application ou ressource dont ils ont besoin (et auxquelles ils sont autorisés à accéder) sans jamais accéder au réseau. Zscaler a été conçu dès le départ pour permettre aux clients d’évoluer en toute sécurité dans un monde où le cloud est le nouveau data center et Internet le nouveau réseau. Zero Trust Exchange a été développé pour garantir que les entreprises peuvent fonctionner dans toutes les conditions, à n’importe quelle échelle, n’importe où dans le monde, quel que soit l’appareil ou l’emplacement de l’utilisateur.
Nous vous invitons à nous rejoindre à la conférence des professionnels de la cybersécurité et de la confidentialité d’Educause en mai et espérons que vous participerez à une session interactive que j’animerai.