Stratégies de protection des fichiers des agences gouvernementales contre les ransomwares

Suite aux attaques de rançongiciels, les agences gouvernementales sont constamment menacées. Les mécanismes d'accès à distance hérités tels que le VPN ne suffisent plus à protéger les fichiers contre le chiffrement, le vol, les fuites de données et les ransomwares.

La migration de fichiers vers des services cloud comme alternative est une entreprise compliquée et difficile qui peut ne pas être une option viable pour les gouvernements ayant des exigences réglementaires strictes et des contraintes budgétaires. Les technologies VPN et Bureau à distance ne suffisent plus à protéger adéquatement les partages de fichiers gouvernementaux s'ils ne sont pas correctement gérés.

Dans cet article, nous passons en revue les différentes alternatives pour se connecter en toute sécurité aux partages de fichiers à distance tout en les protégeant des ransomwares.

VPN pour l'accès à distance aux fichiers

Avec de plus en plus d'employés travaillant à distance, la sécurité VPN est une préoccupation majeure. Les agences gouvernementales ont traditionnellement utilisé la technologie de réseau privé virtuel (VPN) pour permettre cette connectivité à distance, mais les problèmes de sécurité obligent les entreprises à exploiter de nouvelles façons d'activer l'accès à distance au partage de fichiers sécurisé en examinant les alternatives VPN. L'actualité regorge d'histoires quotidiennes d'entreprises soumises à des risques de sécurité sans cesse croissants. Par exemple, le Krebsonsécurité blog répertorie de nombreux rapports de rançongiciels provoquant la fermeture de gouvernements et d'institutions.

Le problème avec l'utilisation d'un logiciel VPN pour se connecter aux ressources professionnelles est que les utilisateurs finaux créent un tunnel ouvert entre leurs réseaux domestiques et d'entreprise. Cette méthode permet un accès à distance complet à l'ensemble du réseau de travail depuis l'extérieur du bureau, en contournant la plupart des règles de pare-feu (la connexion VPN est techniquement initiée depuis l'intérieur du LAN de travail). Dans la plupart des cas, l'ensemble du réseau interne du gouvernement est accessible au travailleur à distance, exposant tous les serveurs et postes de travail plutôt que les seules ressources nécessaires. Cela fournit un accès latéral aux logiciels malveillants à de nombreux ports réseau sur le réseau.

le Notes de l'Agence américaine de cybersécurité et de sécurité des infrastructures "Les acteurs de la menace utilisent SMB pour propager les logiciels malveillants dans les organisations... Empêchez toutes les versions de SMB d'être accessibles de l'extérieur de votre réseau en bloquant le port TCP 445 avec les protocoles associés sur les ports User Datagram Protocol 137-138 et le port TCP 139."

Dans ce scénario, toute faille de sécurité ou logiciel malveillant présent sur l'ordinateur et le réseau du télétravailleur peut infecter le réseau professionnel pendant toute la durée de la connexion VPN. Cela inclut les rançongiciels. Par exemple, si le PC distant est infecté par un logiciel malveillant ou un virus, il peut se propager via le VPN au réseau de l'entreprise et contourner les protections du pare-feu professionnel. De plus, si le PC distant est compromis, il peut être utilisé comme conduit directement dans le réseau local du bureau où les pirates peuvent exploiter les vulnérabilités de sécurité pour obtenir un accès non autorisé aux systèmes.

La mise en œuvre d'un accès distant VPN sécurisé aux fichiers dans l'environnement à haut risque d'aujourd'hui est une alternative complexe et coûteuse à entretenir et à prendre en charge.

Idéalement, l'accès VPN devrait être éliminé au profit de technologies Zero Trust qui ne fournissent que l'accès dont les utilisateurs ont besoin - et rien de plus.

Migration cloud/synchronisation et partage

La migration des organisations vers des solutions basées sur le cloud comme moyen de sécuriser les fichiers pour un accès à distance tel que SharePoint est une entreprise compliquée et stimulante. La migration de partages de fichiers vers des services cloud implique des mois de planification pour trier et identifier les données à déplacer à partir d'un pool de partages de fichiers qui peuvent remonter à des années, voire des décennies. Par exemple; Pour migrer des fichiers vers SharePoint, les fichiers doivent être convertis pour supprimer les caractères non autorisés dans SharePoint (~ ” # % & * : < > ? / \ { | }.) et mappés aux bibliothèques SharePoint pour rester dans les limites de stockage SharePoint à l'aide d'outils spécialisés qui doit être acheté moyennant des frais supplémentaires. A titre d'exemple, nous avons identifié Les 5 principaux coûts de migration SharePoint pour les entreprises à considérer.

Internet regorge d'histoires de migrations SharePoint et Cloud qui ont mal tourné lorsqu'il n'est pas exécuté avec une planification minutieuse et une diligence raisonnable. La migration est plus compliquée lors de la migration d'organisations avec des données hautement sensibles, telles que des agences gouvernementales, avec une multitude de réglementations gouvernementales et de conformité. Les gouvernements devront budgétiser ces coûts cachés de développement, d'approvisionnement et de déploiement lorsqu'ils compareront SharePoint à d'autres partage de fichiers d'entreprise solutions.

Pour les gouvernements préoccupés par la souveraineté des données migrant vers un fournisseur de stockage en nuage avec des formats de fichiers propriétaires et un verrouillage du fournisseur, il peut être plus logique de les migrer vers AWS ou Partages de fichiers Azure où les autorisations NTFS et les noms de fichiers peuvent être conservés et où les limites de stockage et le verrouillage du fournisseur ne sont pas un problème. La simple migration des partages de fichiers vers le cloud ne les protégera cependant pas contre les ransomwares ou le vol et la perte de données.

Alors que les fournisseurs fournissent des outils pour migrer les fichiers vers leur plate-forme de stockage dans le cloud, une fois migrées, toutes les métadonnées sont perdues, ce qui rend complexe ou impossible l'exportation de fichiers vers des partages de fichiers ou d'autres systèmes. Les organisations voudront réfléchir attentivement aux implications du déplacement de fichiers vers des plates-formes propriétaires basées sur le cloud, car elles peuvent constater que si, pour une raison quelconque, elles souhaitent passer à un autre service, les coûts futurs de tout partage de fichiers de migration dépasseront de loin les coûts à court terme. des économies.

Bureau à distance/RDS

RDP est une alternative supplémentaire que les agences gouvernementales utilisent pour fournir un accès à distance aux systèmes et aux partages de fichiers. Selon le dernier rapport de Coveware, près de 50% d'exploits de rançongiciels résultaient de problèmes de sécurité liés à des violations de l'infrastructure des services de bureau à distance (RDS). Le rapport a révélé qu'au «T1 2021, les connexions de protocole de bureau à distance compromises ont retrouvé la première place en tant que vecteur d'attaque le plus courant. "

RDP reste une vulnérabilité commune et frustrante malgré les efforts déployés pour la sécuriser avec les meilleures pratiques de sécurité, notamment :

Correction des vulnérabilités RDP

Alors que RDP fonctionne sur un chaîne cryptée sur les serveurs, il existe une vulnérabilité dans la méthode de cryptage des versions antérieures de RDP, ce qui en fait une passerelle préférée des pirates. Microsoft estime que près d'un million d'appareils sont actuellement vulnérables aux risques de sécurité des postes de travail distants. La société a émis un correctif hérité pour ses plates-formes obsolètes, notamment Windows XP, Windows Server 2008, Windows 2003 et Windows 2007. (Pour ces plates-formes héritées, RDP est connu sous le nom de services de terminal.)

L'application de correctifs est un moyen important d'améliorer la sécurité RDP, mais elle doit être effectuée de manière cohérente et opportune pour empêcher les exploits zero-day de ransomware.

Blocage de l'accès au port 3389

Le protocole de meilleures pratiques pour éviter l'exposition aux problèmes de sécurité RDP commence par la création d'une stratégie pour gérer les points de terminaison et s'assurer que le port n'est pas accessible à Internet. Une approche proactive peut vous aider à vous concentrer sur la prévention de l'accès initial en minimiser les risques de sécurité RDP.

Limiter les utilisateurs RDP

Vous pouvez limiter qui peut se connecter via RDP et qui peut ajouter ou supprimer un compte d'utilisateur du groupe Utilisateurs du Bureau à distance.

Utiliser un réseau privé virtuel avant de se connecter à RDP

Lorsque vous utilisez un Réseau privé virtuel (VPN) connexion, vous ajoutez une couche supplémentaire de sécurité RDP à votre système. Le VPN garantit qu'avant qu'une connexion RDP puisse être établie avec vos serveurs, une connexion doit être établie avec le réseau privé sécurisé, qui est crypté et hébergé en dehors de vos systèmes internes. Bien que les VPN offrent une certaine amélioration par rapport à l'accès direct au RDS, ils ne protègent pas les partages de fichiers une fois que les utilisateurs sont eux-mêmes autorisés à accéder aux réseaux internes si un utilisateur ouvre un e-mail de phishing et exécute un logiciel malveillant.

Utiliser une passerelle de bureau à distance

Une passerelle RDP/RDS (associée à un VPN) améliore le contrôle en supprimant tout accès utilisateur distant à votre système et en le remplaçant par une connexion bureau à distance point à point. Les utilisateurs se connectent d'abord à une passerelle avant de se connecter à des services back-end. Cette passerelle peut être encore améliorée pour exiger une authentification à deux facteurs afin de limiter davantage l'exposition et d'atténuer les risques.

Limiter l'exposition à l'aide de ces méthodes peut fournir des protections supplémentaires contre les attaques de rançongiciels de partage de fichiers à distance, mais ne traite pas les protections d'accès au partage de fichiers une fois que l'utilisateur est à l'intérieur du réseau. Les gouvernements voudront mettre en place des verrouillages supplémentaires à l'intérieur du réseau pour limiter l'accès SMB au port TCP 445 et l'accès réseau latéral pour empêcher les attaques de ransomware d'infecter les partages de fichiers et les systèmes en interne.

Accès au partage de fichiers Zero Trust

Selon Gartner, d'ici 2023, 60% des entreprises supprimeront progressivement la plupart de leurs solutions VPN d'accès à distance au profit de Zero Trust Network Access (ZTNA). La sécurité ne peut pas être garantie par les VPN car les ports réseau ouverts peuvent être compromis et exploités. Avec le VPN, les pirates peuvent accéder aux réseaux d'entreprise internes où de nombreuses entreprises sont vulnérables au cryptage des ransomwares et à d'autres attaques catastrophiques mettant fin aux activités. Ce qui devenait lentement une réalité pour s'adapter au nouveau paysage Zero Trust a considérablement augmenté depuis le début de la pandémie - les travailleurs à distance créant un cauchemar logistique pour les services informatiques du monde entier. La sécurité du réseau et l'accès au partage de fichiers à distance sont des éléments essentiels du gouvernement, ainsi que de l'intégrité et de la gouvernance des données.

Alors que ZTNA devient la référence en matière de sécurité réseau, que faut-il pour fournir ce niveau de sécurité et créer un sanctuaire de partages de fichiers à l'abri des menaces sans se ruiner et perdre un temps précieux avec des migrations de données vers une autre plate-forme basée sur le cloud ?

MyWorkDrive est un exemple de Zero Trust pour l'accès sécurisé au partage de fichiers à distance. MyWorkDrive fournit un accès à distance Zero Trust Secure aux fichiers et aux partages de fichiers sans avoir à utiliser de VPN, à migrer des fichiers vers des services cloud ou à maintenir une infrastructure de bureau à distance complexe.

Les employés gouvernementaux peuvent accéder aux fichiers et aux partages de fichiers à distance depuis n'importe où, n'importe quand.

Contrairement à Sync & Share, MyWorkDrive s'intègre exclusivement et nativement dans une infrastructure de partage de fichiers Windows existante sans migration de fichiers ni dépendance vis-à-vis d'un fournisseur.

MyWorkDrive fournit un accès via https sans accès à distance aux ports ou serveurs du réseau interne. Les méthodes d'accès incluent :

Gestionnaire de fichiers Web

Accédez à distance à vos partages de fichiers à l'aide de n'importe quel navigateur Web avec un Gestionnaire de fichiers basé sur le Web. Le gestionnaire de fichiers Web MyWorkDrive est le plus élégant et le plus convivial du secteur, doté des fonctionnalités dont les utilisateurs ont besoin sans aucune installation. Les utilisateurs peuvent accéder, afficher, modifier et collaborer sur des fichiers sans appareils à gérer et sans risque d'exposer des réseaux internes ou des partages de fichiers à des rançongiciels à l'aide d'une session de navigateur Web sécurisée.

Lecteur réseau mappé

Connectez-vous à distance à vos fichiers à l'aide de MyWorkDrive Client de lecteur mappé qui permet aux utilisateurs de mapper en toute sécurité un lecteur à leurs fichiers de travail de n'importe où sans synchronisation ni VPN. Activez éventuellement l'authentification à deux facteurs et SAML/SSO pour plus de sécurité et de conformité.

MyWorkDrive vous permet également d'envoyer des lettres de lecteur pour chaque partage, ce qui correspond à votre expérience utilisateur interne. Les utilisateurs se connectent simplement à l'URL de votre site Web MyWorkDrive à l'aide de leurs informations d'identification Active Directory existantes ou de leur connexion SSO. Tous les lecteurs mappés en réseau s'affichent automatiquement. Avec MyWorkDrive, le personnel gouvernemental peut travailler en toute sécurité depuis chez lui avec une expérience de lecteur réseau mappé sans le support ou les problèmes de sécurité du VPN ou du bureau à distance.

Mapped Drive Client ajoute des contrôles de sécurité et de protection au niveau de l'application supplémentaires qui ne sont pas disponibles avec les lecteurs réseau mappés traditionnels sur VPN.

  • Lettres de lecteur envoyées depuis le serveur qui reflètent les lettres de lecteur mappées utilisées au bureau.
  • Blocage de type de fichier
  • Authentification à deux facteurs
  • SAML/authentification unique.
  • Vue de prévention des fuites de données des fichiers avec des restrictions de téléchargement/copie/impression.
  • Autorisations granulaires.
  • Autorisations Active Directory NTFS sécurisées par défaut.
  • Interface de téléchargement de fichiers en masse.
  • Ouvrez des documents Office en ligne sans installer les applications Office locales.
  • Se connecte via le port https 443 au lieu du port SMB 445 qui est généralement bloqué par les FAI.
  • Lecteurs réseau mappés protégés par DLP

Affichez et modifiez des fichiers en ligne directement à partir du client de lecteur mappé.

Cette fonctionnalité élimine les exigences de formation pour les utilisateurs finaux et la nécessité de se connecter à partir du client Web en utilisant une vue native des fichiers et des dossiers dans l'Explorateur Windows, tout en ajoutant des fonctionnalités de sécurité DLP pour protéger les données sensibles.

Avec MyWorkDrive, empêchez facilement les téléchargements de fichiers et de dossiers tout en affichant les fichiers et les dossiers dans une interface client de lecteur mappé traditionnelle. Affichez ou modifiez des fichiers en ligne tout en bloquant le téléchargement, le presse-papiers, l'impression, le téléchargement ou le changement de nom des fichiers. Filigranes et détails de l'utilisateur affichés et enregistrés sur tous les fichiers consultés. La sécurité et la conformité des données sont de la plus haute importance pour les secteurs public et privé. Conforme aux nouvelles exigences CMMC ainsi qu'aux normes NIST, FedRamp, HIIPA, Fina et GDPR.

Daniel, fondateur de MyWorkDrive.com, a occupé divers postes de gestion de la technologie au service des entreprises, du gouvernement et de l'éducation dans la région de la baie de San Francisco depuis 1992. Daniel est certifié en technologies Microsoft et écrit sur les technologies de l'information, la sécurité et la stratégie et a été récompensé aux États-Unis Brevet #9985930 en réseau d'accès à distance