Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

Les VPN d’accès à distance sont une porte d’entrée des ransomwares

image
Ransomware

Contenu

  1. Article
  2. Autres blogs

Un autre jour et, malheureusement, une autre cyberattaque introduite accidentellement par VPN.

Selon un article de Computer Weekly, Travelex, une société de change étrangère, a été frappé par le ransomware Sodinokibi. Ce dernier a désactivé les systèmes informatiques de l’entreprise à la veille du nouvel an. L’attaque a été rendue possible lorsque l’entreprise a oublié d’appliquer des correctifs à ses serveurs Pulse Secure VPN. 

Malheureusement, ces rapports deviennent courants, dans la mesure où les VPN sont désormais la cible préférée des cybercriminels.
 

Systèmes vétustes et sujets aux attaques

Lorsque les VPN d’accès à distance ont été introduits pour la première fois il y a 30 ans, ils étaient assez impressionnants. L’accès distant peu importe d’où, était un concept avant-gardiste et révolutionnaire. Seulement, les VPN ont été créés à une époque où la plupart des applications s’exécutaient dans le data center, lequel pouvait facilement être sécurisé avec un tas d’appliances de sécurité réseau.

Cependant, le monde a changé avec la migration des applications internes vers le cloud. Vous devez proposer l’expérience exceptionnelle que les utilisateurs attendent, sachant que 98 % des attaques proviennent d’Internet.

Les VPN d’accès à distance exigent que les serveurs soient exposés à Internet et que les utilisateurs soient placés sur le réseau d’entreprise via des tunnels statiques qui percent les pare-feu. Aujourd’hui, la même technologie conçue pour protéger les entreprises les rend vulnérables aux attaques modernes que représentent les malwares et les ransomwares.

Alors, comment cela se produit-il exactement ?

Empreinte d’une attaque de programme malveillant

La semaine dernière, Medium.com a publié un article décrivant la manière dont le ransomware Sodinokibi s’est introduit via un VPN. Examinons en détail le processus typique par lequel les malwares sont introduits sur un réseau via une vulnérabilité VPN :
 

  1. Les cybercriminels recherchent sur Internet des serveurs VPN d’accès distant non corrigés.
  2. L’accès distant au réseau est obtenu (sans noms d’utilisateur ni mots de passe valides).
  3. Les hackers affichent les journaux et les mots de passe mis en cache en texte brut.
  4. L’accès administrateur de domaine est obtenu.
  5. Le mouvement latéral a lieu sur l’ensemble du réseau.
  6. L’authentification multi facteur (MFA) et la sécurité des terminaux sont désactivées.
  7. Le ransomware (par exemple, Sodinokibi) est transféré vers les systèmes réseaux.
  8. L’entreprise est retenue contre rançon.

Impacts négatifs du VPN

De nombreuses entreprises estiment encore que les VPN d’accès à distance sont nécessaires. Et, dans certains cas, ils pourraient très bien l’être. Mais le plus souvent, les VPN ouvrent le réseau à Internet et, par conséquent, exposent les entreprises à des risques accrus.
 

  • L’application des correctifs est souvent lente ou négligée. Il est tout simplement difficile de se souvenir et même de trouver le temps de corriger les serveurs VPN. Les équipes informatiques sont continuellement contraintes de faire plus avec moins de ressources, créant souvent un défi humain qui mène à des failles de sécurité.
  • Placer les utilisateurs sur le réseau. Il s’agit peut-être de la genèse de tous les problèmes liés aux VPN d’accès à distance. Pour que les VPN fonctionnent, les réseaux doivent être détectables. Cette visibilité expose l’entreprise aux attaques.
  • Risque latéral à une échelle exponentielle. Une fois sur le réseau, les logiciels malveillants peuvent se propager latéralement, malgré les efforts pour effectuer la segmentation du réseau (qui est en soi un processus complexe). Comme mentionné plus haut, cela peut également entraîner le retrait d’autres technologies de sécurité, telles que l’authentification multi facteur et la sécurité des terminaux.
  • Réputation de l’entreprise. Vos clients sont convaincus que vous protégerez leurs informations et leur fournirez le meilleur niveau de service. Pour ce faire, les entreprises doivent être en mesure de se protéger. La nouvelle d’une attaque de ransomware a un impact négatif sur la réputation de votre marque.

Plaidoyer en faveur d’une nouvelle approche

Les impacts négatifs du VPN ont conduit à la recherche d’une solution alternative. Selon Gartner, cette effervescence a créé un monde dans lequel « d’ici 2023, 60 % des entreprises supprimeront progressivement la plupart de leurs réseaux privés virtuels (VPN) d’accès à distance au profit d’un accès réseau Zero Trust (ZTNA). »

Si vous envisagez des méthodes alternatives, telles que ZTNA, gardez les points suivants à l’esprit lorsque vous les présentez à vos dirigeants :
 

  • Minimisez les risques commerciaux. ZTNA permet d’accéder à des applications spécifiques d’entreprise (basées sur la politique) sans avoir besoin d’un accès réseau. De plus, aucune infrastructure n’est exposée, donc ZTNA supprime la visibilité des applications et des services sur Internet.
  • Réduisez les coûts. ZTNA peut souvent être entièrement fourni dans le cloud en tant que service, ce qui signifie qu’il n’y a pas de serveurs à acheter, à réparer ou à gérer. Cela ne se limite pas uniquement au serveur VPN. La passerelle entrante VPN entière peut désormais être plus petite ou entièrement supprimée (firewall externe, DDoS, VPN, firewall interne, équilibreur de charge, etc.).
  • Offrez une meilleure expérience utilisateur. Étant donné la disponibilité accrue des services cloud ZTNA par rapport aux passerelles d’appliances VPN limitées, les utilisateurs distants bénéficient d’une expérience d’accès plus rapide et plus transparente, quels que soient l’application, l’appareil ou l’emplacement.

REMARQUE : toutes les solutions ZTNA ne sont pas identiques. Méfiez-vous des fournisseurs qui se qualifient de fournisseurs « Zero Trust » mais proposent des solutions qui continuent de placer les utilisateurs sur le réseau et d’exposer les applications métier à Internet.

Si vous souhaitez remplacer votre VPN d’accès à distance, cette page pourrait vous être utile. En attendant, n’oubliez pas d’appliquer des correctifs à vos serveurs VPN et assurez-vous de garder une longueur d’avance sur les attaques en consultant ces ressources incontournables :
 

Christopher Hines est responsable marketing produits pour Zscaler Private Access et Z App.

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

vote yes
Oui, très utile !
vote no
Pas vraiment

Découvrez d'autres blogs Zscaler

Ransomware
Technical Analysis of CryptNet Ransomware
Lire le blog
Trigona ransomware
Technical Analysis of Trigona Ransomware
Lire le blog
Nevada ransomware
Nevada Ransomware: Yet Another Nokoyawa Variant
Lire le blog
Ransomware hacker
Nokoyawa Ransomware: Rust or Bust
Lire le blog
01 / 02
dots pattern

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.