Pourquoi l’UBA a plus de chance d’arrêter les attaques ransomware zero-day ?

Les attaques ransomware sont devenues une menace de sécurité majeure. On dirait qu’une nouvelle variante est annoncée chaque semaine : Ransom32, 7ev3n.  Ce malware pourrait même se trouver impliqué dans un prochain vol de données. De nouvelles variantes telles que Chimera menacent non seulement de vous faire payer une rançon pour récupérer vos données, mais aussi de les publier en ligne si vous ne payez pas. 

Ces cyber extorqueurs ne sont pas des modèles de moralité. Ainsi, qui peut assurer qu’ils ne vendront pas vos données même si vous payez la rançon demandée ? 

Voyons les choses en face : ils disposent d’un bon modèle commercial.

Quelle est la signature ? 

Certains se sont tournés vers les solutions de sécurité des terminaux dans l’espoir que celles-ci puissent détecter et arrêter les cryptomalware. Cependant, comme le souligne un observateur, « les antivirus basés sur les signatures que la plupart des entreprises utilisent encore pour se défendre, ne peuvent pas faire face aux attaques modernes. »

Ainsi, les solutions de sécurité des postes de travail ne peuvent pas bloquer les variantes inconnues de ransomware – en mettant par exemple sur liste noire les connexions à une liste de serveurs C&C existante (mais périmée). Elles sont également liées à un périphérique, utilisateur ou processus, et ne fournissent donc pas de techniques anti heuristiques ou de débogage. 

Une prévention des ransomware qui fonctionne

Si les outils de sécurité des postes de travail ne permettent pas d’arrêter les ransomware, quelle solution peut le faire ? 

Le dernier rapport de recherche sur les ransomware de la Northeastern University’s a analysé 1 359 échantillons de ransomware et a révélé qu’un « examen approfondi des activités de nombreux ransomware sur le système de fichiers suggère […] qu’en protégeant la table de fichiers maître (MFT) d’un système NTFS, il est possible de détecter et de prévenir un nombre important d’attaques ransomware zero-day. »

Existe-t-il une technologie qui protégera les systèmes de fichiers selon cette idée ? 

Réponse : l’analyse du comportement des utilisateurs (User Behavior Analytics, UBA). Elle constitue une mesure de prévention essentielle des ransomware.

Ainsi, l’analyse du comportement des utilisateurs (UBA) s’appuie sur l’idée que vous pouvez comparer ce que les utilisateurs d’un système font normalement (leurs activités et modèles d’accès aux fichiers) aux activités anormales d’un attaquant ayant volé des informations d’identification. D’abord, le moteur UBA analyse les comportements normaux en journalisant les actions de chaque utilisateur individuel : accès aux fichiers, ouvertures de sessions et activités réseau. Ultérieurement, l’UBA crée un profil qui décrit ce que cela signifie d’être cet utilisateur.