Les attaques du logiciel d'extorsion Wannecry de cette semaine ont, encore une fois, rendu douloureusement évident l’importance des mises à jour logicielles pour les organisations. Il y a une réponse évidente : « RESTEZ À JOUR ». Mais, ce n'est jamais aussi simple. WSUS peut vous aider. L'automatisation de WSUS peut vous aider encore plus. Je vais parler de ce qu'est WSUS et de la manière dont son automatisation peut aider, mais voyons d'abord ce qui s'est passé dans le monde et pourquoi…

Source: Intel Malware Int

L'attaque a débuté la semaine dernière et s'est propagée comme un virus de type ver, s'installant sur une machine Windows après qu'un utilisateur ait été dupé et qu'il ait cliqué sur une pièce jointe ou un lien à visiter. À partir de là, le virus prend le contrôle de l'ordinateur, crypte les fichiers, bloque l'utilisateur, demande une rançon d'environ 500 dollars payables en Bitcoin, puis se propage aux autres ordinateurs du réseau. Au total, il a essayé de détenir en otage près de 300 000 ordinateurs dans plus de 150 pays. Parmi les entreprises rançonnées, il y a de grands noms comme National Health Service du Royaume-Uni, Nissan Motors, FedEx, China National Petroleum, Renault SA, Deutsche Bahn et Hitachi.

L'écran de WannaCry

Tout cela aurait pu être évité grâce à une simple mise à jour du système. Oui, cette petite notification apparaît dans le coin inférieur droit de votre écran, peut-être même en ce moment. En cliquant dessus et en patientant quelques minutes, vous auriez pu sauver la plupart des ordinateurs. La plupart, mais pas tous les ordinateurs. La vulnérabilité utilisée a été trouvée sous Windows et elle a été corrigée en mars, mais uniquement pour les systèmes d'exploitation actuellement pris en charge. Les anciennes versions comme XP et Server 2003 sont restées vulnérables, mais dans une mise à jour de sécurité surprise de ce vendredi, Microsoft a publié des mises à jour pour plusieurs anciennes itérations

Donc, en tant qu'organisation, que peut-on faire à l'avenir pour empêcher ces types d'attaques ?

Cela se produira à nouveau, c'est inévitable. Mais il y a des choses que nous pouvons faire. Premièrement, la pédagogie est extrêmement importante. Oui, il y a encore beaucoup d'ordinateur sous XP et d'autres systèmes non pris en charge et faciles à attaquer, mais former les employés sur la reconnaissance des attaques d'ingénierie sociale peut protéger les entreprises même lorsqu'elles utilisent les systèmes les plus vulnérables. Enseigner des concepts comme l'hameçonnage vocal, le faux-semblant, l'amorçage, le whaling, le phishing, etc. les aideront à prendre des décisions sensées quant aux pièces jointes, aux demandes inhabituelles ou aux liens douteux.

Cela se produira à nouveau, c'est inévitable. Mais il y a des choses que nous pouvons faire. Parag Gadgil

La chose évidente à faire est celle que j'ai mentionnée au début de cet article. En des termes simples : « restez à jour ». Pour le grand public, cela semble très simple. Mais toute personne travaillant dans le monde des TI sait que les choses ne sont jamais aussi faciles. Parfois, certaines mises à jour sont incompatibles pour les applications exécutées sur les machines, parfois les machines sont en train de traiter des tâches importantes, ou la machine est seulement disponible pour certains cas d'utilisation et la mise à jour en ligne nécessite alors un peu de temps libre, ce que beaucoup d'entre nous n'ont pas. Quelle que soit la raison, Windows a fourni un outil très utile pendant de nombreuses années : WSUS.

Source: Microsoft TechNet

WSUS, qui a commencé sa vie en tant que « Software Update Services » signifie aujourd'hui « Windows Server Update Services ». Il est devenu un outil très puissant dans l'arsenal des administrateurs au cours des dernières années. WSUS donne aux équipes d'administration la possibilité d'envoyer des correctifs ou des mises à jour à toutes les machines Windows, selon le cas, dans une organisation. WSUS permet aux administrateurs de planifier les mises à jour à certaines dates/heures, comme p. ex. lors des arrêts planifiés ou après les heures de bureau. Il leur permet également de sélectionner les mises à jour qu’ils souhaitent envoyer, en excluant certaines mises à jour, si nécessaire, s'il existe des problèmes connus de compatibilité. Globalement, WSUS permet aux administrateurs de voir toutes les mises à jour disponibles sur une machine donnée du réseau, et de choisir les machines qui reçoivent les mises à jour et le moment souhaité. De surcroît, il suivra chaque machine tout au long du processus de mise à jour, en consignant les problèmes qui peuvent se produire.

C'est un outil très puissant. Et c'est le principal outil que les administrateurs Windows utiliseront pour maintenir les machines à jour et les protéger contre ces types d'attaques. Mais il peut être encore plus puissant si vous envisagez d'inclure WSUS dans vos flux de travail d'automatisation. Un bon produit d'automatisation peut s'intégrer avec WSUS pour effectuer des tâches telles que le suivi des mises à jour, la collecte des journaux, la reconnaissance des codes d'erreur et l'exécution de divers processus en fonction des nombreux résultats. Laissez-moi vous donner quelques exemples. Grâce à WSUS automatisé, vous pouvez planifier vos mises à jour et passer à la tâche suivante. Vous n'aurez pas à regarder WSUS pour rechercher les erreurs ou les confirmations, car votre outil d’automatisation doit pouvoir vous avertir en cas de problème, ou même si tout se passe bien. Qu'en est-il de la mise à jour d'une machine ou d'une machine virtuelle qui n'est pas constamment en service ? Si WSUS fait partie de la structure d'automatisation d'une entreprise, vous pouvez facilement configurer un flux de travail rapide pour vérifier l'état de la machine et même l'ouvrir si votre système détecte la panne. Ensuite, vous pouvez démarrer le processus WSUS pour effectuer la mise à jour. Une fois cette opération terminée, votre solution d'automatisation peut arrêter la machine sans que vous n'ayez à faire plus d'un clic. Enfin, parlons des machines de traitement. Connectez WSUS à votre outil d'automatisation et vérifiez chaque serveur afin de détecter les processus critiques avant d'autoriser une mise à jour. De simples boucles de temps pourraient être utilisées pour « réessayer dans 30 minutes » si votre solution d'automatisation détecte que le traitement est en cours. Placez un compteur avec une notification, juste au cas où il ne voudrait jamais arrêter le traitement, et c'est un moyen simple d'empêcher toute interruption accidentelle de l'activité. Cela éliminera également la nécessité d'une surveillance manuelle des processus de la machine avant chaque mise à jour.

Ces types d'attaques font peur, sans aucun doute. Cependant, ce n'est pas l'argent que les pirates informatiques demandent, qui fait peur aux grandes organisations, mais la perte inestimable de la continuité des activités et des données. Heureusement, il y a des choses que nous pouvons faire. En formant aux techniques d'ingénierie sociale et en restant à jour, vous ferez d'un pierre deux coup et vous réduirez les risques dans toute l'organisation. Les outils tels que WSUS et les solutions d'automatisation du flux de travail simplifient grandement les choses pour les administrateurs, et rendent le piratage plus compliqué.