« La solution Ransomware Defense peut être installée sur différents produits Cisco et répondre à plusieurs situations d’attaques de réseaux par des ransomwares », a expliqué Dan Hubbard, CTO de Cisco, en charge des questions de sécurité. « Ransomware Defense offre une solution de défense tactique et stratégique rapide, avec l’aide possible d’une équipe d'évaluation, pour protéger les équipements Cisco et les appareils tiers. Elle apporte aussi une réponse plus globale aux systèmes sophistiqués en organisant une segmentation automatique des réseaux afin d’isoler les machines infectées par un ransomware », a-t-il expliqué.

La première ligne de défense est constituée par Umbrella Roaming qui empêche les appareils d'accéder à des sites malveillants identifiés, et par Advanced Malware Protection (AMP). En cas d’attaque par un ransomware, Umbrella Roaming peut bloquer la connexion à des serveurs de commande et de contrôle d’où est envoyé le code malicieux qui permet de crypter les fichiers de la victime. Quant à AMP, qui peut être associé à des routeurs, des commutateurs, des pare-feu, des appliances de messagerie, et des appliances web de Cisco, il est capable de détecter et de bloquer les ransomwares connus.

Une protection étendue aux mobiles 

Le deuxième niveau de protection, plus stratégique, fait appel au client de mobilité sécurisé AnyConnect qui offre une visibilité sur l'activité de l'utilisateur et de l'appareil et protège contre les logiciels malveillants. Le système s’appuie également sur une équipe de conseillers maison qui évaluent les défenses du réseau et élaborent les stratégies qui permettront de contrer les attaques de ransomwares. « Le plan de défense peut inclure l'intégration de matériels d'autres fournisseurs en passant par les API », a expliqué Dan Hubbard. Pour les systèmes clients plus sophistiqués, l’équipementier propose également StealthWatch et Integrated Services Engine qui permettent d’établir des politiques conjointes pour isoler automatiquement les machines infectées par un ransomware dans des segments de réseau, en utilisant la matrice de commutation de Cisco.

Selon Dan Hubbard, le ransomware représente l'une des principales préoccupations des clients, et l’équipe mise sur pied par Cisco doit permettre de répondre à ce type d’attaques de la meilleure façon possible. « La décision de créer un produit pour lutter contre les ransomwares n’a pas été prise du jour au lendemain », a-t-il déclaré. « Si nous avions pris la même décision pour chaque menace, nous aurions 9 000 références à traiter, et ce n’est probablement pas une approche réaliste pour introduire un produit sur le marché ». Cisco a sélectionné parmi ses produits ceux qui pouvaient traiter tactiquement et stratégiquement les attaques de ransomwares. Le constructeur a cherché ensuite une architecture qui permettait à ces différents produits de travailler ensemble.

Isoler sur le réseau une machine infectée 

La plupart des infections de ransomware se produisent par courrier électronique, soit par des pièces jointes malveillantes, soit par des liens malintentionnés. En général, c’est quand il clique sur la pièce jointe ou sur le lien malveillant que l’utilisateur télécharge le malware. La solution tactique utilisée par Cisco permet de bloquer cette étape. Une autre solution consiste à surveiller l’activité et à repérer des signes typiques de la présence de ransomwares, en particulier les tentatives de connexion à des serveurs de commande où sont générées les clés utilisées pour crypter les fichiers des victimes. Si cette connexion est interrompue, le malware n’aura pas les outils nécessaires pour mener à bien sa mission. Pendant que le malware est dans l’incapacité d’agir, les administrateurs, alertés dans l’intervalle, peuvent nettoyer les machines concernées. « De même, si un ransomware est repéré sur une machine, il est possible de l’isoler sur le réseau d'entreprise afin de limiter les dommages ».