Estimativa de Tempo de Leitura: 4 minutos
Luta Ransomware com uma Estratégia de Defesa em camadas
A média diária de ataques de Ransomware, como observado pelo Ponto de Verificação de Pesquisas, cresceu 50% no 3º trimestre em relação ao primeiro semestre de 2020. Do governo, aos Serviços Financeiros, aos hospitais — ataques altamente lucrativos de Ransomware em todo o mundo explodiram e não mostram sinais de desistência. Como os ataques do Ransomware continuam a fazer manchetes, as organizações devem evoluir para combater o Ransomware com uma estratégia de defesa em profundidade.
Cybersegurança está evoluindo agressivamente, e os defensores estão profundamente envolvidos em uma partida de xadrez contra os atacantes. Cada passo que um defensor dá para proteger sua rede, um atacante cria um novo método ou vetor de ataque. Os defensores devem estudar continuamente seus movimentos, observando de perto os indicadores de compromisso, aprendendo a prever de forma confiável as estratégias potenciais e os vetores de ataque. Essas observações se tornam parte de uma complexa estratégia de defesa em profundidade, usada para identificar lacunas de segurança ou pontos potenciais de falha no ambiente operacional cibernético (COE).
Ferramentas Comuns para Defesa Cibernética
defesa em profundidade alavancam uma gama de ferramentas de segurança que oferecem diferentes tipos de proteção ao longo dos diferentes pontos de acesso do COE. Abaixo estão algumas das mais comumente usadas para abordar as principais camadas de segurança.
Firewalls
Desde ataques de Ransomware começa com o Malicioso Cyber Ator (MCA) de aceder a uma rede, um firewall é muitas vezes a primeira linha de defesa. O firewall bloqueia certas portas de acesso à rede, e usa deteções comportamentais e/ou baseadas em regras para impedir que um MCA tenha acesso à rede.
Network Intrusion Prevention System (NIDS)
DNIS fornece outra camada de segurança ao utilizar comportamental e baseada em regras de detecção de potenciais Ransomware ameaças no nível de rede. Além disso, os NIDS estão equipados para fornecer a granularidade de dados necessária para que os analistas cibernéticos detectem um ataque para que eles possam responder com uma abordagem específica para bloquear o MCA de acesso à rede.
Detecção de ponto final e de Resposta (EDR)
EDRs fornecem visibilidade para a rede de equipes de segurança para detectar ameaças, como Ransomware, se o MCAs conseguir escapar a outras camadas de segurança e penetrar na rede. As rde fornecem detecção, investigação e remediação baseadas em host contra malware para conter ameaças antes que as ações nefastas de um MCA possam ser totalmente executadas.
Patch Management
Patch Management é outra camada de segurança preventiva e serve para prevenir compromissos antes mesmo de acontecer. Os atacantes do Ransomware irão focar as vulnerabilidades do sistema que podem ser usadas para aumentar os privilégios e ganhar a execução de código remoto no sistema sem privilégios de administração.
Logging and Network Segmentation
Logging and Network Segmentation serves as an additional obstacle for MCA as they have penetrated the other network security tools. Se um MCA compromete a rede, esta é usada para segmentar áreas específicas da rede para mitigar o movimento de um ataque, atrasando-a até que os defensores sejam capazes de conter a ameaça. No caso de ataques Ransomware, isso seria alavancado para evitar o movimento lateral dentro da rede.enquanto as ferramentas de segurança acima oferecem uma defesa sólida e ampla contra ameaças e façanhas, elas também são superadas contra MCA qualificados — principalmente quando se trata de ataques de Ransomware. O que falta no conjunto de ferramentas da Defesa? E como os defensores podem reforçar a segurança para se adiantarem aos ataques do Ransomware?
a resposta curta é a inteligência da ameaça cibernética. O elemento mais comumente perdido de uma estratégia de defesa em profundidade é ter inteligência global de ameaça cibernética e uma equipe dedicada de profissionais de segurança que entendem como derivar Inteligência de ameaça ação a partir do que, de outra forma, seriam apenas dados potencialmente úteis sobre ameaças. Embora muitas organizações possam fonte de uma, ou várias, informações de ameaça, muitas vezes lhes faltam os recursos internos para realmente entender como esses dados impactam seu CDE único. Quando se trata de segurança cibernética, é crucial que os dados de Inteligência de ameaça sejam vistos com base na composição única do COE de uma organização.
um exemplo de Ransomware: Emotet
a imagem abaixo mostra dados que identifica uma peça de malware comumente usada chamada Emotet. Este malware é projetado como um trojan que permite aos atacantes ganhar acesso remoto a um sistema, explorá-lo e instalar outras cargas maliciosas, especialmente Ransomware.
a Ganhar maior entendimento de atacantes C2 e domínios maliciosos podem dar defensores outra camada de defesa para impedir um ataque ou fornecer a capacidade de detecção, de modo a que os defensores têm a capacidade de responder a um ataque.
com base nos dados apresentados acima, um profissional de Inteligência de ameaça pode ser capaz de identificar a ocupação de domínio ou typosquatting se um atacante está visando suas empresas ou clientes, bem como um C2 de MCA e novas técnicas que estão sendo usadas em uma campanha. No entanto, a identificação é apenas um passo. Uma vez que a ameaça potencial é identificada, um defensor precisaria validar a infra — estrutura C2 e esperançosamente obter novos hashes de malware ou vetores de ataque-detalhes que seriam usados para interromper a cadeia de morte e bloquear MCA no ponto de acesso inicial. Isso demonstra a diferença entre ter apenas dados de Inteligência de ameaça, e ter dados de Inteligência de ameaça de ação. se sua organização está enfrentando ataques de Ransomware, ou qualquer uma das outras legiões de ameaças e façanhas, a única adição mais valiosa à sua defesa de ameaça é a inteligência de ameaça ação. Embora a ameaça de ataques cibernéticos continue a ser uma das principais preocupações das organizações, relativamente poucos tomam as medidas preventivas necessárias para garantir o seu ambiente e treinar o pessoal de segurança. Pelo menos, só depois de terem sido atacados, o que é muito mais caro do que se tivessem tomado medidas preventivas.