كيف يحمي السحابة الخاصة بكاتو حسابك من إجراءات تشفير رانسوم وير

توضح هذه المقالة كيفية حماية خدمة أمان IPS في مجموعة أمان كتلة كاتو شبكتك من محاولات رانسوم وير لتشفير الموارد بشكل خبيث في شبكتك.

عندما تقوم بتفعيل IPS لحظر حركة مرور WAN، فذلك يساعد في الحماية من محاولات رانسوم وير للانتشار بشكل جانبي عبر WAN.

كيف تحدد كتلة أمان كاتو هجمات رانسوم وير

تستمر رانسوم وير في كونها واحدة من أخطر التهديدات للمؤسسات، حيث يمكن لهذه الهجمات قفل وتشفير بيانات الضحية. ثم يكون هناك طلب للدفع لفتح وفك تشفير البيانات. تستفيد كاتو من محركات كتلة الأمان لقتل سلسلة الهجمات بأسرع وقت ممكن.

  • IPS – يشمل IPS الخاص بكاتو بيانات من العديد من مصادر استخبارات التهديدات ويمكنه حظر رانسوم وير المحتمل، بما في ذلك:

    • الوصول إلى مواقع الويب المشبوهة التي من المحتمل أن تكون مرتبطة بأنواع مختلفة من التهديدات (مثل C&C الخاصة بالبرمجيات الخبيثة، رانسوم وير، التصيد الاحتيالي، وما إلى ذلك)

    • مضيف مشبوه يحاول نشر رانسوم وير

    • حركة مرور جانبية عبر WAN التي قد يستغلها الجهة المهددة لرانسوم وير

  • جدار الحماية للإنترنت – يحمي المستخدمين من الوصول إلى مواقع الويب الخبيثة (مثل فئة البرمجيات الخبيثة) حيث يمكنهم تحميل حمولة خبيثة عن طريق الخطأ قد تحتوي على رانسوم وير.

  • مكافحة البرمجيات الخبيثة وNG مكافحة البرمجيات الخبيثة – يوفر طبقة حماية إضافية ويساهم في Cato ZTNA (الوصول إلى الشبكة بدون ثقة). تمنع هذه المحركات أي محاولات تنزيل خبيثة وتقوم بحظر رانسوم وير المتصل قبل تنفيذه على جهاز المستخدم.

ملاحظة

ملاحظة: تعمل هذه الحمايات الخاصة بكاتو عندما يتم ضبط الإجراء على الحظر.

حظر حركة مرور رانسوم وير SMB

يستمر فريق الأمان الخاص بكاتو في تطوير وتحديث خوارزميات المرور والاستدلال للكشف عن حركة مرور SMB المرتبطة بهجمات رانسوم وير. تُضاف هذه البيانات إلى بيانات البرمجيات الخبيثة من مجموعة متنوعة من المدخلات الاستخباراتية حول حملات رانسوم وير المعروفة.

تستخدم كاتو هذه التقنيات لحظر هجمات البرمجيات الخبيثة التي تحاول الانتشار عبر WAN:

  • حظر مرور من مضيف واحد مصاب برانسوم وير ويحاول نشر رانسوم وير إلى مضيفين آخرين (في WAN)

  • حظر المرور بامتدادات ملفات ذات مصداقية منخفضة وبالتالي هي رانسوم وير محتملة

بالإضافة إلى ذلك، بمجرد أن يحدد IPS هجوم رانسوم وير، فإنه يحظر جميع المرور من المضيف المصاب عبر منفذ TCP 445. هذا يمنع الهجوم من إصابة والتأثير على أصول الشبكة الأخرى.

مراجعة الأحداث للهجمات المحظورة بواسطة رانسوم وير

يمكنك مراجعة الأحداث الأمنية في الرئيسية > الأحداث والعثور على الأحداث للهجمات المشتبه بها بواسطة رانسوم وير في حسابك التي تم حظرها. هناك أنواع أحداث فرعية مختلفة لهذه الهجمات المحظورة بواسطة IPS والجدار الناري. بالنسبة لأحداث IPS، يمكن تصنيف نوع التهديد على أنه رانسوم وير.

هذا مثال على حدث لهجوم مشتبه به بواسطة رانسوم وير تم حظره بواسطة IPS:

حدث_برمجيات_الفدية.png

تستند منطقية هذه الحماية من IPS على المزاوجات، وهي تعد نشاط SMB في إطار زمني قصير (بضع ساعات) لتحديد هجوم رانسوم وير. خلال هذا الإطار الزمني، إذا قررت محركات IPS أن مضيفًا هو المصدر المحتمل للرانسوم وير، فإنها تقوم عندئذٍ بحظر أي حركة مرور SMB (منفذ 445) من هذا المضيف.

عندما يحدد IPS هجوم رانسوم وير، فإنه يمكن أن يستند إلى حركة مرور تتوافق مع نمط سلوكي تم تحديده على أنه رانسوم وير. من الممكن أن يكون الحدث ناتجًا إيجابيًا كاذبًا، وهو بالفعل حركة مرور شرعية.

كاتو حظر هجوم عبر رانسوم وير - ماذا نفعل الآن؟

إذا اكتشفت أن IPS حظر هجوم رانسوم وير، فمن المرجح أن بعض مواردك الداخلية قد أصيبت بالفعل برانسوم وير. تعمل حماية IPS من كاتو على منع انتشار رانسوم وير عبر WAN، ويقوم حلك EPP بتقليل الضرر في الLAN للمواقع ذات الصلة.

تحتوي هذه القائمة على الخطوات التالية المقترحة للموارد الداخلية التي أصيبت بهجمات رانسوم وير:

  1. اعزل المضيفين المصابين عن الشبكة (في كل من جدران الحماية للWAN والإنترنت).

  2. حدد أي الأصول في مؤسستك كانت هدفًا لهجوم رانسوم وير.

  3. يمكنك مشاهدة توصيات CISA لحوادث رانسوم وير هنا. على سبيل المثال:

    • حدد أي الملفات التي تضررت أو تأثرت بالهجوم.

    • أكد هوية عائلة البرمجيات الخبيثة أو المؤلف.

    • تأكد من أن جميع الأجهزة التابعة للشركة مثبت بها برنامج حماية النقاط النهائية ويتم تحديثه بالتواقيع القادرة على تحديد البرمجيات الخبيثة المسؤولة عن هذا الهجوم.

هل كان هذا المقال مفيداً؟

1 من 1 وجدوا هذا مفيداً

لا توجد تعليقات